【ハニーポット】Honeytrap簡易分析(117日目:12/3)
12/3 分の簡易分析となります。
Honeytrap簡易分析(117日目:12/3)
※80ポートおよびUDPポートは収集対象外
◾️送信元IP別マッピング
◾️検知数
23:00以降で検知数が増加していますが、RDPの不正アクセスを狙った通信でした。
ペイロード:
...*%......Cookie: mstshash=Test..........
◾️宛先ポート
宛先ポート | 検知数 | サービス | ペイロード例 |
445 | 2173 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
3389 | 78 | RDP | ...+&......Cookie:mstshash=hello.......... |
52869 | 66 | D-Link, Realtek SDK | POST /picsdesc.xml |
503 | 63 | ........ | ........ |
81 | 49 | UPnP | GET login.cgi |
8080 | 39 | PROXY | GET / HTTP/1.1 |
1433 | 36 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
9981 | 33 | ? | |
631 | 32 | ? | |
7657 | 32 | ? |
宛先ポート 503の通信が増加していますが、何の脆弱性を調査しているものかは不明でした。検知数上位のポートは特に変化がなく、30件前後のものはツールよって発生したものとなっています。
◾️新規マルウェアダウンロード先
宛先ポート | マルウェアダウンロード先 | 検知数 |
52869 新規1 |
hxxp://46[.]17[.]47[.]73/vodity[.]mips | 17 |
52869 |
hxxp://46[.]17[.]47[.]73/poof[.]mips | 12 |
5555 | hxxp://188[.]209[.]52[.]142/c | 1 |
5555 | hxxp://209[.]97[.]163[.]186/bc | 1 |
以上となります。