sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeytrap簡易分析(184-1日目:2/3-2/12)

間隔が空いてしまいましたが、Honeytrapの簡易分析となります。
◾️Honeytrap簡易分析
※80ポートは除く

f:id:one-chick-sec:20190213021639p:plain

2/3および2/4に検知数が増加していますが、ポート 27214宛にRDPの不正ログインを狙った攻撃が多数検知していることが原因となっています。2/5以降は特に傾向の変化はありませんでした。

ポート27214に関する記事がないか確認しましたが、特に情報はありませんでした。

◾️宛先ポート別検知数
2/3

宛先ポート 検知数 サービス ペイロード
27214 14,611 ? Cookie: mstshash=hello
445 873 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 152 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
52869 121 Realtek SDK POST /picsdesc.xml
3389 70 RDP ...+&......Cookie: mstshash=hello..........
20000 62 SSH SSH-2.0-libssh2_1.7.0..
82 42 ? ?
27017 36 ? ?
9100 36 ? ?
55554 35 ? ?

2/4

宛先ポート 検知数 サービス ペイロード
27214 32,495 ? Cookie: mstshash=hello
445 954 SMB SMBrS@bPC NETWORK PROGRAM 1.0
3389 177 RDP ...+&......Cookie: mstshash=hello..........
52869 150 Realtek SDK POST /picsdesc.xml
1433 124 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
22222 57 SSH SSH-2.0-libssh2_1.7.0..
1001 57 ? ?
222 56 SSH SSH-2.0-libssh2_1.7.0..
3380 56 ? ?
3392 56 ? ?

2/5

宛先ポート 検知数 サービス ペイロード
445 984 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 141 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
22222 81 SSH SSH-2.0-libssh2_1.7.0..
3389 68 RDP ...+&......Cookie: mstshash=hello..........
22 57 SSH SSH-2.0-libssh2_1.7.0..
52869 47 Realtek SDK POST /picsdesc.xml
2222 35 SSH SSH-2.0-libssh2_1.7.0..
2376 34 ? ?
1434 33 ? ?
789 33 ? ?

2/6

宛先ポート 検知数 サービス ペイロード
445 1,003 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 141 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
22222 73 SSH SSH-2.0-libssh2_1.7.0..
3389 71 RDP ...+&......Cookie: mstshash=hello..........
222 56 SSH SSH-2.0-libssh2_1.7.0..
2222 55 SSH SSH-2.0-libssh2_1.7.0..
443 53 HTTPS ?
81 41 GoAhead Web Server  GET login.cgi
22 36 SSH SSH-2.0-libssh2_1.7.0..
8080 34 PROXY GET /

2/7

宛先ポート 検知数 サービス ペイロード
445 986 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 120 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
20022 111 SSH SSH-2.0-libssh2_1.7.0..
3389 88 RDP ...+&......Cookie: mstshash=hello..........
3398 80 ? ?
443 62 HTTPS ?
52869 43 Realtek SDK POST /picsdesc.xml
81 43 GoAhead Web Server  GET login.cgi
2222 42 SSH SSH-2.0-libssh2_1.7.0..
22222 42 SSH SSH-2.0-libssh2_1.7.0..

2/8

宛先ポート 検知数 サービス ペイロード
445 1,043 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 133 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
3389 88 RDP ...+&......Cookie: mstshash=hello..........
6379 51 ? ?
52869 42 Realtek SDK POST /picsdesc.xml
18245 38 ? ?
2404 35 ? ?
443 34 HTTPS ?
81 34 GoAhead Web Server  GET login.cgi
8080 33 PROXY GET /

2/9

宛先ポート 検知数 サービス ペイロード
445 941 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 146 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
3389 78 RDP ...+&......Cookie: mstshash=hello..........
81 41 GoAhead Web Server  GET login.cgi
52869 37 Realtek SDK POST /picsdesc.xml
25 34 SMTP ?
2087 33 ? ?
22222 31 SSH SSH-2.0-libssh2_1.7.0..
8080 30 PROXY GET /
22 29 SSH SSH-2.0-libssh2_1.7.0..

2/10

宛先ポート 検知数 サービス ペイロード
445 1,307 SMB SMBrS@bPC NETWORK PROGRAM 1.0
22 568 SSH SSH-2.0-libssh2_1.7.0..
1433 129 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
3389 64 RDP ...+&......Cookie: mstshash=hello..........
52869 38 Realtek SDK POST /picsdesc.xml
137 33 NetBIOS Name Service ?
3780 33 ? ?
53 33 DNS ?
631 33 ? ?
7657 33 ? ?

2/11

宛先ポート 検知数 サービス ペイロード
445 1,032 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 132 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
81 68 GoAhead Web Server  GET login.cgi
52869 57 Realtek SDK POST /picsdesc.xml
3389 42 RDP ...+&......Cookie: mstshash=hello..........
443 39 HTTPS ?
6666 37 ? ?
3390 27 ? ?
222 25 SSH SSH-2.0-libssh2_1.7.0..
5555 25 Android Debug Bridge CNXN 2.......host::.OPEN.

