【ハニーポット簡易分析】Honeytrap簡易分析(176-177日目:1/26-1/27)
SMB、Microsoft SQL Server 、RDPなど普段と変わらない検知でした。
◾️Honeytrap簡易分析(176-177日目:1/26-1/27)
※80ポートを除く
<宛先ポート別検知数>
1/26
宛先ポート | 検知数 | サービス | ペイロード例 |
445 | 889 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
1433 | 155 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
3389 | 84 | RDP | ...+&......Cookie: mstshash=hello.......... |
52869 | 81 | Realtek SDK | POST /picsdesc.xml |
2022 | 64 | SSH | SSH-2.0-libssh2_1.7.0.. |
81 | 50 | GoAhead Web Server | GET login.cgi |
6379 | 47 | ? | *1..$4..info.. |
389 | 33 | LDAP | ? |
5006 | 33 | ? | ? |
5601 | 33 | ? | ? |
1/27
宛先ポート | 検知数 | サービス | ペイロード例 |
445 | 924 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
1433 | 148 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
3389 | 79 | RDP | ...+&......Cookie: mstshash=hello.......... |
52869 | 67 | Realtek SDK | POST /picsdesc.xml |
10001 | 64 | ? | ? |
8000 | 43 | iRDMI | |
81 | 38 | GoAhead Web Server | GET login.cgi |
25 | 34 | SMTP | ? |
8069 | 33 | ? | ? |
8086 | 31 | ? | ? |
<新規マルウェアダウンロード>
ポート | マルウェアダウンロード先 | VT |
5555 | hxxp://159[.]89[.]182[.]124/z[.]sh | VirusTotal |
対象のファイルがどのようなものを実行しようとしているのか調査を試みましたが、404でアクセスが出来ずにどのようなマルウェアを実行しようとしているか不明でした。
以上となります。