【ハニーポット簡易分析】Honeypot簡易分析(314日目:6/27)
Honeypot簡易分析(314日目:6/27)となります。
◾️Honeytrap
◾️Honeytrap
※80ポートは除く
<国別検知数および検知数>
<ポート検知数(30日平均比)>
ポート番号 | サービス | 件数 | 件数差(30日平均) |
---|---|---|---|
445 | smb | 3359 | -326 |
23 | telnet | 1231 | -249 |
5900 | vnc | 732 | -4258 |
3306 | mysql | 359 | 135 |
13396 | Unknown | 98 | 89 |
3372 | tip2 | 94 | 75 |
3321 | vnsstr | 93 | 75 |
33940 | Unknown | 93 | 82 |
53399 | Unknown | 93 | 82 |
23395 | Unknown | 92 | 84 |
<新規マルウェアダウンロード>
マルウェア | ペイロード(抜粋) |
157[.]230[.]173[.]232 | POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 |
アクセスしてみると以下の文字列が表示されていました。
six runs your family
おそらく、マルウェアのダウンロード先もアクセスできる時間を短時間に設定していると思われます。通信先のレピテーション情報でブロックする運用は難しいのかもしれません。マルウェアはペイロードから推測するとCoinMiner系のマルウェアではないかと思われます。
◾️WoWHoneeypot
<国別検知数および検知数>
<検知パス一覧>
<新規検知パス一覧>
path | target | CVE | reference | count |
---|---|---|---|---|
/admin/assets/js/views/login.js | FreePBX | - | https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 | 22 |
/ | - | - | - | 20 |
hxxp://110.249.212.46/testget | Unauthorized Relay | - | - | 4 |
/MyAdmin/scripts/setup.php | phpMyAdmin | - | - | 1 |
/index.php | - | - | - | 1 |
/myadmin/scripts/setup.php | phpMyAdmin | - | - | 1 |
/phpmyadmin | phpMyAdmin | - | - | 1 |
/phpmyadmin/index.php | phpMyAdmin | - | - | 1 |
/phpmyadmin/scripts/setup.php | phpMyAdmin | - | - | 1 |
/robots.txt | - | - | - | 1 |
<新規検知パス一覧>
なし
<マルウェアダウンロード>
なし
なし
以上となります。