ハニーポット簡易分析(63-67日目:10/9-10/13)

Honeytrap の簡易分析 63-67日目になります。

Honeytrap簡易分析結果

<検知数(80ポートを除く)>

f:id:one-chick-sec:20181014115325p:plain

10/9ごろより、検知数が増加しています。検知数の増加は以下のIPからの通信が増加したためでした。

IP	検知数	割合
195[.]19[.]10[.]195	77,444	37.80%
62[.]76[.]75[.]210	42,943	20.96%
195[.]19[.]10[.]194	32,333	15.78%

いずれもロシアからの通信であり、通信内容は「Cookie: mstshash=Test」であり、調査行為相当の通信と思われます。AbuseIPDBでも報告が上がっており、特にターゲットを絞らずに攻撃していると思われます。

＜宛先ポート別検知数 TOP10＞
※80ポートを除く
2018/10/9 19,929件

宛先ポート	検知数	割合(%)	サービス
445	3,027	15.19%	SMB
113	506	2.54%	auth/IDENT
8443	156	0.78%	?
3389	124	0.62%	RDP
52869	103	0.52%	D-Link, Realtek SDK
443	100	0.50%	HTTPS
8080	94	0.47%	PROCY
8008	81	0.41%	?
9001	76	0.38%	?
8000	72	0.36%	?

2018/10/10 6,450件

宛先ポート	検知数	割合(%)	サービス
445	2,853	44.23%	SMB
81	697	10.81%	GoAhead Web Server
4022	221	3.43%	?
9022	220	3.41%	?
8022	118	1.83%	?
222	116	1.80%	SSH
2222	105	1.63%	SSH
22	104	1.61%	SSH
52869	94	1.46%	D-Link, Realtek SDK
1433	70	1.09%	Microsoft SQL Server

2018/10/11 19,939件

宛先ポート	検知数	割合(%)	サービス
445	2,984	14.97%	SMB
81	1,850	9.28%	GoAhead Web Server
22	644	3.23%	SSH
8022	91	0.46%	?
222	88	0.44%	SSH
3389	82	0.41%	RDP
2222	71	0.36%	SSH
10001	63	0.32%	?
1433	50	0.25%	Microsoft SQL Server
8080	44	0.22%	PROCY

2018/10/12 98,209件

宛先ポート	検知数	割合(%)	サービス
445	2,742	2.79%	SMB
81	1,931	1.97%	GoAhead Web Server
3389	82	0.08%	RDP
2222	71	0.07%	SSH
222	69	0.07%	SSH
102	64	0.07%	iso-tsap
22	58	0.06%	SSH
8022	57	0.06%	?
1433	54	0.06%	Microsoft SQL Server
8080	50	0.05%	PROCY

2018/10/13 63,547件

宛先ポート	検知数	割合(%)	サービス
445	2,835	4.46%	SMB
502	97	0.15%	Modbus Protocol
81	68	0.11%	GoAhead Web Server
3389	63	0.10%	RDP
1433	51	0.08%	Microsoft SQL Server
6379	35	0.06%	?
123	32	0.05%	NTP
2082	32	0.05%	?
49	32	0.05%	TACACS
4991	32	0.05%	VITA Radio Transport