ハニーポット簡易分析(25日目:9/2)

9/2 分のハニーポット簡易分析となります。今回、Splunkのサーチ文を工夫したため、分析に必要なデータ収集が約半分程度で終わりました。分析方法についてはどこかで書きたいなーと思っています。

Honeytrap
検知数：3,359件
<宛先ポート別 TOP10>

ポート	件数	割合	サービス
445	1,657	49.33%	SMB
3389	74	2.20%	RDP
52869	70	2.08%	D-Link, Realtek SDK
22	65	1.94%	SSH
1911	63	1.88%	Arctic
81	47	1.40%	?
1433	46	1.37%	Microsoft SQL Server
3350	44	1.31%	?
53	32	0.95%	DNS
8080	32	0.95%	PROXY

<マルウェアダウンロード>

ダウンロード先	ポート番号	パス	検知数	リンク
hxxp://107[.]191[.]99[.]41/elf[.]mips	52869	POST /picsdesc.xml	22	https://www.virustotal.com/#/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/detection
hxxp://148[.]72[.]176[.]78/ngynx	8081	POST /HNAP1/	3	https://www.virustotal.com/#/file/ef7e4a132f5abff4f5a404fc9966a6c566a67bd5561b5134ff75ff3c3a2578c5/detection
hxxp://185[.]10[.]68[.]127/rtbin	52869	POST /picdesc.xml	1	https://www.virustotal.com/#/file/86df8e90a8731340b5612b497fec61423582c0afd6280867db13cd46d4727c0b/detection
hxxp://185[.]10[.]68[.]127/rtbin	zz	POST /wanipcn.xml	1	https://www.virustotal.com/#/file/86df8e90a8731340b5612b497fec61423582c0afd6280867db13cd46d4727c0b/detection
hxxp://185[.]162[.]130[.]187/adbs2	5555		1	https://www.virustotal.com/#/url/57ec0260337088aff2a7d4eadcf1407022fadefdb2e5dae3539abc22e8a9b76c/detection
hxxp://185[.]244[.]25[.]201/bins/salvia[.]mips	52869	POST /picsdesc.xml	1	https://www.virustotal.com/#/url/29a9057aa1200bf48e87142a2d3daff2e1d4cb690f43baae0d8e4fb866f02752/detection
hxxp://185[.]62[.]189[.]149/adbs2	5555		1	https://www.virustotal.com/#/url/dfa0fb0a5116828aeb427a4d66302c0a96e4ade45a057557024b92a020903882/detection
hxxp://206[.]189[.]237[.]137/bins/hoho[.]mips	52869	POST /picsdesc.xml	3	https://www.virustotal.com/#/file/46b4712087dc711de6072bcdf5e945381baa4cb5cf239ba734c79c47d835ca54/detection
hxxp://207[.]148[.]78[.]152/bc	5555		3	https://www.virustotal.com/#/file/46b4712087dc711de6072bcdf5e945381baa4cb5cf239ba734c79c47d835ca54/detection
hxxp://27[.]102[.]115[.]44/adbs2	5555		6	https://www.virustotal.com/#/file/46b4712087dc711de6072bcdf5e945381baa4cb5cf239ba734c79c47d835ca54/detection
hxxp://46[.]101[.]250[.]21/8mips8[.]mips	52869	POST /picsdesc.xml	11	https://www.virustotal.com/#/url/fc2370cb5255365a03956def4019bdf886b2c73669065855d519971088eb9e4e/detection
hxxp://76[.]74[.]170[.]223/shit[.]mips	52869	POST /wanipcn.xml	1	https://www.virustotal.com/#/file/3e874b965844ac82a5f1d479ab1113ea4385f5ed82a2d7b3e243b44273a1a658/detection
hxxp://77[.]87[.]77[.]250/izuku[.]mips	8081	POST /HNAP1/	1	https://www.virustotal.com/#/file/200d5e1ebc293af0ed4974d6f40a129f7488cf88a6984c5feebe0c0e30baadb3/detection
hxxp://77[.]87[.]77[.]250/izuku[.]mips	8081	POST /HNAP1/	5	https://www.virustotal.com/#/file/200d5e1ebc293af0ed4974d6f40a129f7488cf88a6984c5feebe0c0e30baadb3/detection
hxxp://80[.]211[.]112[.]150/mips	52869	POST /picsdesc.xml	1	https://www.virustotal.com/#/file/23a576856c353a434f8edf1d42c3c46beb48e8d39931043847ed193377decafe/detection