【ハニーポットの検証】ハニーポット設置19日目 ~Linuxの知識を強化しなければ…~
最近、他のハニーポットを設置されている方のブログを拝見させていただいているのですが、みなさん、非常に高レベルな分析を行われており、力不足をヒシヒシと感じております。
昨日も、「Misc notes ~セキュリティに関する雑記~」様を拝見させていただき、Kibanaだけでなく、Linux上のデータまで参照されておられたため、私もまずは真似していきたいなと感じています。
何はともあれ、T-POTがLinuxで動いている以上、Linuxの知識は必要になりますね。
さて、本日のT-POTの状況です。今日も12月21日~の状況を表示しています。
年末年始のように、目立った攻撃は特になさそうですね。
相変わらず、SSHとTelnetの「cowrie」に対する通信が多いようですが、この傾向はほかの方も同じなのでしょうか?
さらに、今回は国ごとに、攻撃に使用しているポートの割合を掲示してみます。
最も攻撃の多いロシアの通信は、ほとんどがPort2222となっています。
Port2222は、以前記載したとおり、cowrieがPort22の受信トラフィックをPort2222に転送しているため、実質はPort22に対する通信と読むことができそうです。
Port22はSSHで使用するPortですので、何らかのセキュアログインの試行やポート転送などが行われているのでしょう。
2番目に攻撃の多いベトナムでも同じ傾向が見受けられます。
3番目の中国は、Port1900に対する通信が最も多くなっています。
Port1900はSSDPに関するプロトコルのようで、SSDPリフレクター攻撃の可能性がありそうです。
この辺はもう少し調査する必要があるかもしれませんね。
最後に、Linuxを勉強しなければ…と頭ではわかっていても、何から手を付けていいのか分からないという状況でしたので、「fatsheep」さんに教わったLinux上でのデータの確認を試すことにしました。
私の環境では、「cowrie」のdownloadsフォルダの中に、ファイルが1つだけ残されていました。そのファイルをVirusTotalで確認してみたところ、「XOR DDoS」という、Linuxをハイジャックし、SecureShellサービスへのブルートフォース攻撃を行うマルウェアだそうです。
こういう情報がもっと簡単に見つけられるように、Linuxの勉強を進めていきたいと思います。
