【ハニーポット簡易分析】Honeypot簡易分析(298-299日目:6/10-6/11)
【ハニーポット簡易分析】Honeypot簡易分析(298-299日目:6/10-6/11)
Honeypot簡易分析となります。
Honeytrap
※80ポートは除く
◾️ポート別検知数
| ポート番号 | サービス | 件数 |
| 5900 | VNC | 14233 |
| 445 | smb | 8252 |
| 10630 | unknown | 6199 |
| 23 | telnet | 2373 |
| 14791 | unknown | 1470 |
| 3389 | rdp | 859 |
| 25 | smtp | 503 |
| 3306 | mysql | 453 |
| 14690 | unknown | 294 |
| 2323 | telnet | 194 |
Unknownは以下のようなRDPへの不正アクセスを狙ったものでした。
<ペイロード>
... &......Cookie: mstshash=hello..........
◾️新規マルウェア
検知なし
WoWHoneypot
◾️ターゲット別検知数(WoWHoneypot)
傾向に大きな変化はありませんでした。
※ - は普通に利用されるパスとなっています。例:index.phpなど
◾️新規検知パス
| ow_path | base64_wow_decrypted |
|---|---|
| /moo | GET /moo HTTP/1.1.Connection: keep-alive.Accept-Encoding: gzip, deflate.Accept: /.User-Agent: Mozilla/5.0.. |
| /html/.env | GET /html/.env HTTP/1.1.User-Agent: curl/7.35.0 |
| /Nmap/folder/check1560131930 | GET /Nmap/folder/check1560131930 HTTP/1.1.Connection: close.User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36.. |
| /NmapUpperCheck1560131930 | GET /NmapUpperCheck1560131930 HTTP/1.1..Connection: close.User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36.. |
| /nmaplowercheck1560131930 | GET /nmaplowercheck1560131930 HTTP/1.1..Connection: close.User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36.. |
こちらは2019年の5月から収集しているパスで新規に検知したパス一覧となっています。まだ、ナレッジが蓄積されていないため、目新しいものはなく、nmapによるアクセスの種類が多い結果となりました。ナレッジが溜まっていけば、不審なものを見つけられるのではないかと思っています。
※「/moo」については何を狙っているのかよく分かりませんでした。
<参考:WoW検知パス一覧>
※新規パスは除く
| path | target | CVE | reference | count |
| / | - | - | - | 64 |
| /admin/assets/js/views/login.js | FreePBX | - | https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 | 51 |
| hxxp://110[.]249[.]212[.]46/testget | Unauthorized Relay | - | - | 5 |
| /phpmyadmin/ | phpMyAdmin | - | - | 3 |
| /HNAP1 | D-Link DIR-850L | CVE-2015-2051 | https://www.morihi-soc.net/?p=981 | 1 |
| /evox/about | Trane Tracer SC | - | https://mogu2itachi.hatenablog.com/entry/2019/03/10/173327 | 1 |
| /sdk | Vmware | - | https://github.com/nmap/nmap/blob/master/scripts/vmware-version.nse | 1 |
| hxxp://112.35.63.31:8088/index.php | Unauthorized Relay | - | - | 1 |
以上、簡易分析となります。
