【ハニーポット】Honeytrap簡易分析(95-101日目:11/11-11/17)
95-101日目のHoneytrapの簡易分析となります。
Honeytrap簡易分析(95-101日目:11/11-11/17)
◾️送信元IP別マッピング
◾️日次検知数
<11/11>
1:00 - 7:00 にかけて検知数が増加していました。主に増加していたポートは8545宛の通信が多い傾向でした。定期的にEthereum宛の通信は検知しています。時間があるときに何か法則性はないか調査できればと考えています。
宛先ポート | 検知数 | サービス | 補足 |
445 | 11361 | SMB | |
8545 | 4872 | Ethereum | POST / HTTP/1.1 User-Agent: Geth/v1.7.3-stable/linux-amd64/go1.9.2 {"jsonrpc":"2.0","method":"eth_accounts","params":[], "id":10671} |
3389 | 2623 | RDP | |
22 | 2209 | SSH | |
81 | 589 | UPnP | |
1433 | 445 | Microsoft SQL Server | |
503 | 259 | ? | |
8080 | 244 | PROXY | |
52869 | 238 | D-Link, Realtek SDK | |
9922 | 222 | SSH | SSH-2.0-libssh2_1.4.3.. |
<ポート 503宛への通信>
ペイロードからはどのような攻撃であるかは判断することが出来ませんでした。
Google先生で調査してみましたが、特定の脆弱性を狙ったものか、調査することが出来ませんでした。
◾️マルウェアダウンロード
宛先ポート |
マルウェアダウンロード先 | 検知数 |
52869 | hxxp://194[.]147[.]32[.]226/jiren[.]mips | 51 |
5555 | hxxp://209[.]97[.]163[.]186/bc | 18 |
52869 | hxxp://109[.]201[.]143[.]178/loli[.]mips | 15 |
52869 | hxxp://194[.]147[.]32[.]226/Demon[.]mips | 15 |
5555 | hxxp://89[.]46[.]79[.]57/bc | 11 |
5555 | hxxp://188[.]209[.]52[.]142/c | 5 |
52869 | hxxp://194[.]147[.]32[.]226/rhasdfhasdfh/jiren[.]mips | 5 |
5555 | hxxp://185[.]162[.]130[.]187/adbs2 | 3 |
5555 | hxxp://80[.]211[.]117[.]113/bc | 3 |
5555 | hxxp://207[.]148[.]64[.]177/a | 2 |
5555 | hxxp://27[.]102[.]115[.]44/adbs2 | 1 |
5555 | hxxp://cnc[.]junoland[.]xyz/lol[.]sh | 1 |
<新規検知マルウェア>
https://www.virustotal.com/#/url/aef7b3652276d536b8b1df4a5d60599e2c60572b9302642732499dec1cc08aec/detection
https://www.virustotal.com/#/url/6a371d8722958ed33d808ee7b018e1d3942dd003c048db4e1b99326ed9f55220/detection
https://www.virustotal.com/#/file/7bc98d940f7d2ea7aa5614ecaa529559eee2c4b954d08c2e0aa3b76ca1f60d53/detection
以上となります。