【ハニーポット簡易分析】Honeytrap簡易分析(243-244日目:4/15-4/17)
Honeytrap簡易分析(243-244日目:4/15-4/17)の簡易分析となります。
<宛先ポートおよび送信元IPにおける検知数>
| 宛先ポート | 送信元IP | 検知数 |
| 3390 | 177[.]242[.]184[.]166 | 431 |
| 3392 | 177[.]242[.]184[.]166 | 426 |
| 3314 | 177[.]242[.]184[.]166 | 424 |
| 3391 | 177[.]242[.]184[.]166 | 417 |
| 3389 | 177[.]242[.]184[.]166 | 412 |
宛先ポートごとの送信元IPの検知数を調査したところ、177[.]242[.]184[.]166 からペイロードで検知していました。
ペイロード:
...)$......Cookie: mstshash=NCRACK_USER..
https://www.abuseipdb.com/check/177.242.184.166
ペイロードの内容からRDPの不正アクセスを狙ったものと推測されます。
<新規マルウェアダウンロード>
| ポート | マルウェアダウンロード先 | HTTPリクエストパス | VT | 備考 |
| 9200 | hxxp://43[.]245[.]222[.]57:8667/6HqJB0SPQqbFbHJD/init[.]sh | POST /_search?pretty | Miner | |
| 55555 | hxxp://35[.]237[.]200[.]31/shiina/shiina[.]mips | POST /tmUnblock.cgi |
<気になったマルウェア>
今回は9200ポートで検知したMinerのダウンロードを狙ったスクリプトを調査してみました。
◾️スクリプトinit[.]sh の中身(一部)
setenforce 0 2>dev/null
今回は9200ポートで検知したMinerのダウンロードを狙ったスクリプトを調査してみました。
◾️スクリプトinit[.]sh の中身(一部)
setenforce 0 2>dev/null
〜省略〜
SELinuxの無効化や変数の定義などを行い、Minerダウンロードするための準備段階となります。
以上となります。
SELinuxの無効化や変数の定義などを行い、Minerダウンロードするための準備段階となります。
miner_url="hxxps://xxx.xxx.xxx/xxx/xxx"
miner_url_backup="hxxps://xxx.xxx.xxx/xxx/xxx"
miner_size="854364"
sh_url="hxxps://xxx.xxx.xxx/xxx/xxx"
config_url="hxxps://xxx.xxx.xxx/xxx/xxx"
〜省略〜
Minerをダウンロードする段階となります。
kill_miner_proc()
{
ps auxf|grep -v grep|grep "xxx.xxxx-xxx.fr:3333"|awk '{print $2}'|xargs kill -9
〜省略〜
Minerが競合していると効率が減少するため、他のMinerや無駄なプロセスを停止させる処理となります。
Miner系は下火になってきたと思っていましたが、まだまだMinerの感染を狙った攻撃は続いていることを再確認しました。
〜省略〜
Minerが競合していると効率が減少するため、他のMinerや無駄なプロセスを停止させる処理となります。
Miner系は下火になってきたと思っていましたが、まだまだMinerの感染を狙った攻撃は続いていることを再確認しました。
以上となります。