【ハニーポット簡易分析】Honeytrap簡易分析(273-281日目:5/16-5/25)
SECCON ビギナーズ参加しましたが、難しいなーと感じながら解いていました。
Honeytrap簡易分析(273-281日目:5/16-5/25)となります。
※80ポートは除く
◾️国別アクセス数
◾️日別検知数
5/16日に通信が増加していますが、主にRDPのログインを狙ったものでした。
CVE-2019-0708の影響があるかもしれません。
https://www.jpcert.or.jp/newsflash/2019051501.html
◾️宛先ポート別検知数
| 宛先ポート | 検知数 |
|---|---|
| 445 | 22664 |
| 5722 | 3835 |
| 5432 | 3826 |
| 4320 | 3789 |
| 4413 | 3768 |
| 9584 | 3759 |
| 4798 | 3758 |
| 36663 | 3749 |
| 4807 | 3747 |
| 57775 | 3739 |
◾️新規マルウェアダウンロード
|
マルウェアダウンロードURL |
ペイロード | 脆弱性/対象 | 補足 |
| hxxp://185[.]70[.]105[.]35/teqbins[.]sh | POST /UD/?9 HTTP/1.1 User-Agent: Hello, World. |
/ZyXEL 社 Eir D1000 Wireless Router | |
| hxxp://194[.]147[.]32[.]131/icy[.]sh | POST /UD/?9 HTTP/1.1 User-Agent: Hello, World. |
/ZyXEL 社 Eir D1000 Wireless Router | |
| hxxp://31[.]13[.]195[.]251/ECHO/ECHOBOT[.]x86 | POST /protocol.csp | CVE-2017-9026, CVE-2017-9025)/ HooToo TM6 router |
|
| hxxp://hulo[.]r00ts[.]online/[.]config/Lrep | POST /tmUnblock.cgi HTTP/1.1. | /Linksys | |
| hxxp://hulo[.]r00ts[.]online/[.]configs/Ex01 | POST /tmUnblock.cgi HTTP/1.1. | /Linksys | |
| hxxp://hulo[.]r00ts[.]online/[.]configs/Lrep | POST /tmUnblock.cgi HTTP/1.1. | /Linksys | |
| hxxp://hulo[.]r00ts[.]online/FleX/Lrep | POST /tmUnblock.cgi HTTP/1.1. | /Linksys | |
| hxxp://45[.]67[.]14[.]194/xo/sora[.]mips | POST /HNAP1/ HTTP/1.0 | /D-Link | |
| hxxp://185[.]181[.]10[.]234/E5DB0E07C3D7BE80V520/init[.]sh | POST /_search?pretty HTTP/1.1 .User-Agent: Go-http-client/1.1 |
/Elasticsearch | |
| hxxp://1[.]1[.]1[.]1/Corona[.]mips | POST /picsdesc.xml HTTP/1.1 | CVE-2014-8361/Realtek SDK | |
| hxxp://176[.]223[.]142[.]43/akbins/mips[.]akirag | POST /picsdesc.xml HTTP/1.1 | CVE-2014-8361/Realtek SDK | Mirai |
| hxxp://178[.]62[.]225[.]184/kr | POST /picsdesc.xml HTTP/1.1 | CVE-2014-8361/Realtek SDK | Mirai |
特に新たな脆弱性を狙った攻撃の検知はありませんでした。
◾️7001ポート宛への通信
CVE-2019-2725の脆弱性を狙った通信の検知は少なく、調査行為の通信を1件検知しただけでした。
ペイロード
GET /_async/AsyncResponseService HTTP/1.1
Accept-Encoding: gzip, deflate
Accept: */*..User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36
Connection: keep-alive.
以上となります。
