ハニーポット簡易分析(39日目:9/16)

ハニーポット(Honeytrap)簡易分析の9/16日分となります。

＜宛先ポート別TOP10＞

9月16日：8594件
宛先ポート	件数	割合	サービス
8545	2,905	33.80%	Ethereum
1433	2,165	25.19%	Microsoft SQL Server
445	1,580	18.39%	SMB
22	88	1.02%	SSH
3390	73	0.85%	?
3389	58	0.68%	RDP
52869	38	0.44%	D-Link, Realtek SDK
81	34	0.40%	GoAhead Web Server
465	33	0.38%	SMTPS
2455	32	0.37%	wago-io-system

◾️Microsoft SQL Serverへのアクセス
パッと、ペイロードを確認する限りは特に攻撃と思われる文字列はありませんでした。BOFなどであった場合、デコードしても特に意味はないと思うので、ここらの検知をどうするかは課題の一つだと考えています。IDSをちゃんと検知できるようにチューニングしなければ。。。。。

HEX表記：
1201002900000000000015000601001b000102001c000103001d0004ff0800015500000000f00b0000
デコード後：
...)............................U........

<マルウェアダウンロード>

マルウェアURL	件数	VT
hxxp://107[.]191[.]99[.]41/elf[.]mips	19	https://www.virustotal.com/ja/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/analysis/1533020160/
hxxp://188[.]209[.]52[.]142/c	15	https://www.virustotal.com/#/url/8a392244d6648ac3fed7dcb98c79a24f89a5f6602ad007d2026e2cbf951547a8/detection
hxxp://146[.]185[.]253[.]127/keiji[.]mips	9	https://www.virustotal.com/#/file/708f5e3b9c7e0b91f116b7c15c7f6f0a11499867afc2843ff4b890feae8e750a/detection
hxxp://74[.]91[.]126[.]105/loli[.]lol[.]mips	4	https://www.virustotal.com/#/url/8cc93d7feb2ed36620aa8c93d0cb4b548f00dde4c9dfddbb5c0790334e53f33b/detection
hxxp://80[.]211[.]106[.]251/mips	4	https://www.virustotal.com/#/url/4869115c28db63cac236e2096511888609e4876831fbf67c229255157d7beffe/detection
hxxp://27[.]102[.]115[.]44/adbs2	2	https://www.virustotal.com/ja/url/62fbd6898d5bd0adae9f5ad713b37f267d5b22c1b4b1ef564bcfa712f0fcf9b0/analysis/
hxxp://77[.]87[.]77[.]250/izuku[.]mips	1	https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/

マルウェアは新規で検知したものはありませんでした。

以上、簡易分析となります。

sec-chick Blog

サイバーセキュリティブログ

ハニーポット簡易分析(39日目:9/16)