sec-chick Blog

サイバーセキュリティブログ

ハニーポット簡易分析(30日目:9/7)

9/7の簡易分析となります。Honeytrapの傾向は特に変化はありませんでした。

 

Honeytrap
検知数:3576件(データ部 0byte以上)
<宛先ごとにおける検知数>

ポート 件数 割合 サービス
445 1,944 54.50% SMB
3389 73 2.05% RDP
1433 69 1.93% Microsoft SQL Server
102 67 1.88% ?
52869 62 1.74% D-Link, Realtek SDK
81 46 1.29% GoAhead Web Server 
123 34 0.95% NTP
22 34 0.95% SSH
49 32 0.90% TACACS+ Login Host protocol
8080 32 0.90% PROXY


マルウェアダウンロード別

宛先ポート

マルウェアダウンロード先 件数 VT
5555 hxxp://185[.]162[.]130[.]187/adbs2 1 https://www.virustotal.com/ja/url/a2784a34beaea3d7dc9f3099fc03f4c56446a5116577281e6142b445a4ad2003/analysis/
5555 hxxp://27[.]102[.]115[.]44/adbs2 2 https://www.virustotal.com/ja/url/62fbd6898d5bd0adae9f5ad713b37f267d5b22c1b4b1ef564bcfa712f0fcf9b0/analysis/
8081 hxxp://77[.]87[.]77[.]250/izuku[.]mips 16 https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/
52869 hxxp://107[.]191[.]99[.]41/elf[.]mips 18 https://www.virustotal.com/ja/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/analysis/1533020160/
52869 hxxp://138[.]68[.]240[.]213/tenshimips[.]mips 5 https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/
52869 hxxp://80[.]211[.]112[.]150/mips 1 https://www.virustotal.com/ja/file/23a576856c353a434f8edf1d42c3c46beb48e8d39931043847ed193377decafe/analysis/1535606167/


WoWhoneypot
検知パス

Method パス
GET /
GET /admin/assets/js/views/login.js
GET /login.cgi?cli=aa%20aa%27;wget -省略-
GET /pma/scripts/setup.php
GET @research.aegis[.]network/
GET hxxp://112.35.53[.]83:10083/index.php
OPTIONS /ipc$

マルウェアダウンロード:
hxxp://77.87.77[.]250/izuku[.]sh

@research.aegis[.]network/ 宛の通信内容は以下となります。

GET @research.aegis[.]network/ HTTP/1.0
User-Agent: <script src="//research[.]aegis[.]network/test.js"></script>Referer: <script src="//research[.]aegis[.]network/test.js"></script>

該当するサイトへアクセスしてみると、Aegisという会社が行なっている調査が行なっている通信と推測されます。一応、該当するIPで/block のパスにアクセスすれば収集を止めてくれると書いてありますが、止め方が現実的ではないですね。企業のサーバであれば、サーバからアクセスもFWなどで制御しているはずなので。

f:id:one-chick-sec:20180909013727p:plain

該当する企業のサイトへアクセスしてみましたが、以下の表示だけであり、詳細な情報は記載されていませんでした。

f:id:one-chick-sec:20180909013212p:plain


以上、簡易分析となります。