【ハニーポットの検証】ハニーポット設置65日目 ~週間レポートより日間レポートを充実~
昨日、elasticsearchで使用しているJVMのヒープサイズを512MBから2GBに増やしたところ、今日も快適に利用することができています。
原因はここで正しかったのかもしれません。
さて、今まで1週間分のハードコピーを詳細に、1日分のハードコピーを特定の部分だけに限定していました。しかし、よくよく考えてみると、1週間分のレポートは推移が見たいだけなのに対し、1日分のレポートは今日の攻撃の詳細を見たいのですから、実は逆でなければならなかったなと…。
そこで、今日から1週間分のハードコピーは簡素化し、1日分のハードコピーを詳細にアップしたいと思います。
と、いうわけで、本日のデータです。まずは7日間の推移です。
推移としては、この画面があれば十分に見れるのではないかと思います。
次に、本日1日分です。
やはり、こう見ると今日1日で何があったのかがよく見えますね。
AM5:00くらいまではCowrieが頻繁に来ていますが、その後低下しています。
しかし、honeytrapちょこちょこ動いていますね。
Dionaeaのログを見てみると、今日はマルウェアが大漁です。
しかし、全部CVE2017-0147ですね。
よくよく見返してみると、CVE2017-0147がEternalBlueと記載したページがありましたが、EternalBlueはCVE2017-0144の脆弱性でした。申し訳ございません、後ほど訂正させていただきます。
Microsoftセキュリティ情報MS17-010には、CVE2017-0143~CVE2017-0148までの情報が含まれていますので、CVE2014-0147もMS17-010の中の1つといえます。
しかし、EternalBlueのCVE2017-0144は、リモートでコードが実行される脆弱性であるのに対し、CVE2017-0147は情報漏洩の脆弱性ですので、脆弱性の種類そのものが誤っていました。
マイクロソフト セキュリティ情報 MS17-010 - 緊急
と、いうことは、大量にCVE2017-0147が届いている現状は、ハニーポットの偽装しているサーバの情報収集が目的ということなのでしょうか。
ESETのWebサイトをしっかり確認すると、「Win32/Exploit.CVE-2017-0147 トロイの木馬」も「Wannacry」ということだそうです。
つまり、大量にWannacryが届いていたということですね。
けど、WannacryはCVE2017-0144の脆弱性を利用した攻撃のはず…。なぜ、表記がCVE2017-0147なのでしょうか…。
まだ、何か見落としているのかもしれません。