以下の内容はhttps://sec-chick.hatenablog.com/entry/2018/09/04/015022より取得しました。

ハニーポット簡易分析(25日目:9/2)

9/2 分のハニーポット簡易分析となります。今回、Splunkのサーチ文を工夫したため、分析に必要なデータ収集が約半分程度で終わりました。分析方法についてはどこかで書きたいなーと思っています。

Honeytrap
検知数:3,359件
<宛先ポート別 TOP10>

ポート 件数 割合 サービス
445 1,657 49.33% SMB
3389 74 2.20% RDP
52869 70 2.08% D-Link, Realtek SDK
22 65 1.94% SSH
1911 63 1.88% Arctic
81 47 1.40% ?
1433 46 1.37% Microsoft SQL Server
3350 44 1.31% ?
53 32 0.95% DNS
8080 32 0.95% PROXY

 

 <マルウェアダウンロード>

ダウンロード先 ポート番号 パス 検知数 リンク
hxxp://107[.]191[.]99[.]41/elf[.]mips 52869 POST /picsdesc.xml 22 https://www.virustotal.com/#/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/detection
hxxp://148[.]72[.]176[.]78/ngynx 8081  POST /HNAP1/ 3 https://www.virustotal.com/#/file/ef7e4a132f5abff4f5a404fc9966a6c566a67bd5561b5134ff75ff3c3a2578c5/detection
hxxp://185[.]10[.]68[.]127/rtbin 52869 POST /picdesc.xml  1 https://www.virustotal.com/#/file/86df8e90a8731340b5612b497fec61423582c0afd6280867db13cd46d4727c0b/detection
hxxp://185[.]10[.]68[.]127/rtbin zz POST /wanipcn.xml  1 https://www.virustotal.com/#/file/86df8e90a8731340b5612b497fec61423582c0afd6280867db13cd46d4727c0b/detection
hxxp://185[.]162[.]130[.]187/adbs2 5555   1 https://www.virustotal.com/#/url/57ec0260337088aff2a7d4eadcf1407022fadefdb2e5dae3539abc22e8a9b76c/detection
hxxp://185[.]244[.]25[.]201/bins/salvia[.]mips 52869 POST /picsdesc.xml 1 https://www.virustotal.com/#/url/29a9057aa1200bf48e87142a2d3daff2e1d4cb690f43baae0d8e4fb866f02752/detection
hxxp://185[.]62[.]189[.]149/adbs2 5555   1 https://www.virustotal.com/#/url/dfa0fb0a5116828aeb427a4d66302c0a96e4ade45a057557024b92a020903882/detection
hxxp://206[.]189[.]237[.]137/bins/hoho[.]mips 52869 POST /picsdesc.xml 3 https://www.virustotal.com/#/file/46b4712087dc711de6072bcdf5e945381baa4cb5cf239ba734c79c47d835ca54/detection
hxxp://207[.]148[.]78[.]152/bc 5555   3 https://www.virustotal.com/#/file/46b4712087dc711de6072bcdf5e945381baa4cb5cf239ba734c79c47d835ca54/detection
hxxp://27[.]102[.]115[.]44/adbs2 5555    6 https://www.virustotal.com/#/file/46b4712087dc711de6072bcdf5e945381baa4cb5cf239ba734c79c47d835ca54/detection
hxxp://46[.]101[.]250[.]21/8mips8[.]mips 52869 POST /picsdesc.xml 11 https://www.virustotal.com/#/url/fc2370cb5255365a03956def4019bdf886b2c73669065855d519971088eb9e4e/detection
hxxp://76[.]74[.]170[.]223/shit[.]mips 52869  POST /wanipcn.xml 1 https://www.virustotal.com/#/file/3e874b965844ac82a5f1d479ab1113ea4385f5ed82a2d7b3e243b44273a1a658/detection
hxxp://77[.]87[.]77[.]250/izuku[.]mips 8081 POST /HNAP1/  1 https://www.virustotal.com/#/file/200d5e1ebc293af0ed4974d6f40a129f7488cf88a6984c5feebe0c0e30baadb3/detection
hxxp://77[.]87[.]77[.]250/izuku[.]mips 8081 POST /HNAP1/ 5 https://www.virustotal.com/#/file/200d5e1ebc293af0ed4974d6f40a129f7488cf88a6984c5feebe0c0e30baadb3/detection
hxxp://80[.]211[.]112[.]150/mips 52869 POST /picsdesc.xml  1 https://www.virustotal.com/#/file/23a576856c353a434f8edf1d42c3c46beb48e8d39931043847ed193377decafe/detection

マルウェアはいつも通り、Mirai関連でした。なかなか、他のマルウェアは出てきませんが、のんびりと待ちたいと思います。

 

以上、簡易分析でした。



以上の内容はhttps://sec-chick.hatenablog.com/entry/2018/09/04/015022より取得しました。
このページはhttp://font.textar.tv/のウェブフォントを使用してます
不具合報告/要望等はこちらへお願いします。
モバイルやる夫Viewer Ver0.14