sec-chick Blog

サイバーセキュリティブログ

【ハニーポット】Honeytrap簡易分析(95-101日目:11/11-11/17)

95-101日目のHoneytrapの簡易分析となります。


Honeytrap簡易分析(95-101日目:11/11-11/17)
◾️送信元IP別マッピング

f:id:one-chick-sec:20181130025941p:plain

 ◾️日次検知数

f:id:one-chick-sec:20181130030003p:plain

<11/11>
1:00 - 7:00 にかけて検知数が増加していました。主に増加していたポートは8545宛の通信が多い傾向でした。定期的にEthereum宛の通信は検知しています。時間があるときに何か法則性はないか調査できればと考えています。

宛先ポート 検知数 サービス 補足
445 11361 SMB  
8545 4872 Ethereum  POST / HTTP/1.1 User-Agent: Geth/v1.7.3-stable/linux-amd64/go1.9.2 {"jsonrpc":"2.0","method":"eth_accounts","params":[], "id":10671}
3389 2623 RDP  
22 2209 SSH  
81 589 UPnP   
1433 445 Microsoft SQL Server  
503 259 ?  
8080 244 PROXY  
52869 238 D-Link, Realtek SDK
9922 222 SSH SSH-2.0-libssh2_1.4.3..

<ポート 503宛への通信>
ペイロードからはどのような攻撃であるかは判断することが出来ませんでした。
Google先生で調査してみましたが、特定の脆弱性を狙ったものか、調査することが出来ませんでした。


◾️マルウェアダウンロード

宛先ポート

マルウェアダウンロード先 検知数
52869 hxxp://194[.]147[.]32[.]226/jiren[.]mips 51
5555 hxxp://209[.]97[.]163[.]186/bc 18
52869 hxxp://109[.]201[.]143[.]178/loli[.]mips 15
52869 hxxp://194[.]147[.]32[.]226/Demon[.]mips 15
5555 hxxp://89[.]46[.]79[.]57/bc 11
5555 hxxp://188[.]209[.]52[.]142/c 5
52869 hxxp://194[.]147[.]32[.]226/rhasdfhasdfh/jiren[.]mips 5
5555 hxxp://185[.]162[.]130[.]187/adbs2 3
5555 hxxp://80[.]211[.]117[.]113/bc 3
5555 hxxp://207[.]148[.]64[.]177/a 2
5555 hxxp://27[.]102[.]115[.]44/adbs2 1
5555 hxxp://cnc[.]junoland[.]xyz/lol[.]sh 1

<新規検知マルウェア>
https://www.virustotal.com/#/url/aef7b3652276d536b8b1df4a5d60599e2c60572b9302642732499dec1cc08aec/detection

https://www.virustotal.com/#/url/6a371d8722958ed33d808ee7b018e1d3942dd003c048db4e1b99326ed9f55220/detection
https://www.virustotal.com/#/file/7bc98d940f7d2ea7aa5614ecaa529559eee2c4b954d08c2e0aa3b76ca1f60d53/detection

https://www.virustotal.com/#/url/d2739409842c80ef4409b2da638db07092efc4db035849cb79a7eddb81722ef9/detection

https://www.virustotal.com/#/url/bbbbad988c92d34b50ae10b1b7f983853e88e0482ca40e6c1b36ce4bac87973c/detection


以上となります。