ハニーポット簡易分析(34-38日目:9/11-9/15)
ちょっと感覚が空いてしまいましたが、Honeytrapの簡易分析した結果を記載します。
9月11日〜9月15日のHoneytrapのログ
9月11日:10073件 | |||
宛先ポート | 件数 | 割合 | サービス |
8545 | 2,907 | 28.86% | Ethereum |
445 | 1,996 | 19.82% | SMB |
22 | 1,047 | 10.39% | SSH |
5739 | 130 | 1.29% | ? |
81 | 81 | 0.80% | GoAhead Web Server |
1433 | 62 | 0.62% | Microsoft SQL Server |
52869 | 51 | 0.51% | D-Link, Realtek SDK |
3389 | 46 | 0.46% | RDP |
8080 | 46 | 0.46% | PROXY |
129 | 32 | 0.32% | Password Generator Protocol |
9月12日:8480件 | |||
宛先ポート | 件数 | 割合 | サービス |
8545 | 2,900 | 34.20% | Ethereum |
445 | 1,991 | 23.48% | SMB |
3389 | 105 | 1.24% | RDP |
52869 | 85 | 1.00% | D-Link, Realtek SDK |
1433 | 61 | 0.72% | Microsoft SQL Server |
81 | 45 | 0.53% | GoAhead Web Server |
82 | 33 | 0.39% | ? |
111 | 33 | 0.39% | ONC RPC (Sun RPC) |
4222 | 32 | 0.38% | Multi User Systems |
8080 | 32 | 0.38% | PROXY |
9月13日:7524件 | |||
宛先ポート | 件数 | 割合 | サービス |
8545 | 2,903 | 38.58% | Ethereum |
445 | 1,941 | 25.80% | SMB |
22 | 311 | 4.13% | SSH |
52869 | 86 | 1.14% | D-Link, Realtek SDK |
1433 | 50 | 0.66% | Microsoft SQL Server |
81 | 50 | 0.66% | GoAhead Web Server |
3389 | 41 | 0.55% | RDP |
27017 | 34 | 0.45% | MongoDB |
7777 | 34 | 0.45% | ? |
6000 | 33 | 0.44% | IRC |
9月14日:6516件 | |||
宛先ポート | 件数 | 割合 | サービス |
8545 | 2,904 | 44.57% | Ethereum |
445 | 1,873 | 28.75% | SMB |
443 | 83 | 1.27% | HTTPS |
3389 | 62 | 0.95% | RDP |
81 | 55 | 0.84% | GoAhead Web Server |
1433 | 52 | 0.80% | Microsoft SQL Server |
52869 | 49 | 0.75% | D-Link, Realtek SDK |
1434 | 33 | 0.51% | Microsoft SQL Server |
2252 | 33 | 0.51% | NJENET using SSL |
2376 | 33 | 0.51% | ? |
9月15日:6404件 | |||
宛先ポート | 件数 | 割合 | サービス |
8545 | 2,904 | 45.35% | Ethereum |
445 | 1,691 | 26.41% | SMB |
22 | 98 | 1.53% | SSH |
789 | 64 | 1.00% | ? |
1433 | 59 | 0.92% | Microsoft SQL Server |
81 | 43 | 0.67% | GoAhead Web Server |
3389 | 41 | 0.64% | RDP |
8080 | 40 | 0.63% | PROXY |
5555 | 29 | 0.45% | Android Debug Bridge |
3388 | 20 | 0.31% | ? |
<Ethereum関連の通信について>
◾️検知数
◾️送信元IP
送信元IP | 件数 |
46[.]166.148.196 | 22,448 |
172[.]105.211.241 | 26 |
213[.]202.242.16 | 26 |
138[.]197.137.152 | 24 |
185[.]10.68.247 | 16 |
122[.]228.10.50 | 1 |
71[.]6.146.130 | 1 |
80[.]82.77.139 | 1 |
80[.]82.77.33 | 1 |
グラフにまとめてみると、9/7から急激に増加しています。送信元IPは46[.]166.148.196から集中的に検知していました。該当のURLについて、調査して見ましたが特に悪質であるという明確な情報は得られませんでした。
Reputation Lookup - Cisco Talos
ペイロードは以下の内容であり、idの部分のみを変えて送ってきます。毎回同じリクエストを送ってくるので、毎日同じ検知数となっています。
<リクエスト内容>
POST / HTTP/1.1
Host: xxx.xxx.xxx.xxx:8545
User-Agent: Geth/v1.7.3-stable/linux-amd64/go1.9.2
Content-Length: 66 Content-Type: application/json
Accept-Encoding: gzip
Connection: close.
{"jsonrpc":"2.0","method":"eth_accounts","params":[], "id":309722}
ノードが持つアドレスを取得するメソッドを送信しているものですが、送信元が同じであることを考慮すると、調査行為というより、何かしらで設定をミスって自分のハニポのIPへ送信しているのかもしれません。現状はレスポンスを返すような設定を入れていないですが、レスポンスをきちんと返してあげれば、何かしらの反応があるかもしれません。
<マルウェアのダウンロード傾向>
特に大きく変わっていませんでした。Mirai系のマルウェアが多いですが、厳密にはいくつか種類があるので、ここら辺も一度整理したいと思ってます。
以上、簡易分析となります。