sec-chick Blog

サイバーセキュリティブログ

ハニーポット簡易分析(34-38日目:9/11-9/15)

ちょっと感覚が空いてしまいましたが、Honeytrapの簡易分析した結果を記載します。

 9月11日〜9月15日のHoneytrapのログ

9月11日:10073件
宛先ポート 件数 割合 サービス
8545 2,907 28.86% Ethereum
445 1,996 19.82% SMB
22 1,047 10.39% SSH
5739 130 1.29% ?
81 81 0.80% GoAhead Web Server 
1433 62 0.62% Microsoft SQL Server
52869 51 0.51% D-Link, Realtek SDK
3389 46 0.46% RDP
8080 46 0.46% PROXY
129 32 0.32% Password Generator Protocol

 

9月12日:8480件
宛先ポート 件数 割合 サービス
8545 2,900 34.20% Ethereum
445 1,991 23.48% SMB
3389 105 1.24% RDP
52869 85 1.00% D-Link, Realtek SDK
1433 61 0.72% Microsoft SQL Server
81 45 0.53% GoAhead Web Server 
82 33 0.39% ?
111 33 0.39% ONC RPC (Sun RPC)
4222 32 0.38% Multi User Systems
8080 32 0.38% PROXY

 

9月13日:7524件
宛先ポート 件数 割合 サービス
8545 2,903 38.58% Ethereum
445 1,941 25.80% SMB
22 311 4.13% SSH
52869 86 1.14% D-Link, Realtek SDK
1433 50 0.66% Microsoft SQL Server
81 50 0.66% GoAhead Web Server 
3389 41 0.55% RDP
27017 34 0.45% MongoDB
7777 34 0.45% ?
6000 33 0.44% IRC

 

9月14日:6516件
宛先ポート 件数 割合 サービス
8545 2,904 44.57% Ethereum
445 1,873 28.75% SMB
443 83 1.27% HTTPS
3389 62 0.95% RDP
81 55 0.84% GoAhead Web Server 
1433 52 0.80% Microsoft SQL Server
52869 49 0.75% D-Link, Realtek SDK
1434 33 0.51% Microsoft SQL Server
2252 33 0.51% NJENET using SSL
2376 33 0.51% ?

 

9月15日:6404件
宛先ポート 件数 割合 サービス
8545 2,904 45.35% Ethereum
445 1,691 26.41% SMB
22 98 1.53% SSH
789 64 1.00% ?
1433 59 0.92% Microsoft SQL Server
81 43 0.67% GoAhead Web Server 
3389 41 0.64% RDP
8080 40 0.63% PROXY
5555 29 0.45% Android Debug Bridge
3388 20 0.31% ?

 

<Ethereum関連の通信について>
◾️検知数

f:id:one-chick-sec:20180916183320p:plain

◾️送信元IP

送信元IP 件数
46[.]166.148.196 22,448
172[.]105.211.241 26
213[.]202.242.16 26
138[.]197.137.152 24
185[.]10.68.247 16
122[.]228.10.50 1
71[.]6.146.130 1
80[.]82.77.139 1
80[.]82.77.33 1


グラフにまとめてみると、9/7から急激に増加しています。送信元IPは46[.]166.148.196から集中的に検知していました。該当のURLについて、調査して見ましたが特に悪質であるという明確な情報は得られませんでした。

Reputation Lookup - Cisco Talos

ペイロードは以下の内容であり、idの部分のみを変えて送ってきます。毎回同じリクエストを送ってくるので、毎日同じ検知数となっています。


<リクエスト内容>
POST / HTTP/1.1
Host: xxx.xxx.xxx.xxx:8545
User-Agent: Geth/v1.7.3-stable/linux-amd64/go1.9.2
Content-Length: 66 Content-Type: application/json
Accept-Encoding: gzip
Connection: close.

{"jsonrpc":"2.0","method":"eth_accounts","params":[], "id":309722}

ノードが持つアドレスを取得するメソッドを送信しているものですが、送信元が同じであることを考慮すると、調査行為というより、何かしらで設定をミスって自分のハニポのIPへ送信しているのかもしれません。現状はレスポンスを返すような設定を入れていないですが、レスポンスをきちんと返してあげれば、何かしらの反応があるかもしれません。

 

マルウェアのダウンロード傾向>

特に大きく変わっていませんでした。Mirai系のマルウェアが多いですが、厳密にはいくつか種類があるので、ここら辺も一度整理したいと思ってます。

宛先ポート マルウェアダウンロードURL VT
5555 hxxp://185[.]162[.]130[.]187/adbs2 https://www.virustotal.com/ja/url/a2784a34beaea3d7dc9f3099fc03f4c56446a5116577281e6142b445a4ad2003/analysis/
5555 hxxp://207[.]148[.]78[.]152/bc https://www.virustotal.com/ja/url/c98d33aea5b9d6bbfc6db731d38ebdb16dfbaf65cb1896a628a0683f94b2b178/analysis/
5555 hxxp://27[.]102[.]115[.]44/adbs2 https://www.virustotal.com/ja/url/62fbd6898d5bd0adae9f5ad713b37f267d5b22c1b4b1ef564bcfa712f0fcf9b0/analysis/1536299216/
8081 hxxp://77[.]87[.]77[.]250/izuku[.]mips https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/
52869 hxxp://107[.]191[.]99[.]41/elf[.]mips https://www.virustotal.com/ja/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/analysis/1533020160/
52869 hxxp://167[.]88[.]117[.]178/kratos[.]mips https://www.virustotal.com/#/file/f8bda8dd8ce8538cff98edb2cf7ef2a64f4a6b96e9dba1ed41a1bfb212d31851/detection
52869 hxxp://212[.]237[.]32[.]62/mips https://www.virustotal.com/#/file/40e606c1d09c76d4681d3c745bf5dc261559b241c78ed9cb7baa59e6dcbb44ff/detection
52869 hxxp://74[.]91[.]126[.]105/loli[.]lol[.]mips https://www.virustotal.com/#/url/8cc93d7feb2ed36620aa8c93d0cb4b548f00dde4c9dfddbb5c0790334e53f33b/detection
52869 hxxp://80[.]211[.]173[.]159/mips https://www.virustotal.com/ja/file/850ddc81cc1ff8982beb3cc826d85eea80db1aa88872a552600000cf5730c6ed/analysis/1536298848/
52869 hxxp://107[.]191[.]99[.]41/loli[.]lol[.]mips https://www.virustotal.com/#/file/3d57de9c546ae22e688c2aa3c67f1477ed53ff415facb8410d0964b4a7e367c2/detection
52869 hxxp://146[.]185[.]253[.]127/keiji[.]mips https://www.virustotal.com/#/file/708f5e3b9c7e0b91f116b7c15c7f6f0a11499867afc2843ff4b890feae8e750a/detection
8081 hxxp://176[.]32[.]33[.]165/mips https://www.virustotal.com/#/file/2a5336e77002a6ebbaa51206cb7a1142463b80bd1299b5a6635c1d3bd1533711/detection
5555 hxxp://188[.]209[.]52[.]142/c https://www.virustotal.com/#/url/8a392244d6648ac3fed7dcb98c79a24f89a5f6602ad007d2026e2cbf951547a8/detection
8081 hxxp://80[.]211[.]106[.]251/mips https://www.virustotal.com/#/url/4869115c28db63cac236e2096511888609e4876831fbf67c229255157d7beffe/detection

 

以上、簡易分析となります。