sec-chick Blog

サイバーセキュリティブログ

ハニーポット簡易分析(31-33日目:9/8-9/10)

なんとか、1ヶ月間分析を継続していけました(だいぶ遅れることはありましたが。。。)。3日分(8/8 - 8/10)のHoneytrapの解析結果となります。
<宛先ポート別検知数>

8月8日:5660件 8月9日:6055件 8月10日:12850件
ポート 件数 割合 サービス ポート 件数 割合 サービス ポート 件数 割合 サービス
8545 2,166 38.27% Ethereum 8545 2,899 47.88% Ethereum 5739 3,278 25.51% ?
445 1,908 33.71% SMB 445 1,782 29.43% SMB 8545 2,905 22.61% Ethereum
3389 84 1.48% RDP 1433 68 1.12% Microsoft SQL Server 445 2,161 16.82% SMB
1433 77 1.36% Microsoft SQL Server 44818 62 1.02% ? 503 160 1.25% intrinsa
6022 64 1.13% X Window System 52869 56 0.93% D-Link, Realtek SDK 22 108 0.84% SSH
52869 61 1.08% D-Link, Realtek SDK 3389 46 0.76% RDP 1433 65 0.51% Microsoft SQL Server
81 38 0.67% GoAhead Web Server  81 41 0.68% GoAhead Web Server  52869 51 0.40% D-Link, Realtek SDK
25 34 0.60% SMTP 5222 34 0.56% ? 3389 41 0.32% RDP
3386 33 0.58% ? 4911 33 0.55% ? 8080 34 0.26% PROXY
8098 32 0.57% ? 79 30 0.50% ? 10000 34 0.26% Webmin

マルウェアダウンロード先>

ポート マルウェアダウンロード先 VT
52869 hxxp://107[.]191[.]99[.]41/elf[.]mips https://www.virustotal.com/ja/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/analysis/1533020160/
52869 hxxp://138[.]68[.]240[.]213/tenshimips[.]mips https://www.virustotal.com/ja/url/63e8fb14fe791f7d992bb77e73668f6b5487b0a0f0079ede6630cf788c9f3b7b/analysis/1536416627/
52869 hxxp://167[.]99[.]171[.]249/hoho[.]mips https://www.virustotal.com/#/url/8cc93d7feb2ed36620aa8c93d0cb4b548f00dde4c9dfddbb5c0790334e53f33b/detection
52869 hxxp://185[.]10[.]68[.]127/rtbin https://www.virustotal.com/ja/url/88391b0b3f2a711655750313557dc9cc13d2aa78a8741d5f395453164be5d7c4/analysis/
5555 hxxp://207[.]148[.]78[.]152/bc https://www.virustotal.com/ja/url/c98d33aea5b9d6bbfc6db731d38ebdb16dfbaf65cb1896a628a0683f94b2b178/analysis/
5555 hxxp://27[.]102[.]115[.]44/adbs2 https://www.virustotal.com/ja/url/62fbd6898d5bd0adae9f5ad713b37f267d5b22c1b4b1ef564bcfa712f0fcf9b0/analysis/
52869 hxxp://74[.]91[.]126[.]105/loli[.]lol[.]mips https://www.virustotal.com/#/url/494e13da8a115b5766b6e0ba41d2b7eb1b1e2a7fc0b0ad448d4b088c63ae6414/detection
8081 hxxp://77[.]87[.]77[.]250/izuku[.]mips https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/
52869 hxxp://80[.]211[.]173[.]159/mips https://www.virustotal.com/#/file/850ddc81cc1ff8982beb3cc826d85eea80db1aa88872a552600000cf5730c6ed/detection

→特に変化なし

◾️ポート 8545 の通信
<リクエスト>
POST / HTTP/1.1
Host: XXX.XX.XXX.XXX:8545
User-Agent: Geth/v1.7.3-stable/linux-md64/go1.9.2

{"jsonrpc":"2.0","method":"eth_accounts","params":[], "id":476}


<内容>
Ethereumノードへの調査活動となります。以下のサイトでも同様な攻撃を検知しており、解説してくれています。

Ethereumノードへの調査活動 - おふとん

ここ数日で急激に増加しているので、攻撃の前兆かもしれないので注視したいと思います。


◾️ポート 5739の通信
<リクエスト>
...+&......Cookie: mstshash=hello..........

<内容>
RDPに接続可能であるかの調査行為となります。RDPに接続する際、Cookie に mstshash とユーザー名をセットして通信を行う仕組みです。今回は hello のユーザー名で入れるかの調査行為ですが、通常であればログインできないと思います。ポート5739でRDPを使っているような記事は見られなかったので、攻撃者の意図が気になります。

------------

ここ数日で検知数が増加したポート番号が出てきましたので、これらのポートは注視していきたいと思います。
今回の簡易分析は以上となります。