sec-chick Blog

サイバーセキュリティブログ

【ハニーポット】Honeytrap簡易分析(116日目:12/2)

12/2 分の簡易分析となります。

Honeytrap簡易分析(116日目:12/2)
※80ポートおよびUDPポートは収集対象外

◾️送信元IPマッピング

f:id:one-chick-sec:20181205003345p:plain


◾️検知数グラフ

f:id:one-chick-sec:20181205003403p:plain

特定の時刻だけ増加しているような事象はありませんでした。


◾️宛先ポート

宛先ポート 検知数 サービス ペイロード
445 1678 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 72 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
81 67 UPnP GET login.cgi
3389 62 RDP Cookie: mstshash=hello
8080 62 PROXY GET / HTTP/1.1
23 34 TELNET #ST.
18245 33 ? #ST.
2404 33 ? #ST.
2455 33 ? #ST.
7800 3 ? #ST.


ポート23,18245,2404,3455,7800といったあまり普段は検知しないようなポートを検知していました。特段何かを狙ったものではないと思われますが、ちょっと気になります。

◾️マルウェアダウンロード

先ポート マルウェアダウンロード先 検知数
52869 hxxp://185[.]244[.]25[.]222/mips 1
52869 hxxp://46[.]17[.]47[.]73/poof[.]mips 12


新規のマルウェア検知はありませんでした。

以上となります。