sec-chick Blog

サイバーセキュリティブログ

【ハニーポット】Honeytrap簡易分析(117日目:12/3)

12/3 分の簡易分析となります。

Honeytrap簡易分析(117日目:12/3)
※80ポートおよびUDPポートは収集対象外

◾️送信元IP別マッピング
f:id:one-chick-sec:20181205061316p:plain

◾️検知数

f:id:one-chick-sec:20181205061330p:plain

23:00以降で検知数が増加していますが、RDPの不正アクセスを狙った通信でした。

ペイロード
...*%......Cookie: mstshash=Test..........

◾️宛先ポート

宛先ポート 検知数 サービス ペイロード
445 2173 SMB SMBrS@bPC NETWORK PROGRAM 1.0
3389 78 RDP ...+&......Cookie:mstshash=hello..........
52869 66 D-Link, Realtek SDK POST /picsdesc.xml
503 63 ........ ........
81 49 UPnP GET login.cgi
8080 39 PROXY GET / HTTP/1.1
1433 36 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
9981 33 ?  
631 32 ?  
7657 32 ?  


宛先ポート 503の通信が増加していますが、何の脆弱性を調査しているものかは不明でした。検知数上位のポートは特に変化がなく、30件前後のものはツールよって発生したものとなっています。


◾️新規マルウェアダウンロード先

宛先ポート マルウェアダウンロード先 検知数
52869
新規1
hxxp://46[.]17[.]47[.]73/vodity[.]mips 17
52869

hxxp://46[.]17[.]47[.]73/poof[.]mips 12
5555 hxxp://188[.]209[.]52[.]142/c 1
5555 hxxp://209[.]97[.]163[.]186/bc 1

新規1
https://www.virustotal.com/#/file/d5b52575d768154b2551b861e568a8d7c8266cc457f60589d3b850858b6dc16f/detection



以上となります。