12/10-12/17の簡易分析となります。
Honeytrap簡易分析(124-130日目:12/10-12/17)
◾️Honeytrap簡易分析(124-130日目:12/10-12/17)
※80ポートは収集していません。
◾️検知数グラフ
◾️宛先ポート別検知数
|
宛先ポート |
検知数 | サービス | ペイロード例 |
| 445 | 14579 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
| 3127 | 1249 | ? | &......Cookie: mstshash=hello.......... |
| 3014 | 1242 | ? | &......Cookie: mstshash=hello.......... |
| 3015 | 1242 | ? | &......Cookie: mstshash=hello.......... |
| 3016 | 1242 | ? | &......Cookie: mstshash=hello.......... |
| 3017 | 1242 | ? | &......Cookie: mstshash=hello.......... |
| 3019 | 1242 | ? | &......Cookie: mstshash=hello.......... |
| 3020 | 1242 | ? | &......Cookie: mstshash=hello.......... |
| 3021 | 1242 | ? | &......Cookie: mstshash=hello.......... |
| 3130 | 1242 | ? | &......Cookie: mstshash=hello.......... |
12/14にRDPの不正アクセスを試みた通信を様々なポートで検知したため、全体的に検知数が増加しています。攻撃元のIPを調査したところ、他のIPでも同様な攻撃を検知しているようでした。
185.156.177.49 | VPSville LLC | AbuseIPDB
◾️新規マルウェアダウンロード
| ポート | マルウェアダウンロード先 | VT |
| 5555 | hxxp://80[.]211[.]241[.]28/bc | |
| 52869 | hxxp://142[.]93[.]243[.]117/bins[.]sh |
特に新たなマルウェアはありませんでした。
以上となります。
