【ハニーポット簡易分析】Honeypot簡易分析(314日目:6/27)
Honeypot簡易分析(314日目:6/27)となります。
◾️Honeytrap
◾️Honeytrap
※80ポートは除く
<国別検知数および検知数>
<ポート検知数(30日平均比)>
| ポート番号 | サービス | 件数 | 件数差(30日平均) |
|---|---|---|---|
| 445 | smb | 3359 | -326 |
| 23 | telnet | 1231 | -249 |
| 5900 | vnc | 732 | -4258 |
| 3306 | mysql | 359 | 135 |
| 13396 | Unknown | 98 | 89 |
| 3372 | tip2 | 94 | 75 |
| 3321 | vnsstr | 93 | 75 |
| 33940 | Unknown | 93 | 82 |
| 53399 | Unknown | 93 | 82 |
| 23395 | Unknown | 92 | 84 |
<新規マルウェアダウンロード>
| マルウェア | ペイロード(抜粋) |
| 157[.]230[.]173[.]232 | POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 |
アクセスしてみると以下の文字列が表示されていました。
six runs your family
おそらく、マルウェアのダウンロード先もアクセスできる時間を短時間に設定していると思われます。通信先のレピテーション情報でブロックする運用は難しいのかもしれません。マルウェアはペイロードから推測するとCoinMiner系のマルウェアではないかと思われます。
◾️WoWHoneeypot
<国別検知数および検知数>
<検知パス一覧>
<新規検知パス一覧>
| path | target | CVE | reference | count |
|---|---|---|---|---|
| /admin/assets/js/views/login.js | FreePBX | - | https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 | 22 |
| / | - | - | - | 20 |
| hxxp://110.249.212.46/testget | Unauthorized Relay | - | - | 4 |
| /MyAdmin/scripts/setup.php | phpMyAdmin | - | - | 1 |
| /index.php | - | - | - | 1 |
| /myadmin/scripts/setup.php | phpMyAdmin | - | - | 1 |
| /phpmyadmin | phpMyAdmin | - | - | 1 |
| /phpmyadmin/index.php | phpMyAdmin | - | - | 1 |
| /phpmyadmin/scripts/setup.php | phpMyAdmin | - | - | 1 |
| /robots.txt | - | - | - | 1 |
<新規検知パス一覧>
なし
<マルウェアダウンロード>
なし
なし
以上となります。
