【ハニーポット】Honeytrap簡易分析(102-108日目:11/18-11/24)
102-108日目の簡易分析となります。
Honeytrap簡易分析(102-108日目:11/18-11/24)
◾️送信元IPマッピング
◾️検知数
◾️宛先ポート別検知数
宛先 ポート |
検知数 | サービス | 補足 |
445 | 11516 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 LANMAN1.0..Windows for Workgroups 3.1a..LM1.2X002..LANMAN2.1..NT LM 0.12. |
81 | 1705 | UPnP | GET login.cgi |
3389 | 570 | RDP | Cookie: mstshash=hello |
1433 | 457 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L.-.3.2.1.6.0...1.6...1.4.5...1.8.3.O.D.B.C. |
8080 | 356 | PROXY | GET / HTTP/1.1 |
502 | 297 | ? | ........ |
8022 | 281 | SSH | SSH-2.0-libssh2_1.4.3 |
22022 | 257 | SSH | SSH-2.0-libssh2_1.4.3 |
503 | 255 | ? | ........ |
8081 | 238 | ? | GET /bea_wls_deployment_internal HTTP/1.1 |
<ポート 8081宛てへの通信>
Apache Struts2 における脆弱性(S2-045/CVE-2017-5638)を狙った攻撃の調査行為をいくつか検知していました。アクセスを試みた通信先は以下となります。
・GET /home.do HTTP/1.1
・GET /home.jsp HTTP/1.1
・GET /home.xhmtl HTTP/1.1
・GET /index.action HTTP/1.1
・GET /index.do HTTP/1.1
・GET /index.htm HTTP/1.1
・GET /index.html HTTP/1.1
・GET /index.jsp HTTP/1.1
・GET /index.xhtml HTTP/1.1
・GET /login.action HTTP/1.1
・GET /login.do HTTP/1.1
・GET /login.htm HTTP/1.1
・GET /login.xhtml HTTP/1.1
・GET /main.action HTTP/1.1
・GET /main.do HTTP/1.1
◾️マルウェアダウンロード
宛先ポート | マルウェアダウンロード先 | 検知数 |
52869 | hxxp://46[.]17[.]47[.]73/jiren[.]mips | 66 |
52869 | hxxp://194[.]147[.]32[.]226/jiren[.]mips | 40 |
5555 | hxxp://89[.]46[.]79[.]57/bc | 24 |
5555 | hxxp://188[.]209[.]52[.]142/c | 7 |
5555 | hxxp://207[.]148[.]64[.]177/a | 7 |
52869 | hxxp://46[.]17[.]47[.]73/jdabfsjkhfasl/jiren[.]mips | 4 |
5555 | hxxp://209[.]97[.]163[.]186/bc | 3 |
5555 | hxxp://80[.]211[.]117[.]113/bc | 3 |
5555 | hxxp://198[.]199[.]82[.]13/z[.]sh | 1 |
37215 | hxxp://176[.]32[.]33[.]123 | 1 |
52869 | hxxp://80[.]211[.]173[.]159/mips | 1 |
<新規マルウェアダウンロード>
https://www.virustotal.com/#/url/aee9e18dc3b469544814749e32a5ca0a1e6556a98fd7f183bdf0a9536a6a9ace/detection
https://www.virustotal.com/#/file/29a8b2a2dbac349f919923d25af4f9162bc58c29b2daac41a56f5b25ba24276d/detection
https://www.virustotal.com/#/url/997557dd1ab4ddbe3bd8f07ebfd6306d7250b95e691acb87f4a59486810fd921/detection
https://www.virustotal.com/#/file/d5b52575d768154b2551b861e568a8d7c8266cc457f60589d3b850858b6dc16f/detection
以上となります。