sec-chick Blog

サイバーセキュリティブログ

【ハニーポット】Honeytrap簡易分析(131-134日目:12/17-12/20)

Honeytrap簡易分析(131-134日目:12/17-12/21)となります。
※80ポートは収集対象外です。

◾️送信元IP(国)

f:id:one-chick-sec:20181221224312p:plain

◾️検知数グラフ

f:id:one-chick-sec:20181221224331p:plain


18日の深夜帯に検知数が多くなっています。こちらの通信はRDPの不正アクセスを狙ったものであり、複数ポートで検知していました。
ここ数週間、RDPを狙った攻撃が増加傾向です。

検知した送信元IPは以下の通りとなります。

62[.]76[.]75[.]210
195[.]19[.]10[.]195
62[.]76[.]75[.]209



◾️宛先ポート別検知数

宛先ポート

検知数 サービス ペイロード
445 7842 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 719 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
33923 547  ? )$......Cookie: mstshash=NCRACK_USER..
3389 379 RDP ...+&......Cookie: mstshash=hello..........
8080 309 PROXY GET / HTTP/1.1
81 266 UPnP GET /login.cgi
52869 199 D-Link, Realtek SDK POST /picsdesc.xml
6379 143 Redis *1..$4..info..
3390 139 ? ...+&......Cookie: mstshash=hello..........
3395 132 ? ...+&......Cookie: mstshash=hello..........


33923ポート宛ての通信が増加しており、攻撃内容はRDPの不正アクセスを狙ったものでした。ただし、何の脆弱性を狙ったものであるかは調査し切れませんでした。

◾️新規マルウェアダウンロード

ポート マルウェアダウンロード先 VT
52869 hxxp://109[.]201[.]143[.]179/Demon[.]mips https://www.virustotal.com/#/file/4d2da606e565090196b68dda4ab3a8e0ff70b609263756119e09dfd3605df06d/detection
5555 hxxp://80[.]211[.]241[.]28/bc https://www.virustotal.com/#/file/4d2da606e565090196b68dda4ab3a8e0ff70b609263756119e09dfd3605df06d/detection
5555 hxxp://212[.]237[.]16[.]166/bc https://www.virustotal.com/#/url/fe3834efeed5e9c24861e4908d96cc613b567bd53acc038466fa8f125f176835/detection
5555 hxxp://212[.]237[.]16[.]166/c https://www.virustotal.com/#/file/20edcea13097dc7c14cb7929c004c5328b7bfd0e84daceb044585bb09c47a76b/detection
8081 hxxp://94[.]177[.]216[.]74/mips https://www.virustotal.com/#/file/02a724ac5aee0b37e645c048a893b94df3a2a6ed42573ea399b05b90485beb44/detection
52869 hxxp://159[.]89[.]46[.]94/hoho[.]mips

https://www.virustotal.com/#/url/2d83380022e628674b17dbf35113e968a502fe0e54e2ea073fca6a1228a38a5b/detection

新規のMirai系のマルウェアとして hoho[.]mips を検知していました。他は大きく変化はありませんでした。

 
以上となります。