【ハニーポットの検証】ハニーポット設置41日目 ～Redisとは？～

 セキュリティとは全く関係ないお話ですが、モンスターハンターワールド、楽しいですね。のんびり狩りをやっていますので、どなたかご一緒にやりませんか？

個人的には、山田さんの本気のモンハンごっこがツボです。

さて、1月もほぼ終わりですが、攻撃の推移はどうなっているのでしょうか。

30日にして、honeytrapとVnclowpotが同時に上昇していますね。Cowrieは少し減少傾向でしょうか？

昨日、記事をさぼってしまいましたので、昨日の分と今日の分を併せてみてみます。

思っていた以上に、honeytrapの件数が増加しています。

Vnclowpotは前回記事にしましたので、honeytrapをフィルタリングしてみてみます。

件数はほとんどが中国です。

中国のアクセス状況をグラフで見てみると、ほとんどがPort 6379に対する通信になっているようですね。

Port 6379は、Redisというサービスで使用しているポートのようです。wikiを見てみると、「Redis key-value data store」となっていますね。

Redisをwikiで調べてみると、「データ構造サーバーを実装するオープンソースソフトウェアプロジェクトである。いわゆるNoSQLデータベースの一つであり、Redis Labs（英語版）がスポンサーとなって開発されている。」とされています。

これに対して、攻撃があるのですから、何らかの脆弱性があるのではないかと思って調べてみたところ、「CVE-2016-8339　Redis におけるバッファオーバーフローの脆弱性」がヒットしました。おそらく、これを突いた攻撃なのでしょう。

honeytrapのログを見てみると、MD5で「b5ab2350785f48d2a2475782107d99cf」が大量にダウンロードされていました。VirusTotalでチェックしてみましたが、現時点では検体が入っていないようでしたので、中身を解析することができません。

こういう時に、T-POT側からWindows側にファイルを転送できないといけないのですが、まだ知識不足でできないのがもどかしいですね。

どなたか、方法をご教示いただけると、非常にうれしいです。