Honeytrap簡易分析(195日目:2/24)となります。
※80ポートは収集対象外
<宛先ポート別検知数>
| 宛先ポート | 検知数 | サービス | ペイロード例 |
| 445 | 1,262 | SMB | SMBrS@bPC NETWORK PROGRAM 1.0 |
| 11022 | 454 | SSH | SSH-2.0-libssh2_1.4.3.. |
| 3389 | 91 | RDP | ...+&......Cookie: mstshash=hello.......... |
| 52869 | 62 | Realtek SDK | POST /picsdesc.xml |
| 443 | 34 | HTTPS | ? |
| 5222 | 33 | ? | ? |
| 81 | 32 | GoAhead Web Server | GET login.cgi |
| 8080 | 31 | PROXY | GET / |
| 20547 | 30 | ? | ? |
| 5060 | 30 | ? | ? |
<新規マルウェアダウンロード>
| ポート | マルウェアダウンロード先 | リクエスト | VT |
| 49152 | hxxp://142[.]93[.]211[.]141/kira1/kirai[.]mips | POST /soap.cgi?service=WANIPConn1 | VirusTotal |
| 8000 | hxxp://185[.]101[.]105[.]129/kalon[.]arm5 | GET /cgi-bin/nobody/Search.cgi | VirusTotal |
D-Link デバイスおよびAVTECH IP Camera, NVR, DVRの脆弱性を狙ったものを検知していました。ポート49152はMiraiの亜種を狙ったものであり、ポート8000はVirusTotalでは不明でした。
また、「NOTICE」で使用するIPアドレスからの通信は特にありませんでした。
以上となります。