2/12

宛先ポート 検知数 サービス ペイロード
445 1,104 SMB SMBrS@bPC NETWORK PROGRAM 1.0
3389 365 RDP ...+&......Cookie: mstshash=hello..........
1433 139 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
52869 67 Realtek SDK POST /picsdesc.xml
81 39 GoAhead Web Server  GET login.cgi
5555 36 Android Debug Bridge CNXN 2.......host::.OPEN.
3390 33 RDP &..Cookie: mstshash=hello
8080 29 PROXY GET /
4567 28 ? ?
2222 27 SSH SSH-2.0-libssh2_1.7.0..


◾️マルウェアダウンロード

宛先ポート URL malware_download_honeytrap 新規マルウェアダウンロード
88 /index.action hxxp://a46.bulehero.in/download.exe  
88 /index.do hxxp://a46.bulehero.in/download.exe  
88 /struts2-rest-showcase/orders.xhtml hxxp://a46.bulehero.in/download.exe  
91 /index.action hxxp://a46.bulehero.in/download.exe  
91 /index.do hxxp://a46.bulehero.in/download.exe  
91 /struts2-rest-showcase/orders.xhtml hxxp://a46.bulehero.in/download.exe  
7001 /wls-wsat/CoordinatorPortType11 hxxp://a46.bulehero.in/download.exe  
8000 /index.action hxxp://a46.bulehero.in/download.exe  
8000 /index.do hxxp://a46.bulehero.in/download.exe  
8000 /struts2-rest-showcase/orders.xhtml hxxp://a46.bulehero.in/download.exe  
8080 /index.action hxxp://a46.bulehero.in/download.exe  
8080 /index.do hxxp://a46.bulehero.in/download.exe  
8080 /struts2-rest-showcase/orders.xhtml hxxp://a46.bulehero.in/download.exe  
8080 /tmUnblock.cgi hxxp://185.244.25.241/bins/cock.mpsl https://www.virustotal.com/#/url/2fbd43cafcf94d79cc1b9f565f6089e43d4e7b56e5ce2a3dbaf153b1d486d2d4/detection
8080 /tmUnblock.cgi hxxp://185.101.105.182/vb/Amakano.mpsl https://www.virustotal.com/#/url/0918c3dc8cfaf876d8a3ca7cdb4af586fe08058c85e3a59cfb1064e84fd6b578/detection
8080 /tmUnblock.cgi hxxp://104.168.149.5/vb/Amakano.mpsl https://www.virustotal.com/#/file/7ccb4ace354edd5868683682181fbb0adedd463c66083e6116bb332230fc5bd1/detection
8080 /tmUnblock.cgi hxxp://80[.]211[.]114[.]27/lx/apep[.]mpsl https://www.virustotal.com/#/file/b02f3d770b7ae7097e2a29aade6c7e6e9b7adb25d8a05bf9fafaef8bb236bb3c/detection
49451 /upnp/control/hag hxxp://67.205.150.97/VPNFilter.sh https://www.virustotal.com/#/file/5577884c48ab1c2e0c12967a2b25ad52f68e1bb4cfc78642b081d54dd44259cb/detection
52869 /picsdesc.xml hxxp://80.211.8.182/Okami.mips https://www.virustotal.com/#/file/32a8b7fdae9d85b3e4b7a39c23c2547254526079649bc1020ffab45d3213684b/detection
52869 /picsdesc.xml hxxp://80.211.8.182/Okami.mips  
52869 /picsdesc.xml hxxp://80.211.75.183/mips https://www.virustotal.com/#/file/3f99461d28626eb37aa1b334b3fd58bc2be166a5938374a8053d08fed99b631f/detection
52869 /picsdesc.xml hxxp://45.62.249.171/khaos.mips https://www.virustotal.com/#/file/3f99461d28626eb37aa1b334b3fd58bc2be166a5938374a8053d08fed99b631f/detection
52869 /picsdesc.xml hxxp://185.101.107.127/Demon.mips  
52869 /picsdesc.xml hxxp://93[.]104[.]209[.]253/bins/Freya[.]mips https://www.virustotal.com/#/url/b130b9f3f3bc26d3b4e4e10b9e7a81336d230fb576508184ab558da454bf445f/detection
52869 /picsdesc.xml hxxp://185[.]101[.]107[.]127/Demon[.]mips  
55555 /tmUnblock.cgi hxxp://185.172.110.203/MG.mipsel https://www.virustotal.com/#/file/7f51624363aca7dc152a25d25bba29a6d9efa53644d60e777b0712e3478422cb/detection
55555 /tmUnblock.cgi hxxp://45[.]32[.]73[.]98/bins[.]sh https://www.virustotal.com/#/url/c72cfacbffd1dd7df7d893cd13ec0edb3b7ad382418e6f17100a92653c2a3716/detection
55555 /tmUnblock.cgi hxxp://185[.]244[.]30[.]151/Corona[.]mipsel https://www.virustotal.com/#/file/ed4cea8e9a3fecf201baae9fac4d35f09969c34a86adfe2835995a4ecaa1efe5/detection
55555 /tmUnblock.cgi hxxp://185[.]172[.]110[.]203/MG[.]mipsel https://www.virustotal.com/#/file/7f51624363aca7dc152a25d25bba29a6d9efa53644d60e777b0712e3478422cb/detection

Mirai/Gafgytの亜種を除いた場合、hxxp://a46[.]bulehero[.]in/download[.]exe のダウンロードが多い印象でした。
Any.runで調査したところ、MinerやTrojanの記載がありました。

http://a46.bulehero.in/download.exe - Interactive analysis - ANY.RUN

 

簡易分析は以上となります。