【ハニーポット簡易分析】Honeytrap簡易分析(195日目:2/24)
Honeytrap簡易分析(195日目:2/24)となります。
※80ポートは収集対象外
<宛先ポート別検知数>
宛先ポート | 検知数 | サービス | ペイロード例 |
445 | 1,262 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
11022 | 454 | SSH | SSH-2.0-libssh2_1.4.3.. |
3389 | 91 | RDP | ...+&......Cookie: mstshash=hello.......... |
52869 | 62 | Realtek SDK | POST /picsdesc.xml |
443 | 34 | HTTPS | ? |
5222 | 33 | ? | ? |
81 | 32 | GoAhead Web Server | GET login.cgi |
8080 | 31 | PROXY | GET / |
20547 | 30 | ? | ? |
5060 | 30 | ? | ? |
<新規マルウェアダウンロード>
ポート | マルウェアダウンロード先 | リクエスト | VT |
49152 | hxxp://142[.]93[.]211[.]141/kira1/kirai[.]mips | POST /soap.cgi?service=WANIPConn1 | VirusTotal |
8000 | hxxp://185[.]101[.]105[.]129/kalon[.]arm5 | GET /cgi-bin/nobody/Search.cgi | VirusTotal |
D-Link デバイスおよびAVTECH IP Camera, NVR, DVRの脆弱性を狙ったものを検知していました。ポート49152はMiraiの亜種を狙ったものであり、ポート8000はVirusTotalでは不明でした。
また、「NOTICE」で使用するIPアドレスからの通信は特にありませんでした。
以上となります。