sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeytrap簡易分析(266-272日目:5/9-5/15)

Honeytrap簡易分析(266-272日目:5/9-5/15)となります。
※80ポートは除く 

f:id:one-chick-sec:20190518005001p:plain

 

f:id:one-chick-sec:20190518005020p:plain


検知数が非常に多くなっていますが、RDPに関する通信が増加したことが原因となります。
◾️ペイロード

f:id:one-chick-sec:20190518175553p:plain

◾️ポート番号

f:id:one-chick-sec:20190518175147p:plain

今回のポート番号を見てみると、3389ではなくあらゆるポートに対して実施されています。送信元IPについては、特定のIPからの通信が多数検知していました。

送信元IP 検知数
185[.]209[.]0[.]43 799,736
185[.]156[.]177[.]95 63,245
141[.]98[.]81[.]34 4,569
198[.]108[.]67[.]48 3,108
185[.]156[.]177[.]24 3,036
92[.]53[.]90[.]84 2,403
193[.]188[.]22[.]118 862
185[.]156[.]177[.]153 361
94[.]139[.]225[.]27 291
185[.]142[.]236[.]34 270

185[.]209[.]0[.]43と185[.]156[.]177[.]95からであり、abuseipでもRDP brute forceとして報告されていました。
https://www.abuseipdb.com/check/185.209.0.43
https://www.abuseipdb.com/check/185.156.177.95

ちなみに今回は自分も abuseipに登録してみました!

f:id:one-chick-sec:20190518180512p:plain


CVE-2019-0708 にてRDPの脆弱性が公開されていることもあり、増加傾向なのかもしれません。

<新規マルウェア

ポート マルウェアダウンロード先 送信元IP パス 検知数
8000 hxxp://kalonboats[.]tk/hakai[.]arm 162[.]255[.]127[.]112 GET /cgi-bin/nobody/Search.cgi 1
8080 hxxp://hulo[.]r00ts[.]online/[.]config/Lrep 157[.]230[.]232[.]159 POST /tmUnblock.cgi 1
8080 hxxp://hulo[.]r00ts[.]online/FleX/Lrep 117[.]0[.]208[.]114 POST /tmUnblock.cgi 1
9200

hxxp://198[.]13[.]42[.]229:8667/6HqJB0SPQqbFbHJD/init[.]sh

39[.]134[.]26[.]20 POST /_search?pretty 1

 
特段、新規の脆弱性や大きく傾向が変わったマルウェアの検知はありませんでした。

以上となります。