https://sec-chick.hatenablog.com/entry/2019/08/31/163936

色々と忙しく、更新が滞ってしまいました。。。。
Honeypot簡易分析(359-365日目:8/14-8/20)となります。

◾️Honeytrap

※80ポートは除く

＜国別検知数および検知数＞

f:id:one-chick-sec:20190821081252p:plain

＜ポート検知数＞

ポート番号	サービス	件数
445	smb	17829
23	telnet	8266
5900	vnc	2314
2323	telnet	811
3306	mysql	686
3389	rdp	501
25	smtp	431
8080	proxy	354
8022	Unknown	284
81	hosts2-ns	284

＜新規マルウェアダウンロード＞

malware	Path
hxxp:/\/31[.]13[.]195[.]49/x	GET /shell?cd
hxxp://23[.]254[.]204[.]46/mips	POST /picsdesc.xml
hxxp://165[.]22[.]201[.]230/Demon[.]mips	POST /picsdesc.xml
hxxp:/\/89[.]248[.]174[.]219/jaws[.]sh	GET /shell?cd
hxxp:/\/switchnets[.]net/unstable	GET /shell?cd
hxxp:/\/185[.]35[.]138[.]156/c	GET /shell?cd
hxxp://89[.]248[.]174[.]219/bins/x86	CNXN
hxxp://89[.]248[.]174[.]219/bins/arm7	CNXN
hxxp://185[.]244[.]25[.]185/dontreport/Jaws[.]sh	GET /shell?cd
hxxp://54[.]37[.]74[.]232/icy[.]sh	POST /UD/?9
hxxp://142[.]44[.]251[.]105/mips	POST /picsdesc.xml
hxxp://142[.]44[.]251[.]105/mipsel	POST /tmUnblock.cgi
hxxp:/\/23[.]254[.]204[.]46/arm7	GET /shell?cd
hxxp:/\89[.]248[.]174[.]219/jaws[.]sh	GET /shell?cd
hxxp://185[.]244[.]25[.]185/trap/Jaws[.]sh	GET /shell?cd
hxxp://91[.]92[.]66[.]192/bbc[.]sh	CNXN

◾️WoWHoneypot

＜国別検知数および検知数＞

f:id:one-chick-sec:20190821082132p:plain

＜ターゲット別検知数＞

target	count
Tomcat	4561
-	174
FreePBX	83
Unauthorized Relay	17
phpMyAdmin	9
ThinkPHP	6
Admin config	5
IP camera	3
Login Page	3
Webshell	2
FLIR Thermal Camera FC-S/PT	1
JIRA	1
WebDAV	1

Tomcatへの多く検知していました。
ブルートフォース攻撃であり、認証ユーザは以下のとおりでした。
※よく使われそうなパターンでした。

認証(ユーザ名)	検知数
admin	496
tomcat	458
123	456
123456	449
manager	447
administrator	438
test	435
root	433
role1	414
tomcatuser	34

＜新規検知パス一覧＞

wow_path_research	target	CVE	reference
///admin/config.php	PHP	-	-
///recordings/index.php	FreePBX	CVE-2012-4870	https://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-004165.html
//contents/scripts/IR300/chinese.js	js	-	-
/_asterisk/	Asterisk	-	-
/a1billing/agent/Public/templates/default/css/menu.css	css	-	-
/a3billing/agent/Public/templates/default/css/menu.css	css	-	-
/admin/i18n/readme.txt	txt	-	-
/apache/recordings/theme/main.css	Apache	-	-
/asterisk//admin/assets/js/views/login.js	Asterisk	-	-
/asterisk/admin/config.php	Asterisk	-	-
/asterisk/admin/i18n/readme.txt	Asterisk	-	-
/asterisk/recordings/theme/main.css	Asterisk	-	-
/auth/login	Login Page	-	-
/cgi-bin/luci	Router	-	-
/cgi-bin/webcm	D-Link DSL-G624T	CVE-2006-5536	https://jvndb.jvn.jp/ja/contents/2006/JVNDB-2006-001445.html
/crontab.php	Crontab	-	-
/digium_phones/	FreePBX	-	https://github.com/FreePBX/digium_phones
/freepbx/admin/assets/js/views/login.js	FreePBX	-	-
/freepbx/admin/config.php	FreePBX	-	-
/freepbx/admin/i18n/readme.txt	FreePBX	-	-
/freepbx/recordings/theme/main.css	FreePBX	-	-
/html//admin/assets/js/views/login.js	FreePBX	-	https://git.freepbx.org/projects/FREEPBX/repos/framework/browse/amp_conf/htdocs/admin/assets/js/views/login.js?at=bfb36fa7ac70c2e642257dbcd99a1799e19ea743
/html/admin/config.php	FreePBX	-	https://community.freepbx.org/t/white-page-on-http-ip-address-admin-config-php/25495
/html/recordings/theme/main.css	FreePBX	-	https://www.elastix.org/community/threads/toggle-call-recording.32678/
/pbx/admin/assets/js/views/login.js	FreePBX	-	-
/pbx/admin/config.php	FreePBX	-	-
/pbx/admin/i18n/readme.txt	FreePBX	-	-
/pbx/recordings/theme/main.css	FreePBX	-	-
/recordings/theme/main.css	FreePBX	-	-
/vtigercrm/LICENSE.txt	Vtiger CRM	-	https://github.com/vtiger-crm/vtigercrm/blob/master/LICENSE.txt

新規パスについてはIP電話で利用されるFreePBX宛の通信を多く検知していました。

＜マルウェアダウンロード＞

malware	wow_path
hxxp://198[.]98[.]62[.]146/bins[.]sh	/cgi-bin/webcm
hxxp:/\/89[.]248[.]174[.]219/jaws[.]sh	/shell

以上となります。