【ハニーポット簡易分析】Honeytrap簡易分析(194日目:2/23)
色々とハニーポットを改良しようと思って調整しようとしてログをロストしてしまい、久々の更新となってしまいました。
UDPパケットを取得しようと思いましたが、ログのサイズが数時間で数百GBになってしまい、諦めました。。。。
最終的には元の設定に戻して、稼働することになりました。
以下、簡易分析となります。
<194日目:2/23 Honeytrap>
※80ポートは覗いています。
<宛先ポート別検知数>
宛先ポート | 検知数 | サービス | ペイロード例 |
445 | 1,294 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
20547 | 99 | ? | ? |
3389 | 68 | RDP | ...+&......Cookie: mstshash=hello.......... |
52869 | 65 | Realtek SDK | POST /picsdesc.xml |
8080 | 55 | PROXY | GET / |
1234 | 40 | ? | ? |
1723 | 35 | ? | ? |
8181 | 34 | ? | ? |
81 | 33 | GoAhead Web Server | GET login.cgi |
1089 | 33 | ? | ? |
<新規マルウェアダウンロード>
ポート | マルウェアダウンロード先 | VT |
5555 | hxxp://185[.]61[.]138[.]13:8080/adb4 | VirusTotal |
5555 | hxxp://198[.]98[.]54[.]147/d | |
7547 | hxxp://46[.]166[.]133[.]165/Demon[.]mips | |
8000 | hxxp://80[.]211[.]111[.]10/avtech | |
52869 | hxxp://185[.]62[.]190[.]159/bins/mipsel[.]idopoc |
以上となります。