sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeypot簡易分析(318日目:7/1)

Honeypot簡易分析(318日目:7/1)となります。

◾️Honeytrap
※80ポートは除く
<国別検知数および検知数>

f:id:one-chick-sec:20190703065309p:plain

<ポート検知数(30日平均比)>
ポート番号 サービス 件数 件数差(30日平均)
445 smb 3882 347
23 telnet 1593 166
5900 vnc 525 -4465
3306 mysql 315 100
3389 rdp 137 -139
2323 telnet 111 29
5555 personal-agent 104 73
3307 opsession-prxy 101 69
7610 Unknown 100 96
789 Unknown  96 95

<新規マルウェアダウンロード>
malware payload(例)
hxxp:/\/178[.]33[.]181[.]23/infect GET /shell
hxxp://185[.]244[.]25[.]24/k CNXN
89[.]34[.]26[.]202 POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
104[.]248[.]93[.]159 POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
hxxp://168[.]235[.]89[.]216/IDJAPbins[.]sh POST /picsdesc.xml HTTP/1.1
hxxp:/\/185[.]244[.]25[.]171/bins/Jaws[.]sh GET /shell

IoT系のマルウェアがほとんどでした。
◾️WoWHoneeypot
<国別検知数および検知数>

f:id:one-chick-sec:20190703070803p:plain

<検知パス一覧>
path target CVE reference count
/wp/wp-login.php WordPress - - 389
/forum/wp-login.php WordPress - - 380
/wordpress/wp-login.php WordPress - - 380
/forum/xmlrpc.php WordPress - - 161
/wordpress/xmlrpc.php WordPress - - 158
/wp/xmlrpc.php WordPress - - 158
/admin/assets/js/views/login.js FreePBX - https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 24
/ - - - 22
/Login.htm - - - 2
/blog// WordPress - - 1
/blog//wp-json/wp/v2/users/ WordPress - - 1
/blog/wp-login.php WordPress - - 1
/forum// WordPress - - 1
/forum//wp-json/wp/v2/users/ WordPress - - 1
/robots.txt - - - 1
/shell Webshell - - 1
/test// WordPress - - 1
/test//wp-json/wp/v2/users/ WordPress - - 1
/test/wp-login.php WordPress - - 1
/wordpress// WordPress - - 1
/wordpress//wp-json/wp/v2/users/ WordPress - - 1
Wordpressのスキャン行為により、検知が増加していました。

<新規検知パス一覧>
path
/user/wp-login.php
/user/xmlrpc.php

 

マルウェアダウンロード>

なし

以上となります。