サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】ハニーポット設置15日目 ~年末年始の攻撃は?~

年末にひいた風邪が未だに治りません…。すでに1週間以上かかっているんですが、治る気配がありません。

皆様も、今年の風邪には十分ご注意ください。

 

 

さて、年末年始に、1冊本を読んでみました。

最近、ハニーポットを始めた私にとって、ハニーポットを取り扱うためにはどうすればいいか、何を分析すべきなのかがよくわかる書籍でした。今後、少しでもこの本の教えに従って、分析していけたらいいなぁと思います。

 

さて、それでは本題に入ります。

まずは、年末年始(12月30日~1月3日)のデータを公開します。

 

ただ、これだけ見ても「お!年末年始だからすごい!?」なんてことは分かりませんでしたので、引き続き、ハニーポットを立ち上げた日(新環境での立ち上げのため、12月22日)~現在までのデータも公開します。

 

こちらの「Honeypot Events by Type Histogram」を見ていただくと、12月28日~31日にかけて、「Dionaea」「Malioney」「Honeytrap」に対する攻撃が増加していることが分かります。

 

Dionaea(意味:ハエトリグサ)

 マルウェア収集向けで、複数のネットワークサービスに対応した汎用的なハニーポットだそうです。

 

 

 同期間のデータを見てみると、Port1900がメインで攻撃を受けているようですね。

 SSDPやUPnPに使われるポートのようですね。

 参照URL:https://www.speedguide.net/port.php?port=1900

 「Stack-based buffer overflow in the Universal Plug and Play (UPnP) service in D-Link DI-524, DI-604 Broadband Router, DI-624, D-Link DI-784, WBR-1310 Wireless G Router, WBR-2310 RangeBooster G Router, and EBR-2310 Ethernet Broadband Router allows remote attackers to execute arbitrary code via a long M-SEARCH request to UDP port 1900.

References: [CVE-2006-3687] [BID-19006] [SECUNIA-21081] [OSVDB-27333]」

 (Google翻訳

 「D-Link DI-524、DI-604ブロードバンドルータ、DI-624、D-Link DI-784、WBR-1310 Wireless G Router、WBR-2310のユニバーサルプラグアンドプレイUPnP)サービスにおけるスタックベースのバッファオーバーフローRangeBooster Gルータ、およびEBR-2310イーサネットブロードバンドルータにより、リモートの攻撃者はUDPポート1900に対する長いM-SEARCH要求を介して任意のコードを実行できます。

参照:[CVE-2006-3687] [BID-19006] [SECUNIA-21081] [OSVDB-27333]」

 この攻撃の可能性が一番高そうでしょうかね。

 

Mailoney

 これに対する攻撃は、12月30日の記事と同じですね。この日だけが多いようです。

 

Honeytrap

 こちらは、Port8000に対する攻撃が1日だけ飛びぬけて多くありました。

 この分析については、次回のブログのネタにしたいと思います!