【ハニーポット簡易分析】Honeytrap簡易分析(149日目:1/4)
【ハニーポット簡易分析】Honeytrap簡易分析(149日目:1/4)
※80ポートの通信は収集対象外
<検知傾向(国別)>
<検知数グラフ>
<宛先ポート別検知数>
宛先ポート | 検知数 | サービス | ペイロード例 |
445 | 1382 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
2102 | 350 | SSH | SSH-2.0-libssh2_1.7.0.. |
1433 | 191 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
52869 | 160 | Realtek SDK | POST /picsdesc.xml |
10022 | 64 | SSH | SSH-2.0-libssh2_1.7.0.. |
3389 | 58 | RDP | ...+&......Cookie: mstshash=hello.......... |
81 | 41 | UPnP | GET /login.cgi |
22 | 40 | SSH | SSH-2.0-libssh2_1.7.0.. |
465 | 38 | ? | ? |
8080 | 34 | PROXY | GET / HTTP/1.1 |
通常と比較して、SSHに対する調査行為の通信が多いように感じました。
<新規マルウェアダウンロード>
ポート | マルウェアダウンロード先 | VT |
8010 | hxxp://a46[.]bulehero[.]in/download[.]exe | VirusTotal |
5555 | hxxp://185[.]62[.]190[.]141/adb4 | VirusTotal |
5555 | hxxp://1[.]1[.]1[.]1/Solar[.]sh | |
5555 | hxxp://206[.]189[.]129[.]136/Solar[.]sh |
ポート5555宛てへの通信で検知している Solar[.]sh は接続できずに中身まで確認することが出来なかったですが、VirusTotalから推測するとおそらくMirai関連のマルウェアをダウンロードすると推測されます。
簡易分析は以上となります。