sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeypot簡易分析(2020/5/1)

/public/spread.php に対してバックドアを設置していると思われる通信を検知していました。 何の製品を狙ったものであるか特定はできていませんが。。。。

Port(TOP20)

  1. Honeytrap
Port Service Count
22 The Secure Shell (SSH) Protocol 3372 件
1433 Microsoft-SQL-Server 1536 件
445 Microsoft-DS 1458 件
3389 MS WBT Server 669 件
9943 Unknown 136 件
13 Daytime 101 件
1057 STARTRON 98 件
19101 Unknown 98 件
89 SU/MIT Telnet Gateway 97 件
49158 Unknown 96 件
2111 OPNET Dynamic Sampling Agent Transaction Protocol 96 件
10566 Unknown 95 件
8254 Unknown 94 件
9877 The X.510 wrapper protocol 94 件
8009 NVMe over Fabrics Discovery Service 93 件
5510 Unknown 93 件
6789 GSS-API for the Oracle Remote Administration Daemon 93 件
6567 Unknown 90 件
9200 WAP connectionless session service 88 件
3003 CGMS 88 件

IP(TOP20)

01 Honeytrap

IP Country Count AbuseIPDB
185[.]202[.]1[.]19 France 8197 件 Link
185[.]202[.]2[.]77 France 3536 件 Link
185[.]158[.]113[.]43 Russia 1967 件 Link
51[.]68[.]128[.]161 France 1076 件 Link
185[.]202[.]2[.]120 France 895 件 Link
218[.]92[.]0[.]208 China 872 件 Link
185[.]202[.]1[.]10 France 847 件 Link
198[.]245[.]50[.]167 Canada 756 件 Link
27[.]115[.]124[.]74 China 541 件 Link
27[.]115[.]124[.]9 China 528 件 Link
27[.]115[.]124[.]10 China 521 件 Link
52[.]170[.]209[.]74 United States 482 件 Link
49[.]88[.]112[.]68 China 482 件 Link
27[.]115[.]124[.]75 China 467 件 Link
45[.]141[.]84[.]21 Russia 445 件 Link
198[.]108[.]67[.]48 United States 408 件 Link
92[.]63[.]194[.]15 Russia 329 件 Link
195[.]54[.]167[.]225 Russia 215 件 Link
111[.]206[.]250[.]230 China 188 件 Link
111[.]206[.]250[.]235 China 181 件 Link

02 WOWHoneypot

IP Country Count AbuseIPDB
45[.]250[.]43[.]17 China 16 件 Link
77[.]247[.]108[.]119 Estonia 8 件 Link
128[.]14[.]134[.]170 United States 3 件 Link
80[.]82[.]68[.]72 Netherlands 3 件 Link
3[.]84[.]67[.]149 United States 2 件 Link
124[.]122[.]181[.]66 Thailand 2 件 Link
185[.]234[.]218[.]68 Poland 2 件 Link
162[.]243[.]142[.]155 United States 1 件 Link
206[.]189[.]187[.]99 United States 1 件 Link
50[.]198[.]14[.]142 United States 1 件 Link
202[.]62[.]13[.]68 Indonesia 1 件 Link
162[.]243[.]138[.]225 United States 1 件 Link
61[.]219[.]11[.]153 Taiwan 1 件 Link
37[.]145[.]248[.]134 Russia 1 件 Link
88[.]203[.]226[.]106 Bulgaria 1 件 Link
103[.]135[.]39[.]118 India 1 件 Link
139[.]162[.]119[.]197 Japan 1 件 Link
79[.]129[.]2[.]169 Greece 1 件 Link
186[.]233[.]178[.]39 Brazil 1 件 Link
196[.]52[.]43[.]86 South Africa 1 件 Link

