【ハニーポット簡易分析】Honeytrap簡易分析(288-297日目:6/1-6/9)
Honeytrap簡易分析(288-297日目:6/1-6/9)となります。
◾️Honeytrap
※80ポートは除く
6/9に検知数が増加していますが、193[.]106[.]29[.]66 からのRDPの不正アクセスによるものでした。
<検知ポート>
| ポート番号 | サービス | 件数 |
| 5900 | VNC | 126524 |
| 445 | SMB | 40703 |
| 23 | telnet | 19428 |
| 3389 | RDP | 4227 |
| 3306 | mysql | 3283 |
| 25 | smtp | 2834 |
| 5901 | VNC | 2024 |
| 2323 | telnet | 1022 |
| 1433 | ms-sql | 620 |
| 8080 | proxy | 444 |
RDPではなく、VNCのログを多く検知していました。特にペイロードには何も含まれていないため、ポートが空いているかどうかの調査行為と思われます。
| 新規マルウェアダウンロード | VT |
| hxxp://w[.]lazer-n[.]com:43768/lll[.]sh | |
| hxxp://195[.]201[.]235[.]173 | |
| 37[.]49[.]225[.]230 | |
| hxxp:/\/185[.]244[.]25[.]185/bins/Jaws[.]sh | |
| 68[.]183[.]39[.]48 | |
| hxxp://216[.]176[.]179[.]106:9090/26006\ | |
| hxxp://134[.]209[.]183[.]3/z[.]sh | VirusTotal |
| hxxp://134[.]209[.]183[.]3/akbins/mpsl[.]akira[.]ak | VirusTotal |
| 159[.]203[.]21[.]20 |
特に新たな脆弱性や大きく傾向が変わったマルウェアの検知はありませんでした。
WoWHoneypot
新規検知パス
| パス | 対象 |
| /index_main.php | Unknown |
| HTTP/1.1 | - |
| /warning.html | Unknown |
| /xmlrpc.php | WordPress |
| /user/login.html | Unknown |
| hxxp://185[.]172[.]110[.]221:80/proxy_get.php | Unauthorized Relay |
| /public/hydra.php | Webshell |
| /public/index.php | - |
| /login | - |
| /backup | - |
| hxxp://112[.]35[.]66[.]7:8088/index.php | Unauthorized Relay |
| hxxp://185[.]172[.]110[.]221/check.php | Unauthorized Relay |
| /main.php | - |
| /api_jsonrpc.php | Zabbix |
| /zabbix/api_jsonrpc.php | Zabbix |
| //proxies.php | Zabbix |
| /zabbix//proxies.php | Zabbix |
| /zabbix/jsrpc.php | Zabbix |
| /jsrpc.php | Zabbix |
| /zabbix//httpmon.php | Zabbix |
| //httpmon.php | Zabbix |
| hxxp://112[.]35[.]63[.]31:8088/index.php | Unauthorized Relay |
| /forum1/xmlrpc.php | WordPress |
| /wp8/xmlrpc.php | WordPress |
| /wordpress8/xmlrpc.php | WordPress |
| /siteblog/xmlrpc.php | WordPress |
| /myblog/xmlrpc.php | WordPress |
| /wordpress9/xmlrpc.php | WordPress |
| /wordpress3/xmlrpc.php | WordPress |
| /wordpress6/xmlrpc.php | WordPress |
| /wp7/xmlrpc.php | WordPress |
| /wordpress1/xmlrpc.php | WordPress |
| /wp5/xmlrpc.php | WordPress |
| /test/xmlrpc.php | WordPress |
| /wp4/xmlrpc.php | WordPress |
| /wp3/xmlrpc.php | WordPress |
| /wp1/xmlrpc.php | WordPress |
| /site/xmlrpc.php | WordPress |
| /wp2/xmlrpc.php | WordPress |
| /forum/xmlrpc.php | WordPress |
| /wp/xmlrpc.php | WordPress |
| /wordpress/xmlrpc.php | WordPress |
| /wordpress7/xmlrpc.php | WordPress |
| /wordpress4/xmlrpc.php | WordPress |
| /wordpress2/xmlrpc.php | WordPress |
| /blog/xmlrpc.php | WordPress |
新規検知パスは5月からの集計しているため、まだまだナレッジが溜まっていない状況です。特段、新たな脆弱性を狙った通信はありませんが、Wordpress関連の通信が多い印象でした。
簡易分析は以上となります。
