【ハニーポットの検証】ハニーポット設置6日目 ～miraiは本当に来ていないのか？～

今回から、サブタイトルをつけてみました。

できるだけ、今HOTな情報について、ハニーポットのデータを見ていければいいなと思います。

今回は、順番を変えて、いつものハードコピーを最初に掲示しておきます。

さて、攻撃を検知するには、攻撃方法を知らなければなりません。

ということで、今回のメインテーマである「mirai」について少し情報をまとめてみます。

miraiは、家庭内のIoTデバイスをターゲットとしたマルウェアで、感染した機器をDDoS攻撃に使用することができます。

miraiは、23/TCP（Telnet）、2323/TCP、37215/TCP、52869/TCP　あたりを突いてくるということで、「Cowrie」のポートごとの攻撃数を見てみると、たしかに「2323」への通信がありますね。これがmiraiなんでしょうか。

初期攻撃を観測できる「honeytrap」に目を向けてみると、ポート「2323」へ非常に多くの通信が寄せられています。

昨日までの記事では、miraiは観測できないとしていましたが、この情報を見る限り、しっかりmiraiはうちのハニーポットにも届いていたようです。

ただ、ポート「23」への通信はあまりないようなので、主流の攻撃としてはやはりmiraiの亜種なんでしょうかね。