【ハニーポットの検証】ハニーポット設置116日目 ~Cisco Smart Installの攻撃頻度は後日公開!~
すっかりハニーポットの観測がおろそかになっていますが、ハニーポット用のPCはしっかり起動していますので、データだけは溜まっています。
しっかり観測していかないといけないですね。
今回は、@morihi_socさんが、Cisco Smart Install用のハニーポットを作成されたとのことですので、そのハニーポットを使用して、同攻撃がどの程度あるのか観測を開始したいと思います。
本日の攻撃状況
過去1週間の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
Cowrieは日によって大きく変動はあるものの、他のハニーポットは比較的穏やかな感じですね。もちろん、攻撃が一切ないわけではないので、平和とは言い難いですが。
本日の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
今日1日だけ見ても、大きな攻撃は特になさそうです。honeypotのグラフがちょくちょく動いていますが、絶対数が少ないため、大きな攻撃ではないような感じですね。
Cisco Smart Installの攻撃状況
【Port:4786/tcpへの攻撃】
直近1週間分の4786/tcpの攻撃です。ほとんど1日1回程度の攻撃で、そこまで頻度が高いとは言えません。しかし、honeytrapですべてのデータが収集できているとは限りませんので、先日@morihi_socさんがさくっと作られた(サクッとできるあたりがすごいですね)「csi-honeypot」も稼働させて、数値の変動を見ていきたいと思います。
csi-honeypotのインストール
こちらのサイト(github)をご覧いただけると、非常に分かりやすい説明が書かれていますので、ここでは、その引用のみ記載します。
Install
$ git clone https://github.com/morihisa/csi-honeypot.git
$ cd csi-honeypot
$ mkdir log
$ python3 ./csi-honeypot.pyDon't forget! Open 4786/tcp port on your server.
Linux上で、このコマンドを叩くだけで、簡単にハニーポットの稼働まで実施することができました。
現在は、T-POTを稼働させている実機にログインし、pythonを起動しっぱなしにしています。
まだ、稼働を始めて数10分ですので、該当のログは吐かれていませんが、後日、csi-honeypotとhoneytrapのログを比較して Cisco Smart Installに対する攻撃の状況を確認してみたいと思います。
