【ハニーポットの検証】ハニーポット設置２３日目 ～韓国からの攻撃、継続中～

本日も韓国からの攻撃が継続しています。

まずは、12月21日～の記録です。

昨日同様に「Cowrie」の件数が増加しています。

本日1日分に限定すると、以下のようになります。

昨日と同様に韓国からの攻撃が非常に多くなっていますね。

韓国に絞ってデータを抜いてみると、このようになります。

昨日とは若干地域が異なるようですが、相変わらず「Korea Telecom」からの通信ですね。

ただ、機能はIPアドレスが3つほど使われていましたが、本日は5万件中4万5千件が1つのIPアドレスからになっています。

VirusTotalで調べてもDNSには登録されていないIPアドレスですね。

「Suricata Alert Signature - Top 10」を見てみると、多い攻撃が「ET TELNET SUSPICIOUS busybox shell」と「ET TELNET SUSPICIOUS busybox enable」となっています。「busybox」は組み込みLinuxで使われるオープンソースの万能コマンドということで、その辺が関係している攻撃なのでしょうか。