https://sec-chick.hatenablog.com/entry/2019/07/03/071626

Honeypot簡易分析(318日目:7/1)となります。

◾️Honeytrap

※80ポートは除く

＜国別検知数および検知数＞

f:id:one-chick-sec:20190703065309p:plain

＜ポート検知数（30日平均比）＞

ポート番号	サービス	件数	件数差(30日平均)
445	smb	3882	347
23	telnet	1593	166
5900	vnc	525	-4465
3306	mysql	315	100
3389	rdp	137	-139
2323	telnet	111	29
5555	personal-agent	104	73
3307	opsession-prxy	101	69
7610	Unknown	100	96
789	Unknown	96	95

＜新規マルウェアダウンロード＞

malware	payload(例)
hxxp:/\/178[.]33[.]181[.]23/infect	GET /shell
hxxp://185[.]244[.]25[.]24/k	CNXN
89[.]34[.]26[.]202	POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
104[.]248[.]93[.]159	POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
hxxp://168[.]235[.]89[.]216/IDJAPbins[.]sh	POST /picsdesc.xml HTTP/1.1
hxxp:/\/185[.]244[.]25[.]171/bins/Jaws[.]sh	GET /shell

IoT系のマルウェアがほとんどでした。

◾️WoWHoneeypot

＜国別検知数および検知数＞

f:id:one-chick-sec:20190703070803p:plain

＜検知パス一覧＞

path	target	CVE	reference	count
/wp/wp-login.php	WordPress	-	-	389
/forum/wp-login.php	WordPress	-	-	380
/wordpress/wp-login.php	WordPress	-	-	380
/forum/xmlrpc.php	WordPress	-	-	161
/wordpress/xmlrpc.php	WordPress	-	-	158
/wp/xmlrpc.php	WordPress	-	-	158
/admin/assets/js/views/login.js	FreePBX	-	https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743	24
/	-	-	-	22
/Login.htm	-	-	-	2
/blog//	WordPress	-	-	1
/blog//wp-json/wp/v2/users/	WordPress	-	-	1
/blog/wp-login.php	WordPress	-	-	1
/forum//	WordPress	-	-	1
/forum//wp-json/wp/v2/users/	WordPress	-	-	1
/robots.txt	-	-	-	1
/shell	Webshell	-	-	1
/test//	WordPress	-	-	1
/test//wp-json/wp/v2/users/	WordPress	-	-	1
/test/wp-login.php	WordPress	-	-	1
/wordpress//	WordPress	-	-	1
/wordpress//wp-json/wp/v2/users/	WordPress	-	-	1

Wordpressのスキャン行為により、検知が増加していました。

＜新規検知パス一覧＞

path

/user/wp-login.php

/user/xmlrpc.php

＜マルウェアダウンロード＞

なし

以上となります。