Honeytrapの簡易分析となります
(80ポートは除く)
◾️検知数について
検知数が多い通信はいつもでした。
<ペイロード>
...*%......Cookie: mstshash=Test..........
※ポート番号はランダムでした。
通信元を調査したところ、以下のIPであり、AbuseIPでも不審な送信元IPとして報告されています。
195[.]19[.]10[.]135 220,510件
195.19.10.135 | OOO Sirius-Project | AbuseIPDB
195[.]19[.]10[.]195 219,364件
195.19.10.195 | OOO Sirius-Project | AbuseIPDB
62[.]76[.]75[.]210 218,897件
62.76.75.210 | OOO Serverland | AbuseIPDB
◾️新規マルウェアダウンロード
| ポート | マルウェアダウンロード先 | VT |
| 5555 | hxxp://p[.]x86thx[.]xyz/curl | VirusTotal |
| 5555 | hxxp://185[.]101[.]105[.]129/kalon[.]arm5 | |
| 8080 | hxxp://185[.]14[.]30[.]79/S0[.]sh | |
| 52869 | hxxp://23[.]254[.]224[.]150/x/Meraki[.]mips | |
| 55555 | hxxp://185[.]244[.]25[.]220/Corona[.]mipsel |
< NOTICEからの通信>
検知はありませんでした。
以上となります。