03 WOWHoneypot(SSL)

IP Country Count AbuseIPDB
45[.]250[.]43[.]17 China 16 件 Link
77[.]247[.]108[.]119 Estonia 8 件 Link
128[.]14[.]134[.]170 United States 3 件 Link
80[.]82[.]68[.]72 Netherlands 3 件 Link
3[.]84[.]67[.]149 United States 2 件 Link
124[.]122[.]181[.]66 Thailand 2 件 Link
185[.]234[.]218[.]68 Poland 2 件 Link
162[.]243[.]142[.]155 United States 1 件 Link
206[.]189[.]187[.]99 United States 1 件 Link
50[.]198[.]14[.]142 United States 1 件 Link
202[.]62[.]13[.]68 Indonesia 1 件 Link
162[.]243[.]138[.]225 United States 1 件 Link
61[.]219[.]11[.]153 Taiwan 1 件 Link
37[.]145[.]248[.]134 Russia 1 件 Link
88[.]203[.]226[.]106 Bulgaria 1 件 Link
103[.]135[.]39[.]118 India 1 件 Link
139[.]162[.]119[.]197 Japan 1 件 Link
79[.]129[.]2[.]169 Greece 1 件 Link
186[.]233[.]178[.]39 Brazil 1 件 Link
196[.]52[.]43[.]86 South Africa 1 件 Link

URI Path

NEW URI Path

01 Honeytrap

URI Path Target CVE Memo
/playlist[.]m3u8 HTTP Live Streaming (HLS) - -
/setup[.]xml - - -
/stat - - -

02 WOWHoneypot

URI Path Target CVE Memo
/public/spread[.]php Unknown - -
/clientaccesspolicy[.]xmlSilverlight - -
/s - - -

03 WOWHoneypot(SSL)

URI Path Target CVE Memo
- - - -

URI Path

01 Honeytrap

URI Path Target CVE Count
No uri path - - 28739 件
/ - - 615 件
/nice - - 55 件
sip:nm Session Initiation Protocol - 51 件
/ws/v1/cluster/apps/new-application Apache Hadoop - 44 件
/version - - 41 件
/api api - 37 件
/hazelcast/rest/cluster Open-Xchange AppSuite CVE-2013-5936 32 件
login[.]cgi D-Link Router - 31 件
/server-info Apache - 31 件
SERVER - - 31 件
/picsdesc[.]xml Realtek SDK CVE-2014-8361 21 件
/admin/assets/js/views/login[.]js FreePBX - 7 件
/ctrlt/DeviceUpgrade_1 Huawei Home Device - 7 件
hxxp://clientapi[.]ipip[.]net/echo[.]php Unauthorized relay - 6 件
/cgi CGI - 6 件
/shell MVPower DVR - 5 件
[.][.]/[.][.]/proc/ proc directory - 4 件
/home[.]asp ASP file - 3 件
/login[.]cgi D-Link Router - 3 件
/vpn/index[.]html - - 3 件
/cgi-bin/luci CGI - 3 件
/dana-na/auth/url_default/welcome[.]cgi Pulse/Juniper Networks SA2000 SSL VPN CVE-2019-11539/ 3 件
/remote/login VPN Login - 3 件
/index[.]asp index - 3 件
/htmlV/welcomeMain[.]htm Verizon Modem Router - 3 件
/manager/html Apache Tomcat Manager - 3 件
/_search Elasticsearch - 3 件
/playlist[.]m3u8 New - 2 件
/api/v1/targets api - 2 件
/api/v1/label/version/values api - 2 件
hxxp://example[.]com/ Unauthorized relay - 2 件
/setup/eureka_info Google Home Hub - 2 件
/wls-wsat/CoordinatorPortType11 Weblogic CVE-2017-10271 2 件
/hudson Unknown - 1 件
/setup[.]xml New - 1 件
/status - - 1 件
/stat New - 1 件
/info - - 1 件
/install[.]php php - 1 件
rtsp://160[.]16[.]145[.]183:8554/ Real Time Streaming Protocol - 1 件
/cgi-bin/webctrl[.]cgi CGI - 1 件
/stats - - 1 件
/db/manage/ Database - 1 件
/securityRealm/user/admin/search/index Administrator - 1 件
/solr/admin/info/system Apache Solr - 1 件
/manager Apache Tomcat Manager - 1 件
/_nodes Unknown - 1 件
hxxp://123[.]125[.]114[.]144/ Unauthorized relay - 1 件
/tmUnblock[.]cgi Linksys E-series - 1 件
/v1/agent/self Hashicorp Consul - 1 件
/jmx JMX - 1 件

