ハニーポット簡易分析(30日目:9/7)
9/7の簡易分析となります。Honeytrapの傾向は特に変化はありませんでした。
Honeytrap
検知数:3576件(データ部 0byte以上)
<宛先ごとにおける検知数>
ポート | 件数 | 割合 | サービス |
445 | 1,944 | 54.50% | SMB |
3389 | 73 | 2.05% | RDP |
1433 | 69 | 1.93% | Microsoft SQL Server |
102 | 67 | 1.88% | ? |
52869 | 62 | 1.74% | D-Link, Realtek SDK |
81 | 46 | 1.29% | GoAhead Web Server |
123 | 34 | 0.95% | NTP |
22 | 34 | 0.95% | SSH |
49 | 32 | 0.90% | TACACS+ Login Host protocol |
8080 | 32 | 0.90% | PROXY |
マルウェアダウンロード別
宛先ポート |
マルウェアダウンロード先 | 件数 | VT |
5555 | hxxp://185[.]162[.]130[.]187/adbs2 | 1 | https://www.virustotal.com/ja/url/a2784a34beaea3d7dc9f3099fc03f4c56446a5116577281e6142b445a4ad2003/analysis/ |
5555 | hxxp://27[.]102[.]115[.]44/adbs2 | 2 | https://www.virustotal.com/ja/url/62fbd6898d5bd0adae9f5ad713b37f267d5b22c1b4b1ef564bcfa712f0fcf9b0/analysis/ |
8081 | hxxp://77[.]87[.]77[.]250/izuku[.]mips | 16 | https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/ |
52869 | hxxp://107[.]191[.]99[.]41/elf[.]mips | 18 | https://www.virustotal.com/ja/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/analysis/1533020160/ |
52869 | hxxp://138[.]68[.]240[.]213/tenshimips[.]mips | 5 | https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/ |
52869 | hxxp://80[.]211[.]112[.]150/mips | 1 | https://www.virustotal.com/ja/file/23a576856c353a434f8edf1d42c3c46beb48e8d39931043847ed193377decafe/analysis/1535606167/ |
WoWhoneypot
検知パス
Method | パス |
GET | / |
GET | /admin/assets/js/views/login.js |
GET | /login.cgi?cli=aa%20aa%27;wget -省略- |
GET | /pma/scripts/setup.php |
GET | @research.aegis[.]network/ |
GET | hxxp://112.35.53[.]83:10083/index.php |
OPTIONS | /ipc$ |
マルウェアダウンロード:
hxxp://77.87.77[.]250/izuku[.]sh
@research.aegis[.]network/ 宛の通信内容は以下となります。
GET @research.aegis[.]network/ HTTP/1.0
User-Agent: <script src="//research[.]aegis[.]network/test.js"></script>Referer: <script src="//research[.]aegis[.]network/test.js"></script>
該当するサイトへアクセスしてみると、Aegisという会社が行なっている調査が行なっている通信と推測されます。一応、該当するIPで/block のパスにアクセスすれば収集を止めてくれると書いてありますが、止め方が現実的ではないですね。企業のサーバであれば、サーバからアクセスもFWなどで制御しているはずなので。
該当する企業のサイトへアクセスしてみましたが、以下の表示だけであり、詳細な情報は記載されていませんでした。
以上、簡易分析となります。