【ハニーポットの検証】ハニーポット設置33日目 ~12月はmiraiの月?Cowrieのファイル集計~
今日も攻撃は比較的落ち着いていました。
さて、攻撃が落ち着いている間に、残っていたCowrieに置かれたファイルの解析を続けていきたいと思います。
今回、ようやく12月分がすべてチェックし終わりましたので、まとめて掲載します。
| 日付 | 合計数 | 種類 | 個数 |
|---|---|---|---|
| 12/22 | 11 | Linux.DownLoader | 1 |
| 不明 | 10 | ||
| 12/23 | 12 | 不明 | 12 |
| 12/24 | 24 | 検出無し | 9 |
| Linux.PNScan.A | 1 | ||
| Linux.DownLoader | 1 | ||
| Linux.Trojan.Agent.A | 4 | ||
| Linux/DDoS-Xor.A | 1 | ||
| 不明 | 8 | ||
| 12/25 | 29 | 検出無し | 9 |
| Linux/TrojanDownloader.SH.S | 1 | ||
| Linux/Mirai | 15 | ||
| Linux/DDoS-Xor.A | 1 | ||
| Generic.Bash.MiraiA | 3 | ||
| 12/26 | 19 | Linux/Mirai | 15 |
| Trojan.MAC.Generic.1696 | 1 | ||
| Linux/DDoS-Xor.A | 1 | ||
| Linux.DownLoader.661 | 1 | ||
| Linux/TrojanDownloader.SH.S | 1 | ||
| 12/27 | 1 | Linux/DDoS-Xor.A | 1 |
| 12/28 | 12 | 検出無し | 9 |
| Linux/DDoS-Xor.A | 1 | ||
| Linux.DownLoader | 1 | ||
| Generic.Bash.MiraiA | 1 | ||
| 12/29 | 16 | 検出無し | 8 |
| Trojan.Agent.Linux.A | 2 | ||
| RDN/Generic.dx | 3 | ||
| Linux/Xorddos.F | 1 | ||
| Linux/DDoS-Xor.A | 1 | ||
| Application.BitCoinMiner.UP | 1 | ||
| 12/30 | 10 | 検出無し | 9 |
| Linux/DDoS-Xor.A | 1 | ||
| 12/31 | 24 | 検出無し | 17 |
| Linux/DDoS-Xor.A | 2 | ||
| HTML.ExploitKit | 1 | ||
| Generic.Bash.MiraiA | 4 |
ほとんど毎日、何らかのマルウェアがダウンロードされているのが分かります。
月の途中にT-POTを立ち上げたため、1か月分の集計とはいきませんが、採取できた範囲の12月1か月分のデータを集計してみると、以下のようになります。
| 種類 | 個数 |
|---|---|
| Linux/Mirai | 30 |
| Generic.Bash.MiraiA | 8 |
| Linux/DDoS-Xor.A | 8 |
| Linux.Trojan.Agent.A | 4 |
| Linux.DownLoader | 3 |
| RDN/Generic.dx | 3 |
| Linux/TrojanDownloader.SH.S | 2 |
| Trojan.Agent.Linux.A | 2 |
| Linux.DownLoader | 1 |
| Linux/DDoS-Xor.A | 1 |
| Application.BitCoinMiner.UP | 1 |
| HTML.ExploitKit | 1 |
| Linux.PNScan.A | 1 |
| Linux/Xorddos.F | 1 |
| Trojan.MAC.Generic.1696 | 1 |
| 不明 | 30 |
| 検出無し | 61 |
| 合計 | 158 |
マルウェアが検出されなかったファイル、内容が不明なファイルが合計91ファイルありますので、マルウェアは67ファイル届いていましたが、そのうち約半数の38個はmirai関連のマルウェアとなっています。
12月はmiraiが非常に活発だったことがうかがえます。
