【ハニーポット】Honeytrap簡易分析(88-94日目:11/4-11/10)
88-94日目のハニーポットの簡易分析となります。
Honeytrap簡易分析(88-94日目:11/4-11/10)
◾️送信元IP別マッピング
◾️検知数
◾️宛先ポート別集計
|
宛先 ポート |
検知数 | サービス | 補足 |
| 8545 | 16010 | Ethereum | ペイロード例 {"jsonrpc":"2.0","method":"eth_accounts","params":[], "id":3586} |
| 445 | 14175 | SMB | |
| 81 | 5376 | UPnP | |
| 1433 | 2853 | Microsoft SQL Server | |
| 3389 | 913 | RDP | |
| 22 | 875 | SSH | |
| 3305 | 357 | ? | ペイロード例 SSH-2.0-libssh2_1.4.3.. |
| 5555 | 278 | Android Debug Bridge | |
| 8080 | 239 | PROXY | |
| 6379 | 233 | REDIS | ペイロード例 *1..$4..info.. |
<ポート 8545への通信>
Ethereum関連の通信であり、過去に検知したものとほぼ同等でした。
<ポート 81への通信>
Basic認証による不正アクセスが多くを占めていました。
検知例:
GET / HTTP/1.1
Authorization: Basic Skp5Skp5U05aWjp5aldMMjAwNjc4eVlRRA==
User-Agent: Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.95 Safari/537.36
◾️マルウェアダウンロード先
| 宛先ポート | マルウェアダウンロード先 | 検知数 |
| 5555 | hxxp://209[.]97[.]163[.]186/bc | 183 |
| 52869 | hxxp://109[.]201[.]143[.]178/loli[.]mips | 118 |
| 5555hxxp | hxxp://188[.]209[.]52[.]142/c | 12 |
| 5555 | hxxp://80[.]211[.]117[.]113/bc | 3 |
| 5555 | hxxp://185[.]162[.]130[.]187/adbs2 | 2 |
| 5555 | hxxp://207[.]148[.]78[.]152/bc | 1 |
| 5555 | hxxp://27[.]102[.]115[.]44/adbs2 | 1 |
| 5555 | hxxp://cnc[.]junoland[.]xyz/lol[.]sh | 1 |
| 8081 | hxxp://185[.]244[.]25[.]131/Botnet[.]mips | 1 |
新規に検知したマルウェアは以下となります。
https://www.virustotal.com/#/url/6e80f9db9735a034ed34dd948a06b2bb0626cdb6bcd4bce7da8b179b75d3cbb9/detection
https://www.virustotal.com/#/file/2d7f2c2167939f72bdf25f39acd135b07d00740f0dce87143c4096599815c8b9/detection
