【ハニーポット簡易分析】Honeytrap簡易分析(266-272日目:5/9-5/15)
Honeytrap簡易分析(266-272日目:5/9-5/15)となります。
※80ポートは除く
検知数が非常に多くなっていますが、RDPに関する通信が増加したことが原因となります。
◾️ペイロード
◾️ポート番号
今回のポート番号を見てみると、3389ではなくあらゆるポートに対して実施されています。送信元IPについては、特定のIPからの通信が多数検知していました。
送信元IP | 検知数 |
185[.]209[.]0[.]43 | 799,736 |
185[.]156[.]177[.]95 | 63,245 |
141[.]98[.]81[.]34 | 4,569 |
198[.]108[.]67[.]48 | 3,108 |
185[.]156[.]177[.]24 | 3,036 |
92[.]53[.]90[.]84 | 2,403 |
193[.]188[.]22[.]118 | 862 |
185[.]156[.]177[.]153 | 361 |
94[.]139[.]225[.]27 | 291 |
185[.]142[.]236[.]34 | 270 |
185[.]209[.]0[.]43と185[.]156[.]177[.]95からであり、abuseipでもRDP brute forceとして報告されていました。
https://www.abuseipdb.com/check/185.209.0.43
https://www.abuseipdb.com/check/185.156.177.95
ちなみに今回は自分も abuseipに登録してみました!
CVE-2019-0708 にてRDPの脆弱性が公開されていることもあり、増加傾向なのかもしれません。
<新規マルウェア>
ポート | マルウェアダウンロード先 | 送信元IP | パス | 検知数 |
8000 | hxxp://kalonboats[.]tk/hakai[.]arm | 162[.]255[.]127[.]112 | GET /cgi-bin/nobody/Search.cgi | 1 |
8080 | hxxp://hulo[.]r00ts[.]online/[.]config/Lrep | 157[.]230[.]232[.]159 | POST /tmUnblock.cgi | 1 |
8080 | hxxp://hulo[.]r00ts[.]online/FleX/Lrep | 117[.]0[.]208[.]114 | POST /tmUnblock.cgi | 1 |
9200 |
hxxp://198[.]13[.]42[.]229:8667/6HqJB0SPQqbFbHJD/init[.]sh |
39[.]134[.]26[.]20 | POST /_search?pretty | 1 |
特段、新規の脆弱性や大きく傾向が変わったマルウェアの検知はありませんでした。
以上となります。