ハニーポット簡易分析(31-33日目:9/8-9/10)
なんとか、1ヶ月間分析を継続していけました(だいぶ遅れることはありましたが。。。)。3日分(8/8 - 8/10)のHoneytrapの解析結果となります。
<宛先ポート別検知数>
8月8日:5660件 | 8月9日:6055件 | 8月10日:12850件 | |||||||||
ポート | 件数 | 割合 | サービス | ポート | 件数 | 割合 | サービス | ポート | 件数 | 割合 | サービス |
8545 | 2,166 | 38.27% | Ethereum | 8545 | 2,899 | 47.88% | Ethereum | 5739 | 3,278 | 25.51% | ? |
445 | 1,908 | 33.71% | SMB | 445 | 1,782 | 29.43% | SMB | 8545 | 2,905 | 22.61% | Ethereum |
3389 | 84 | 1.48% | RDP | 1433 | 68 | 1.12% | Microsoft SQL Server | 445 | 2,161 | 16.82% | SMB |
1433 | 77 | 1.36% | Microsoft SQL Server | 44818 | 62 | 1.02% | ? | 503 | 160 | 1.25% | intrinsa |
6022 | 64 | 1.13% | X Window System | 52869 | 56 | 0.93% | D-Link, Realtek SDK | 22 | 108 | 0.84% | SSH |
52869 | 61 | 1.08% | D-Link, Realtek SDK | 3389 | 46 | 0.76% | RDP | 1433 | 65 | 0.51% | Microsoft SQL Server |
81 | 38 | 0.67% | GoAhead Web Server | 81 | 41 | 0.68% | GoAhead Web Server | 52869 | 51 | 0.40% | D-Link, Realtek SDK |
25 | 34 | 0.60% | SMTP | 5222 | 34 | 0.56% | ? | 3389 | 41 | 0.32% | RDP |
3386 | 33 | 0.58% | ? | 4911 | 33 | 0.55% | ? | 8080 | 34 | 0.26% | PROXY |
8098 | 32 | 0.57% | ? | 79 | 30 | 0.50% | ? | 10000 | 34 | 0.26% | Webmin |
<マルウェアダウンロード先>
→特に変化なし
◾️ポート 8545 の通信
<リクエスト>
POST / HTTP/1.1
Host: XXX.XX.XXX.XXX:8545
User-Agent: Geth/v1.7.3-stable/linux-md64/go1.9.2
{"jsonrpc":"2.0","method":"eth_accounts","params":[], "id":476}
<内容>
Ethereumノードへの調査活動となります。以下のサイトでも同様な攻撃を検知しており、解説してくれています。
Ethereumノードへの調査活動 - おふとん
ここ数日で急激に増加しているので、攻撃の前兆かもしれないので注視したいと思います。
◾️ポート 5739の通信
<リクエスト>
...+&......Cookie: mstshash=hello..........
<内容>
RDPに接続可能であるかの調査行為となります。RDPに接続する際、Cookie に mstshash とユーザー名をセットして通信を行う仕組みです。今回は hello のユーザー名で入れるかの調査行為ですが、通常であればログインできないと思います。ポート5739でRDPを使っているような記事は見られなかったので、攻撃者の意図が気になります。
------------
ここ数日で検知数が増加したポート番号が出てきましたので、これらのポートは注視していきたいと思います。
今回の簡易分析は以上となります。