【ハニーポット簡易分析】Honeytrap簡易分析(262-265日目:5/5-5/8)
Honeytrap簡易分析(262-265日目:5/5-5/8) となります。
※80ポートは除く
5/8に検知数が増加していますが、特定の送信元IP 185[.]209[.]0[.]43 からRDPへの不正アクセスを狙ったものを大量に検知しているためとなります。ポートは番号は特に指定しておらず、手当たり次第にスキャンしているようでした。
ペイロード:
... &......Cookie: mstshash=hello..........
abuseipdbで調査したところ、他にもRDPのBrute-Forceとして多数報告されていました。
https://www.abuseipdb.com/check/185.209.0.43
<新規マルウェアダウンロード>
ポート | マルウェアダウンロード先 | HTTPリクエストパス |
52869 | hxxp://174[.]128[.]226[.]101/kr | POST /picsdesc.xml |
52869 | hxxp://185[.]244[.]25[.]199/akbins/mips[.]akira[.]ak | POST /picsdesc.xml |
52869 | hxxp://198[.]12[.]97[.]67:80/arm | POST /picsdesc.xml |
52869 | hxxp://198[.]12[.]97[.]67:80/arm5 | POST /picsdesc.xml |
52869 | hxxp://198[.]12[.]97[.]67:80/arm6 | POST /picsdesc.xml |
52869 |
hxxp://198[.]12[.]97[.]67:80/arm7 |
POST /picsdesc.xml |