Honeytrap簡易分析(178-183日目:1/28-2/2)となります。
◾️Honeytrap簡易分析
※80ポートは除く
1/28
| 宛先ポート | 検知数 | サービス | ペイロード例 |
| 445 | 1,108 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
| 1433 | 148 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
| 8080 | 113 | PROXY | GET / HTTP/1.1 |
| 3389 | 91 | RDP | ...+&......Cookie: mstshash=hello.......... |
| 22222 | 48 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 81 | 47 | GoAhead Web Server | GET login.cgi |
| 222 | 37 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 52869 | 34 | Realtek SDK | POST /picsdesc.xml |
| 2222 | 33 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 9160 | 33 | ? | ? |
1/29
| 宛先ポート | 検知数 | サービス | ペイロード例 |
| 445 | 1,076 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
| 3389 | 270 | RDP | ...+&......Cookie: mstshash=hello.......... |
| 1433 | 134 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
| 8443 | 51 | ? | ? |
| 4489 | 50 | ? | ...+&......Cookie: mstshash=hello.......... |
| 81 | 44 | GoAhead Web Server | GET login.cgi |
| 8080 | 39 | PROXY | GET / HTTP/1.1 |
| 3333 | 36 | ? | ? |
| 4443 | 34 | ? | ? |
| 587 | 34 | ? | ? |
1/30
| 宛先ポート | 検知数 | サービス | ペイロード例 |
| 445 | 1,096 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
| 503 | 215 | intrinsa | ? |
| 1433 | 199 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
| 3389 | 86 | RDP | ...+&......Cookie: mstshash=hello.......... |
| 102 | 73 | ? | ? |
| 123 | 65 | ? | ? |
| 2082 | 37 | ? | ? |
| 11211 | 35 | ? | ? |
| 22222 | 34 | SSH | SSH-2.0-libssh2_1.7.0.. |
| 49 | 34 | ? | ? |
1/31
| 宛先ポート | 検知数 | サービス | ペイロード例 |
| 445 | 1,067 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
| 1433 | 145 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
| 3389 | 91 | RDP | ...+&......Cookie: mstshash=hello.......... |
| 50075 | 60 | ? | ? |
| 8080 | 52 | PROXY | GET / HTTP/1.1 |
| 4592 | 34 | ? | ? |
| 3386 | 33 | ? | ? |
| 4991 | 33 | ? | ? |
| 8098 | 33 | ? | ? |
| 34567 | 32 | ? | ? |
2/1
| 宛先ポート | 検知数 | サービス | ペイロード例 |
| 445 | 1,139 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
| 1433 | 274 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
| 3389 | 93 | RDP | ...+&......Cookie: mstshash=hello.......... |
| 44818 | 63 | ? | ? |
| 52869 | 38 | Realtek SDK | POST /picsdesc.xml |
| 81 | 38 | GoAhead Web Server | GET login.cgi |
| 110 | 33 | ? | ? |
| 5222 | 33 | ? | ? |
| 14000 | 30 | ? | ? |
| 50050 | 30 | ? | ? |
2/2
| 宛先ポート | 検知数 | サービス | ペイロード例 |
| 445 | 2,462 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
| 1433 | 271 | Microsoft SQL Server | S.E.R.V.E.R.s.a.O.S.Q.L |
| 40035 | 187 | ? | Cookie: mstshash=hello.......... |
| 3389 | 92 | RDP | ...+&......Cookie: mstshash=hello.......... |
| 52869 | 72 | Realtek SDK | POST /picsdesc.xml |
| 2086 | 36 | ? | ? |
| 3000 | 34 | ? | ? |
| 81 | 34 | GoAhead Web Server | GET login.cgi |
| 8140 | 34 | ? | ? |
| 853 | 34 | ? | ? |
SSH関連は減少してきましたが、SMB 、Microsoft SQL Server 、Realtek SDK はいずれも検知数の上位となっていました。
他には調査行為(おそらくスキャンと思われる)通信の検知となっていました。
<新規マルウェアダウンロード>
| ポート | マルウェアダウンロード先 | VT |
| 5555 | hxxp://137[.]74[.]237[.]194/adb4 →ダウンロード先はスクリプトであり、以下のファイルを ダウンロードさせる hxxp://137[.]74[.]237[.]194/fbot[.]arm7 |
|
| 52869 | hxxp://163[.]172[.]186[.]209/bins/mips[.]death | |
| 52869 | hxxp://45[.]62[.]249[.]171/d/xd[.]mips | VirusTotal |
| 52869 | hxxp://80[.]211[.]4[.]5/Axe | |
| 52869 | hxxp://80[.]211[.]8[.]182/Okami[.]mips |
Realtek SDK に関する脆弱性を狙った通信でいくつか新規のマルウェアを検知していました。マルウェアとしては、MiraiおよびGafgytの亜種を狙ったものでした。
1月分の集計も終わったので、まとめ記事を書く予定です。
以上となります。
