サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】ハニーポット設置89日目 ~2月の攻撃の傾向は?~

最近、kibanaで傾向を見る限り、急増している攻撃が見つかりませんので、今日は様々な視点から2月の攻撃動向を見ていきたいと思います。

 

 

本日の攻撃状況

過去1週間の攻撃状況 

【全ハニーポット

f:id:tk-secu:20180323093400p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180323093416p:plain

改めて、攻撃があまりない1日となっていますね。

 

本日の攻撃状況

【全ハニーポット

f:id:tk-secu:20180323093536p:plain

f:id:tk-secu:20180323093543p:plain

f:id:tk-secu:20180323093551p:plain

 【Cowrieを除くハニーポット

f:id:tk-secu:20180323093607p:plain

全く攻撃がないわけではありませんが、やはり減少傾向にありますね。他の方はどうなのでしょうか…。後ほど、Slackで聞いてみたいと思います。

 

2月の攻撃の傾向

 新しい試みとして、2月の攻撃の傾向をいろいろな視点から見てみたいと思います。

ハニーポット毎の攻撃回数】

 

 f:id:tk-secu:20180323094039p:plain

 攻撃回数としては、圧倒的にCowrieが多いですね。次点はhoneytrapかと思っていたのですが、Vnclowpotのほうが2倍以上多いという状況でした。VirusTotalを組み込んだDionaeaは、1か月で2万回程度しか攻撃が届いていないですね。

 

【国毎の攻撃回数(TOP10)】

f:id:tk-secu:20180323095026p:plain

 国ごとで見てみると、Cowrieの大半を占めていたロシアが断トツでトップですね。2位の中国から6位のブラジルまでは似たような攻撃回数となっていますね。そこから、さらに半減しています。

 1か月に130万回以上の攻撃を行ってくるというのは、すごいですね。

 

【ポート毎の攻撃回数】

f:id:tk-secu:20180323095818p:plain

 Cowrie(SSHTelnet)で使用される22番、23番ポートが非常に多い中、5900番ポートの件数が目立ちますね。

 何のポートか調べてみたところ、VNCで使用するポートということで、Vnclowpotの攻撃回数と近似値になっているのが確認できます。

 そうみると、Cowrieの攻撃回数の多さに対して、ポートごとの件数が少ないような気がしますね。

 

 kibanaで簡単に集められるデータだけを使って、傾向を見てみましたが、結構いろいろなことが分かりますね。ログを読めるようになったら、さらに深いところまで調べることができそうです。

 毎日kibanaを見ていても気付かないこともありましたので、定期的に数値を比較するのも重要そうな感じがしますね。