【ハニーポット】Honeytrap簡易分析(109-114日目:11/25-11/30)
Honeytrap簡易分析(109-114日目:11/25-11/30)となります。
Honeytrap 簡易分析
◾️送信元IPマッピング
◾️検知数
<11/26, 11/30>
RDPへの調査行為を11/26に57,964件、11/30に58,099件検知していました。
・62[.]76[.]75[.]210 19,349 件
62.76.75.210 | OOO Serverland | AbuseIPDB
・62[.]76[.]75[.]209 19,347 件
62.76.75.209 | OOO Serverland | AbuseIPDB
・195[.]19[.]10[.]195 19,240 件
195.19.10.195 | OOO Sirius-Project | AbuseIPDB
ペイロード:
...*%......Cookie: mstshash=Test..........
◾️宛先ポート別
| 宛先 ポート |
検知数 | サービス | ペイロード例 |
| 445 | 11384 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 LANMAN1.0..Windows for Workgroups 3.1a..LM1.2X002..LANMAN2.1..NT LM 0.12. |
| 81 | 2700 | UPnP | GET login.cgi |
| 22 | 1813 | SSH | Cookie: mstshash=hello |
| 1433 | 499 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
| 5522 | 397 | SSH | SSH-2.0-libssh2_1.4.3.. |
| 3389 | 321 | RDP | Cookie: mstshash=hello |
| 8080 | 318 | PROXY | GET / HTTP/1.1 |
| 6379 | 225 | REDIS | *4..$6..CONFIG..$3..set..$3..dir..$16../var/spool/cron/.. |
| 502 | 213 | ? | ........ |
| 52869 | 188 | D-Link, Realtek SDK | POST /picsdesc.xml |
<ポート81,52869>
ポート81や52869などIoTを狙った通信は現在も継続して検知しています。まだまだ、IoT製品は狙えるため、攻撃者も狙っているのかもしれません。
◾️マルウェアダウンロード
| 宛先ポート | マルウェアダウンロード先 | 検知数 |
| 52869 | hxxp://46[.]17[.]47[.]73/poof[.]mips | 31 |
| 52869 | hxxp://46[.]17[.]47[.]73/jiren[.]mips | 16 |
| 52869 | hxxp://185[.]244[.]25[.]222/mips | 7 |
| 5555 | hxxp://89[.]46[.]79[.]57/bc | 6 |
| 5555 | hxxp://209[.]97[.]163[.]186/bc | 5 |
| 5555 | hxxp://188[.]209[.]52[.]142/c | 4 |
| 5555 | hxxp://185[.]162[.]130[.]187/adbs2 | 2 |
| 5555 | hxxp://80[.]211[.]117[.]113/bc | 2 |
| 5555 | hxxp://198[.]199[.]82[.]13/z[.]sh | 1 |
| 5555 | hxxp://207[.]148[.]64[.]177/a | 1 |
| 5555 | hxxp://207[.]148[.]78[.]152/bc | 1 |
| 5555 | hxxp://27[.]102[.]115[.]44/adbs2 | 1 |
| 5555 | hxxp://95[.]215[.]62[.]169/adbs | 1 |
| 52869 | hxxp://167[.]88[.]161[.]40/bins/mpsl | 1 |
| 52869 | hxxp://217[.]61[.]105[.]126/shiro[.]mips | 1 |
| 52869 | hxxp://68[.]183[.]49[.]185/apep[.]mips | 1 |
<新規マルウェア>
https://www.virustotal.com/#/file/d5b52575d768154b2551b861e568a8d7c8266cc457f60589d3b850858b6dc16f/detection
https://www.virustotal.com/#/url/b33f12a3b4e108de7f749de4adf4a672a533f5e23485bf27d70298f30d113a52/detection
https://www.virustotal.com/#/url/be1b4c6de4ad661ced999a55a3f0bbd6e9a5cbfa6ff77736bfddeed36736c6bf/detection
https://www.virustotal.com/#/url/3705a0b21eee2d6899deed37f155a8fa56805d91e43036f637c4c35decb3e5d8/detection
https://www.virustotal.com/#/url/91287b8eb4b446f6eb89d2ca5f1314d3f795e16fb8a9d61fa556ce99102a3d2a/detection
