【ハニーポット簡易分析】Honeytrap簡易分析(184-1日目:2/3-2/12)
間隔が空いてしまいましたが、Honeytrapの簡易分析となります。
◾️Honeytrap簡易分析
※80ポートは除く
2/3および2/4に検知数が増加していますが、ポート 27214宛にRDPの不正ログインを狙った攻撃が多数検知していることが原因となっています。2/5以降は特に傾向の変化はありませんでした。
ポート27214に関する記事がないか確認しましたが、特に情報はありませんでした。
◾️宛先ポート別検知数
2/3
宛先ポート | 検知数 | サービス | ペイロード例 |
27214 | 14,611 | ? | Cookie: mstshash=hello |
445 | 873 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
1433 | 152 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
52869 | 121 | Realtek SDK | POST /picsdesc.xml |
3389 | 70 | RDP | ...+&......Cookie: mstshash=hello.......... |
20000 | 62 | SSH | SSH-2.0-libssh2_1.7.0.. |
82 | 42 | ? | ? |
27017 | 36 | ? | ? |
9100 | 36 | ? | ? |
55554 | 35 | ? | ? |
2/4
宛先ポート | 検知数 | サービス | ペイロード例 |
27214 | 32,495 | ? | Cookie: mstshash=hello |
445 | 954 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
3389 | 177 | RDP | ...+&......Cookie: mstshash=hello.......... |
52869 | 150 | Realtek SDK | POST /picsdesc.xml |
1433 | 124 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
22222 | 57 | SSH | SSH-2.0-libssh2_1.7.0.. |
1001 | 57 | ? | ? |
222 | 56 | SSH | SSH-2.0-libssh2_1.7.0.. |
3380 | 56 | ? | ? |
3392 | 56 | ? | ? |
2/5
宛先ポート | 検知数 | サービス | ペイロード例 |
445 | 984 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
1433 | 141 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
22222 | 81 | SSH | SSH-2.0-libssh2_1.7.0.. |
3389 | 68 | RDP | ...+&......Cookie: mstshash=hello.......... |
22 | 57 | SSH | SSH-2.0-libssh2_1.7.0.. |
52869 | 47 | Realtek SDK | POST /picsdesc.xml |
2222 | 35 | SSH | SSH-2.0-libssh2_1.7.0.. |
2376 | 34 | ? | ? |
1434 | 33 | ? | ? |
789 | 33 | ? | ? |
2/6
宛先ポート | 検知数 | サービス | ペイロード例 |
445 | 1,003 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
1433 | 141 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
22222 | 73 | SSH | SSH-2.0-libssh2_1.7.0.. |
3389 | 71 | RDP | ...+&......Cookie: mstshash=hello.......... |
222 | 56 | SSH | SSH-2.0-libssh2_1.7.0.. |
2222 | 55 | SSH | SSH-2.0-libssh2_1.7.0.. |
443 | 53 | HTTPS | ? |
81 | 41 | GoAhead Web Server | GET login.cgi |
22 | 36 | SSH | SSH-2.0-libssh2_1.7.0.. |
8080 | 34 | PROXY | GET / |
2/7
宛先ポート | 検知数 | サービス | ペイロード例 |
445 | 986 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
1433 | 120 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
20022 | 111 | SSH | SSH-2.0-libssh2_1.7.0.. |
3389 | 88 | RDP | ...+&......Cookie: mstshash=hello.......... |
3398 | 80 | ? | ? |
443 | 62 | HTTPS | ? |
52869 | 43 | Realtek SDK | POST /picsdesc.xml |
81 | 43 | GoAhead Web Server | GET login.cgi |
2222 | 42 | SSH | SSH-2.0-libssh2_1.7.0.. |
22222 | 42 | SSH | SSH-2.0-libssh2_1.7.0.. |
2/8
宛先ポート | 検知数 | サービス | ペイロード例 |
445 | 1,043 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
1433 | 133 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
3389 | 88 | RDP | ...+&......Cookie: mstshash=hello.......... |
6379 | 51 | ? | ? |
52869 | 42 | Realtek SDK | POST /picsdesc.xml |
18245 | 38 | ? | ? |
2404 | 35 | ? | ? |
443 | 34 | HTTPS | ? |
81 | 34 | GoAhead Web Server | GET login.cgi |
8080 | 33 | PROXY | GET / |
2/9
宛先ポート | 検知数 | サービス | ペイロード例 |
445 | 941 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
1433 | 146 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
3389 | 78 | RDP | ...+&......Cookie: mstshash=hello.......... |
81 | 41 | GoAhead Web Server | GET login.cgi |
52869 | 37 | Realtek SDK | POST /picsdesc.xml |
25 | 34 | SMTP | ? |
2087 | 33 | ? | ? |
22222 | 31 | SSH | SSH-2.0-libssh2_1.7.0.. |
8080 | 30 | PROXY | GET / |
22 | 29 | SSH | SSH-2.0-libssh2_1.7.0.. |
2/10
宛先ポート | 検知数 | サービス | ペイロード例 |
445 | 1,307 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
22 | 568 | SSH | SSH-2.0-libssh2_1.7.0.. |
1433 | 129 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
3389 | 64 | RDP | ...+&......Cookie: mstshash=hello.......... |
52869 | 38 | Realtek SDK | POST /picsdesc.xml |
137 | 33 | NetBIOS Name Service | ? |
3780 | 33 | ? | ? |
53 | 33 | DNS | ? |
631 | 33 | ? | ? |
7657 | 33 | ? | ? |
2/11
宛先ポート | 検知数 | サービス | ペイロード例 |
445 | 1,032 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
1433 | 132 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
81 | 68 | GoAhead Web Server | GET login.cgi |
52869 | 57 | Realtek SDK | POST /picsdesc.xml |
3389 | 42 | RDP | ...+&......Cookie: mstshash=hello.......... |
443 | 39 | HTTPS | ? |
6666 | 37 | ? | ? |
3390 | 27 | ? | ? |
222 | 25 | SSH | SSH-2.0-libssh2_1.7.0.. |
5555 | 25 | Android Debug Bridge | CNXN 2.......host::.OPEN. |
2/12
宛先ポート | 検知数 | サービス | ペイロード例 |
445 | 1,104 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
3389 | 365 | RDP | ...+&......Cookie: mstshash=hello.......... |
1433 | 139 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
52869 | 67 | Realtek SDK | POST /picsdesc.xml |
81 | 39 | GoAhead Web Server | GET login.cgi |
5555 | 36 | Android Debug Bridge | CNXN 2.......host::.OPEN. |
3390 | 33 | RDP | &..Cookie: mstshash=hello |
8080 | 29 | PROXY | GET / |
4567 | 28 | ? | ? |
2222 | 27 | SSH | SSH-2.0-libssh2_1.7.0.. |
◾️マルウェアダウンロード
Mirai/Gafgytの亜種を除いた場合、hxxp://a46[.]bulehero[.]in/download[.]exe のダウンロードが多い印象でした。
Any.runで調査したところ、MinerやTrojanの記載がありました。
http://a46.bulehero.in/download.exe - Interactive analysis - ANY.RUN
簡易分析は以上となります。