【ハニーポットの検証】ハニーポット設置45日目 ~1か月半運用して、今更分かった恐怖~
ハニーポットを設置して、毎日眺める生活を始めてすでに1か月半が経過したわけですが、最近は出張等でハニーポットを見れないときは「今どうなっているのか」がすごく気になるようになってしまいました。
VPNを使って出先で確認できるようにしようか、本気で検討しています。
まずは、過去30日間の実績です。
Vnclowpotは少し落ち着いてきているのかもしれませんね。
特に大きな動きはなさそうです。
次に1日分です。
全くないわけではなく、やはりぽつぽつは発生しているようですね。
しかし、今日は視点を変えて、Suricate Alert Signatureに注目してみたいと思います。
この一番上の「DoublePulsar Backdoor installation communication」って、ハニーポットを立ち上げ始めたときから常にトップに君臨しているんですよね。
いったい何者なんでしょうか。
そもそも「Suricate」は、オープンソースのIDS/IPSであるとのことです。
すでにご存じの方も多いと思いますが、IDSは「Intrusion Detection System」の略で、不正侵入検知システムのことを指します。また、IPSは「Intrusion Prevention System」の略で不正侵入防御システムのことを指します。
T-POTにおいては、Suricateを使ってプロトコルやシグネチャマッチング機能を使っているとのことですので、「Suricate Alert Signature」はSuricateのシグネチャマッチングの結果ということになりますね。
さて、それでは「DoublePulsar Backdoor installation communication」は何者なのかについて調べていきましょう。
翻訳をかけると「DoublePulsarバックドアインストール通信」となります。キーワードは「DoublePulsar」と「バックドア」ですね。
「DoublePulsar」といえば、2017年4月にトレンドマイクとが感染急増していると記事を出していました。
あのWannacryにも使われていたバックドアツールですね。Wannacryでは、MS17-010(SMBv1.0)の脆弱性が見つからなかった場合、過去に「DoublePulsar」にかかっていないか調査し、「DoublePulsar」が存在した場合は、そのバックドア機能を使って感染を拡大させうようとしていました。
つまり、現時点においても、1日に8万件を超える「DoublePulsar」が、ネットワーク上から1台のハニーポットに集まってきているということが確認できたということになります。
今まで、記事に取り上げてきませんでしたが、よくよく調べてみると、非常に恐ろしい実態が分かった気がしました。