サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】ハニーポット設置93日目 ~インドネシアからの攻撃はVNC?honeytrap?~

ハニーポット(T-POT)

いろいろ出張等が重なり、最近更新できていませんでしたので、今回は一挙に7日分のデータで状況を確認していきたいと思います。

 

 

本日の攻撃状況

過去1週間の攻撃状況 

【全ハニーポット

f:id:tk-secu:20180327234940p:plain

f:id:tk-secu:20180327234949p:plain

f:id:tk-secu:20180327234959p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180327235016p:plain

Cowrie以外は、特に大きな攻撃は来ていないようでしたが、どうも本日honeytrapのアクセスが大量に発生しているようです。

1週間分まとめてみる予定でしたが、少し変わった傾向がありましたので、本日分も詳細を見てみます。

 

本日の攻撃状況

【全ハニーポット

f:id:tk-secu:20180327235233p:plain

 【Cowrieを除くハニーポット

f:id:tk-secu:20180327235255p:plain

久々に、honeytrapが大量発生していますね。21時以降に大量発生している地域はインドネシアですが、日中ちょくちょく上がっているのは中国のようですね。

このインドネシアは少し気になります。フィルターをかけて調べて見ます。

 

インドネシアからの攻撃

攻撃の状況

f:id:tk-secu:20180327235457p:plain

 インドネシアでフィルターをかけてみると、このようになりました。大量発生しているのはやはり21時~ですが、それまでも少しは攻撃が入っていることが分かりますね。

攻撃の傾向

f:id:tk-secu:20180327235711p:plain

攻撃のほとんどがPort5901を使用しています。Port5901はVNCで使用するPortのようです。 だとすると、Vnclowpotではなく、honeytrapで反応した原因は何なのでしょうか。

攻撃元

 

f:id:tk-secu:20180328000006p:plain

攻撃元を見てみると、大半が「PT Hesta Media Sinergi」であることが分かります。IPアドレスも同一のものですので、同じ場所からの攻撃であることは間違いないでしょう。

Suricata Alert Signature - Top 10を見てみると、2番目に「ET SCAN Potential VNC Scan 5900-5920」があります。

やはり、VNCに関する攻撃であることは間違いないでしょう。