【ハニーポット】Honeytrap簡易分析(119-123日目:12/5-12/9)
また、期間が空いてしまいましたが、だいぶ落ち着いてきたので、再開していきたいと思います。
Honeytrap簡易分析(119-123日目:12/5-12/9)
※80ポートは含まれていません。
<送信元IP(国)>
<検知数グラフ>
12/7(金)に多数の検知をしています。この検知は各ポートに対して、以下の通信を検知していました。
ペイロード | 検知数 |
...*%......Cookie: mstshash=Test.......... | 58,113 |
RDPを狙った通信であり、このハニーポットでも何度か検知しているものです。
<ポート別検知数>
宛先ポート | 検知数 | サービス | ペイロード例 |
445 | 7286 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
22 | 429 | SSH | SSH-2.0-libssh2_1.4.3.. |
3389 | 179 | RDP | ...+&......Cookie: mstshash=hello.......... |
8080 | 168 | PROXY | GET / HTTP/1.1 |
81 | 162 | UPnP | GET /login.cgi |
52869 | 155 | D-Link, Realtek SDK | POST /picsdesc.xml |
4000 | 111 | ? | SSH-2.0-libssh2_1.7.0.. |
5022 | 111 | ? | SSH-2.0-libssh2_1.7.0.. |
22222 | 99 | SSH | SSH-2.0-libssh2_1.7.0.. |
992 | 98 | ? | ? |
<マルウェアダウンロード>
ポート | マルウェアダウンロード先 | VT |
52869 | hxxp://185[.]101[.]107[.]127/Demon[.]mips | |
52869 | hxxp://185[.]244[.]25[.]222/mips | VirusTotal |
52869 | hxxp://217[.]61[.]6[.]249/qq[.]mips |
新規なものとして Demon[.]mips の新規IPでのダウンロードを狙った攻撃を検知していました。他は傾向としては大きなものはありませんでした。
以上となります。