Honeytrap簡易分析(245-248日目:4/18-4/21)の簡易分析となります。
※80ポートは除く
vTiger CRMの脆弱性を狙った通信が4/21 5:00 - 7:00 頃にかけて増加していました。複数のポートに対してパスが存在するかの調査行為のみの検知でした。
◾️通信内容:
GET //vtigercrm/vtigerservice.php HTTP/1.1
User-Agent: python-requests/2.6.0 CPython/2.7.5 Linux/3.10.0-957.1.3.el7.x86_64
◾️送信元IP:
46[.]17[.]46[.]3 (https://www.abuseipdb.com/check/46.17.46.3)
abuseipdbでも同様の通信を検知している報告がありました。
◾️Exploit code:
https://www.exploit-db.com/exploits/35577
他にハニーポッタでも同様の通信を検知しているようです。
https://cute-0tter.hatenablog.com/entry/2019/02/25/235730
<新規マルウェア>
| ポート | マルウェアダウンロード先 | HTTPリクエストパス | VT | 備考 |
| 6666 | hxxp://31[.]13[.]195[.]251/UqHDZbqr9S[.]sh | POST /protocol.csp | ||
| 8080 | hxxp://185[.]244[.]25[.]135/nope/mpsl[.]daddyscum | POST /tmUnblock.cgi | mirai | |
| 52869 | hxxp://176[.]56[.]237[.]213/Demon[.]mips | POST /picsdesc.xml | Gafgyt | |
| 52869 |
hxxp://23[.]254[.]224[.]39/mips |
POST /picsdesc.xml |
IoT系を狙った攻撃が多く、日々新しいダウンロード先を検知しています。まだまだ、ノラのIoT製品が多く、攻撃者側も常にツールか何かで攻撃しているように思えました。
以上となります。