02 WOWHoneypot

URI Path Target CVE Count
/ - - 35 件
/admin/assets/js/views/login[.]js FreePBX - 8 件
/public/index[.]php - - 8 件
/public/index[.]php/ - - 3 件
/cgi-bin/mainfunction[.]cgi DrayTek CVE-2020-8515 3 件
/public/spread[.]php New - 2 件
/hudson Unknown - 1 件
/clientaccesspolicy[.]xml New - 1 件
/boaform/admin/formPing Administrator - 1 件
/phpmyadmin/index[.]php - - 1 件
/index[.]php - - 1 件
/s New - 1 件
/portal/redlion Unknown - 1 件
/robots[.]txt robots.txt - 1 件
/favicon[.]ico favicon - 1 件
ip[.]ws[.]126[.]net:443 Unauthorized Relay - 1 件

03 WOWHoneypot(SSL)

URI Path Target CVE Count
/admin/assets/js/views/login[.]js FreePBX - 7 件
/ - - 6 件
/robots[.]txt robots.txt - 1 件
/favicon[.]ico favicon - 1 件
/owa/auth/logon[.]aspx Microsoft Exchange Server CVE-2018-16793 1 件
/home[.]asp ASP file - 1 件
/login[.]cgi D-Link Router - 1 件
/vpn/index[.]html - - 1 件
/cgi-bin/luci CGI - 1 件
/dana-na/auth/url_default/welcome[.]cgi Pulse/Juniper Networks SA2000 SSL VPN CVE-2019-11539/ 1 件
/remote/login VPN Login - 1 件
/index[.]asp index - 1 件
/htmlV/welcomeMain[.]htm Verizon Modem Router - 1 件

Malware

  1. Honeytrap
Malware Localport RemoteIP URI Path Count
hxxp://88[.]218[.]16[.]118/infect 60001 37[.]49[.]226[.]217 /shell 2 件
hxxp://212[.]114[.]52[.]128/arm7 8089 184[.]162[.]45[.]52 /cgi 1 件
hxxp://176[.]123[.]3[.]96/arm7 8089 74[.]105[.]81[.]187 /cgi 1 件
hxxp://185[.]172[.]110[.]224/ab/arm7 60001 80[.]82[.]78[.]104 /shell 1 件
hxxp://185[.]62[.]189[.]18/jaws[.]sh 60001 151[.]63[.]181[.]233 /shell 1 件
hxxp://178[.]33[.]64[.]107/arm7 8089 183[.]215[.]125[.]142 /cgi 1 件
hxxp://192[.]3[.]45[.]185/arm7 8089 75[.]148[.]156[.]244 /cgi 1 件
hxxp://178[.]33[.]64[.]107/arm7 8089 118[.]185[.]161[.]227 /cgi 1 件
hxxp://d[.]powerofwish[.]com/pm[.]sh 6380 113[.]214[.]30[.]171 No uri path 1 件
hxxp://d[.]powerofwish[.]com/pm[.]sh 6378 113[.]214[.]30[.]171 No uri path 1 件
hxxp://d[.]powerofwish[.]com/pm[.]sh 6381 113[.]214[.]30[.]171 No uri path 1 件
hxxp://d[.]powerofwish[.]com/pm[.]sh 6379 113[.]214[.]30[.]171 No uri path 1 件
hxxp://192[.]3[.]45[.]185/arm7 8089 45[.]167[.]158[.]123 /cgi 1 件
hxxp://176[.]32[.]35[.]22/infect 60001 37[.]49[.]226[.]213 /shell 1 件
hxxp://23[.]95[.]89[.]93/bins/mpsl 8080 197[.]44[.]136[.]232 /tmUnblock[.]cgi 1 件
hxxp://185[.]181[.]10[.]234/E5DB0E07C3D7BE80V520/init[.]sh 9200 182[.]92[.]242[.]45 /_search 1 件

