【ハニーポットの検証】ハニーポット設置63日目 ~ブラジルからIoTがこんにちは?~
今日は、1週間分のデータを見ようとしても何度かタイムアウトになるくらい、T-POTが重かったですね。それだけ攻撃を受けているということでしょうか。もしくはログが溜まりすぎていたのでしょうか。その点を考慮しながら見てみたいと思います。
まずは、7日分の推移です。
特にこれといって攻撃が多いというわけでもなさそうですね。
次に、本日1日分です。
昨日までと●の場所が異なっていますね。
1つ目の●はブラジルですね。
こちらを見ていただくと、最も多いのはdoublepulsarだとして、その下はすべてMIRAIです。新たにブラジルでIoTがやられたのでしょうか。
つづいて2つ目の●であるロシアです。
ロシアはこれまでも最も多かったのですが、昨日までと地域が変わっています。
こちらは、Cowrieが一番多いはずなのに、Portは5000が最も多くなっていますね。Cowrieでは、2222か2223を使用しているはずですので、少し異質です。この辺はログを見るとわかるのでしょうか?
最後に本日のマルウェアです。
CVE2017-0147の間に、トロイの木馬が2つほどダウンロードされていますね。いずれもダウンローダーですので、外部からマルウェア本体を引っ張ってくるタイプのやつですね。
昨日までは、やはり調子が悪かったのか、今日はしっかりとログにのこっていました。
