【ハニーポット】Honeytrap簡易分析(102-108日目:11/18-11/24)

102-108日目の簡易分析となります。

Honeytrap簡易分析(102-108日目:11/18-11/24)
◾️送信元IPマッピング

f:id:one-chick-sec:20181202185641p:plain

◾️検知数

f:id:one-chick-sec:20181202185714p:plain

◾️宛先ポート別検知数

宛先ポート	検知数	サービス	補足
445	11516	SMB	SMBrS@bPC NETWORK PROGRAM 1.0　LANMAN1.0..Windows for Workgroups 3.1a..LM1.2X002..LANMAN2.1..NT LM 0.12.
81	1705	UPnP	GET login.cgi
3389	570	RDP	Cookie: mstshash=hello
1433	457	Microsoft SQL Server	S.E.R.V.E.R.s.a.O.S.Q.L.-.3.2.1.6.0...1.6...1.4.5...1.8.3.O.D.B.C.
8080	356	PROXY	GET / HTTP/1.1
502	297	?	........
8022	281	SSH	SSH-2.0-libssh2_1.4.3
22022	257	SSH	SSH-2.0-libssh2_1.4.3
503	255	?	........
8081	238	?	GET /bea_wls_deployment_internal HTTP/1.1

＜ポート 8081宛てへの通信＞
Apache Struts2 における脆弱性(S2-045/CVE-2017-5638)を狙った攻撃の調査行為をいくつか検知していました。アクセスを試みた通信先は以下となります。
・GET /home.do HTTP/1.1
・GET /home.jsp HTTP/1.1
・GET /home.xhmtl HTTP/1.1
・GET /index.action HTTP/1.1
・GET /index.do HTTP/1.1
・GET /index.htm HTTP/1.1
・GET /index.html HTTP/1.1
・GET /index.jsp HTTP/1.1
・GET /index.xhtml HTTP/1.1
・GET /login.action HTTP/1.1
・GET /login.do HTTP/1.1
・GET /login.htm HTTP/1.1
・GET /login.xhtml HTTP/1.1
・GET /main.action HTTP/1.1
・GET /main.do HTTP/1.1

◾️マルウェアダウンロード

宛先ポート	マルウェアダウンロード先	検知数
52869	hxxp://46[.]17[.]47[.]73/jiren[.]mips	66
52869	hxxp://194[.]147[.]32[.]226/jiren[.]mips	40
5555	hxxp://89[.]46[.]79[.]57/bc	24
5555	hxxp://188[.]209[.]52[.]142/c	7
5555	hxxp://207[.]148[.]64[.]177/a	7
52869	hxxp://46[.]17[.]47[.]73/jdabfsjkhfasl/jiren[.]mips	4
5555	hxxp://209[.]97[.]163[.]186/bc	3
5555	hxxp://80[.]211[.]117[.]113/bc	3
5555	hxxp://198[.]199[.]82[.]13/z[.]sh	1
37215	hxxp://176[.]32[.]33[.]123	1
52869	hxxp://80[.]211[.]173[.]159/mips	1