【ハニーポット】Honeytrap簡易分析(118日目:12/4)
118日目の簡易分析となります。途中でVPSがダウンすると言う悲しい事件がありましたが。。。。。。。
Honeytrap簡易分析(118日目:12/4)
※80ポートおよびUDPポートは収集対象外
◾️送信元IPマッピング
◾️検知数グラフ
◾️宛先ポート別検知数
宛先ポート | 検知数 | サービス | ペイロード例 |
445 | 802 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
3389 | 86 | RDP | ...+&......Cookie: mstshash=hello.......... |
81 | 51 | UPnP | GET login.cgi HTTP/1.1 |
52869 | 42 | D-Link, Realtek SDK | POST /picsdesc.xml |
5555 | 38 | Android Debug Bridge | CNXN............2.......host::. |
6666 | 36 | ? | - |
8080 | 31 | PROXY | GET / HTTP/1.1 |
23 | 29 | TELNET | - |
1433 | 23 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
18091 | 17 | Memcached | - |
VPSが障害でストップしたため、途中で検知数が少なくなっています。
前半に検知数が多いですが、様々なポートに対して、スキャン行為を検知したためとなります。
検知IP
195[.]19[.]10[.]195 16,981 件
62[.]76.[.]5[.]210 16,976 件
62[.]76[.]75[.]209 16,837 件
https://www.abuseipdb.com/check/195.19.10.195
https://www.abuseipdb.com/check/62.76.75.210
https://www.abuseipdb.com/check/62.76.75.209
調査してみるとRDP Bruteforceとしての報告がありました。
検知ペイロードからもRDP Bruteforceを狙ったものでした。
検知ペイロード:
...*%......Cookie: mstshash=Test..........
◾️新規マルウェアダウンロード
宛先ポート | マルウェアダウンロード先 | 検知数 |
52869 | hxxp://46[.]17[.]47[.]73/vodity[.]mips | 12 |
52869 新規1 |
hxxp://185[.]244[.]25[.]200/bins/mips[.]light | 3 |
52869 | hxxp://185[.]244[.]25[.]222/mips | 1 |
以上となります。