ハニーポット簡易分析(39日目:9/16)
ハニーポット(Honeytrap)簡易分析の9/16日分となります。
<宛先ポート別TOP10>
9月16日:8594件 | |||
宛先ポート | 件数 | 割合 | サービス |
8545 | 2,905 | 33.80% | Ethereum |
1433 | 2,165 | 25.19% | Microsoft SQL Server |
445 | 1,580 | 18.39% | SMB |
22 | 88 | 1.02% | SSH |
3390 | 73 | 0.85% | ? |
3389 | 58 | 0.68% | RDP |
52869 | 38 | 0.44% | D-Link, Realtek SDK |
81 | 34 | 0.40% | GoAhead Web Server |
465 | 33 | 0.38% | SMTPS |
2455 | 32 | 0.37% | wago-io-system |
◾️Microsoft SQL Serverへのアクセス
パッと、ペイロードを確認する限りは特に攻撃と思われる文字列はありませんでした。BOFなどであった場合、デコードしても特に意味はないと思うので、ここらの検知をどうするかは課題の一つだと考えています。IDSをちゃんと検知できるようにチューニングしなければ。。。。。
HEX表記:
1201002900000000000015000601001b000102001c000103001d0004ff0800015500000000f00b0000
デコード後:
...)............................U........
<マルウェアダウンロード>
マルウェアは新規で検知したものはありませんでした。
以上、簡易分析となります。