sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeytrap簡易分析(149日目:1/4)


ハニーポット簡易分析】Honeytrap簡易分析(149日目:1/4)
※80ポートの通信は収集対象外

<検知傾向(国別)>

f:id:one-chick-sec:20190105145403p:plain


<検知数グラフ>

f:id:one-chick-sec:20190105145409p:plain



<宛先ポート別検知数>

宛先ポート 検知数 サービス ペイロード
445 1382 SMB SMBrS@bPC NETWORK PROGRAM 1.0
2102 350 SSH SSH-2.0-libssh2_1.7.0..
1433 191 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
52869 160 Realtek SDK POST /picsdesc.xml
10022 64 SSH SSH-2.0-libssh2_1.7.0..
3389 58 RDP ...+&......Cookie: mstshash=hello..........
81 41 UPnP GET /login.cgi
22 40 SSH SSH-2.0-libssh2_1.7.0..
465 38 ? ?
8080 34 PROXY GET / HTTP/1.1


通常と比較して、SSHに対する調査行為の通信が多いように感じました。

<新規マルウェアダウンロード>

ポート マルウェアダウンロード先 VT
8010 hxxp://a46[.]bulehero[.]in/download[.]exe VirusTotal
5555 hxxp://185[.]62[.]190[.]141/adb4 VirusTotal
5555 hxxp://1[.]1[.]1[.]1/Solar[.]sh

VirusTotal

5555 hxxp://206[.]189[.]129[.]136/Solar[.]sh

VirusTotal

ポート5555宛てへの通信で検知している Solar[.]sh は接続できずに中身まで確認することが出来なかったですが、VirusTotalから推測するとおそらくMirai関連のマルウェアをダウンロードすると推測されます。

 

簡易分析は以上となります。