RDP

Port/IP

Port IP Country Count AbuseIPDB
3389 52[.]170[.]209[.]74 United States 482 件 Link
3389 95[.]47[.]248[.]84 Ukraine 79 件 Link
3389 95[.]217[.]108[.]101 Germany 9 件 Link
3389 222[.]174[.]105[.]82 China 6 件 Link
33890 222[.]186[.]20[.]98 China 6 件 Link
3390 193[.]169[.]252[.]136 Poland 4 件 Link
2398 185[.]202[.]2[.]120 France 4 件 Link
51215 185[.]202[.]2[.]120 France 3 件 Link
13347 185[.]202[.]2[.]120 France 3 件 Link
3389 104[.]206[.]128[.]66 United States 3 件 Link
4625 185[.]202[.]2[.]120 France 3 件 Link
58712 185[.]202[.]2[.]120 France 3 件 Link
13458 185[.]202[.]2[.]120 France 3 件 Link
3389 212[.]92[.]122[.]56 Netherlands 3 件 Link
36191 185[.]202[.]2[.]120 France 3 件 Link
9983 92[.]118[.]161[.]1 Republic of Lithuania 3 件 Link
11726 185[.]202[.]2[.]120 France 3 件 Link
45588 185[.]158[.]113[.]43 Russia 2 件 Link
53503 185[.]158[.]113[.]43 Russia 2 件 Link
18079 185[.]158[.]113[.]43 Russia 2 件 Link

Port

Port Count
3389 659 件
3390 17 件
3393 12 件
3391 12 件
3396 11 件
3399 11 件
3395 10 件
3398 10 件
3388 10 件
3392 9 件
3397 9 件
3394 8 件
33389 8 件
33890 8 件
3387 7 件
3381 7 件
3380 7 件
3386 6 件
3384 6 件
23389 6 件

IP

IP Country Count AbuseIPDB
185[.]202[.]1[.]19 France 8197 件 Link
185[.]202[.]2[.]77 France 3536 件 Link
185[.]158[.]113[.]43 Russia 1967 件 Link
185[.]202[.]2[.]120 France 895 件 Link
185[.]202[.]1[.]10 France 847 件 Link
52[.]170[.]209[.]74 United States 482 件 Link
45[.]141[.]84[.]21 Russia 445 件 Link
92[.]63[.]194[.]15 Russia 329 件 Link
195[.]54[.]167[.]225 Russia 215 件 Link
185[.]202[.]1[.]85 France 100 件 Link
95[.]47[.]248[.]84 Ukraine 79 件 Link
185[.]153[.]199[.]12 Russia 73 件 Link
185[.]153[.]196[.]99 Russia 70 件 Link
185[.]153[.]199[.]81 Russia 69 件 Link
92[.]63[.]194[.]21 Russia 69 件 Link
185[.]153[.]196[.]239 Russia 66 件 Link
185[.]153[.]199[.]87 Russia 62 件 Link
92[.]63[.]194[.]241 Russia 59 件 Link
79[.]124[.]62[.]38 Bulgaria 52 件 Link
185[.]202[.]1[.]28 France 38 件 Link

Port 1433

IP Country Count AbuseIPDB
95[.]0[.]153[.]133 Turkey 102 件 Link
112[.]140[.]186[.]234 Singapore 102 件 Link
83[.]142[.]167[.]139 Russia 102 件 Link
124[.]47[.]2[.]194 China 102 件 Link
200[.]71[.]190[.]205 Venezuela 102 件 Link
175[.]188[.]188[.]205 China 102 件 Link
61[.]141[.]236[.]46 China 102 件 Link
203[.]251[.]73[.]253 South Korea 102 件 Link
121[.]22[.]19[.]213 China 101 件 Link
210[.]77[.]90[.]42 China 95 件 Link
122[.]226[.]73[.]86 China 92 件 Link
61[.]166[.]196[.]102 China 80 件 Link
222[.]179[.]220[.]252 China 76 件 Link
221[.]114[.]210[.]132 Japan 71 件 Link
58[.]220[.]248[.]188 China 52 件 Link
177[.]91[.]103[.]133 Brazil 43 件 Link
1[.]235[.]102[.]226 South Korea 16 件 Link
27[.]71[.]81[.]82 Vietnam 11 件 Link
125[.]65[.]79[.]95 China 9 件 Link
123[.]65[.]245[.]30 China 2 件 Link