sec-chick Blog

サイバーセキュリティブログ

【ハニーポット】Honeytrap簡易分析(119-123日目:12/5-12/9)

また、期間が空いてしまいましたが、だいぶ落ち着いてきたので、再開していきたいと思います。

Honeytrap簡易分析(119-123日目:12/5-12/9)
※80ポートは含まれていません。

<送信元IP(国)>

f:id:one-chick-sec:20181220234421p:plain

<検知数グラフ>

f:id:one-chick-sec:20181220234547p:plain

12/7(金)に多数の検知をしています。この検知は各ポートに対して、以下の通信を検知していました。

ペイロード 検知数
...*%......Cookie: mstshash=Test.......... 58,113

RDPを狙った通信であり、このハニーポットでも何度か検知しているものです。

<ポート別検知数>

宛先ポート 検知数 サービス ペイロード
445 7286 SMB SMBrS@bPC NETWORK PROGRAM 1.0
22 429 SSH SSH-2.0-libssh2_1.4.3..
3389 179 RDP ...+&......Cookie: mstshash=hello..........
8080 168 PROXY GET / HTTP/1.1
81 162 UPnP GET /login.cgi
52869 155 D-Link, Realtek SDK POST /picsdesc.xml
4000 111 ? SSH-2.0-libssh2_1.7.0..
5022 111 ? SSH-2.0-libssh2_1.7.0..
22222 99 SSH SSH-2.0-libssh2_1.7.0..
992 98 ? ?


<マルウェアダウンロード>

ポート マルウェアダウンロード先 VT
52869 hxxp://185[.]101[.]107[.]127/Demon[.]mips

VirusTotal

52869 hxxp://185[.]244[.]25[.]222/mips VirusTotal
52869 hxxp://217[.]61[.]6[.]249/qq[.]mips

VirusTotal

新規なものとして Demon[.]mips の新規IPでのダウンロードを狙った攻撃を検知していました。他は傾向としては大きなものはありませんでした。

以上となります。