Honeytrapの簡易分析となります(80ポートは除く)
◾️検知数
2/27にスキャン行為にもあったRDPへの不正アクセスを狙ったものでありました。
<ペイロード>
...*%......Cookie: mstshash=Test..........
※ポート番号はランダムでした。
通信元を調査したところ、以下のIPであり、AbuseIPでも不審な送信元IPとして報告されていました。
今回も同様の送信元からの通信でした。
195[.]19[.]10[.]135 103,400件
195.19.10.135 | OOO Sirius-Project | AbuseIPDB
195[.]19[.]10[.]195 102,956件
195.19.10.195 | OOO Sirius-Project | AbuseIPDB
62[.]76[.]75[.]210 101,788件
62.76.75.210 | OOO Serverland | AbuseIPDB
<マルウェアダウンロード>
| ポート | マルウェアダウンロード先 | VT |
| 52869 | hxxp://157[.]230[.]214[.]179/bins/apep[.]mips | VirusTotal |
| 52869 | hxxp://89[.]46[.]223[.]131/d/xd[.]mips |
<「NOTICE」からの通信>
検知はありませんでした。
以上となります。
