【ハニーポットの検証】ハニーポット設置20日目 ～VNC Authチャレンジに注意？～

先日より、いろいろな方のご協力をいただいて、少しずつT-POTを設置しているLinuxと格闘していますが、まだまだ知識不足のため、要領が得られず苦戦しています。

CUIなんて、MS-DOSのころに少しかじった程度ですので、なかなか思った通りの操作ができないですね。

余談ですが、セキュリティの知識向上に役立つかなぁと「Python」の勉強も始めることにしました。

いろいろ手を出していますが、大丈夫なんでしょうか…。

さて、本日のハニーポットの状態です。

Honeypot Events by Type Histogramを見てみると、今日は僅かに「Vnclowpot」が発生しています。

少し気になるのでフィルタリングしてみると、このようになっていました。

普段ほとんど発生していないにも関わらず、今日だけ件数が上がっています。

ちなみに、もう一つ大きな山は12月27日でした。

イベント件数を見てみると、他の日は1桁であるにも関わらず、今日は4,293件となっており、明らかに突出しています。

ちなみに、「Vnclowpot」は、静的なVNC Authチャレンジに対する応答を記録するハニーポットということで、VNC Authチャレンジが大量に行われていたと思われます。

VNCはRFBプロトコルを利用するリモートデスクトップソフトということで、PCをexploitしようとしたのでしょうか。

この攻撃は、ロシアの特定のIPアドレスからのみ通信がありましたので、単一犯とみて間違いなさそうですね。

今日はCowrieに寄せられたファイルについて記事にしようと思っていたのですが、あまりに特徴的なグラフとなっていましたので、急遽内容を変更いたしました。

Cowrieのファイルについては、後日集計を行ったうえで記事にしたいと思います。