【ハニーポットの検証】ハニーポット設置141日目 ~10日ぶりの更新…反省…~
気付くと10日もブログを放置してしまいました。
ブログを始めて初の1週間以上の未更新…ダメですね。
定期的に見に来ていただいている方もいらっしゃるようですので、しっかり更新していきたいと思います。
本日の攻撃状況
過去1週間の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
honeytrapが5月17日の深夜と21日、22日に増加していますね。
後は、20日、久々にVnclowpotがちょっと増加しています。ただ、昔のように定期的に来ているわけではなく、単発のようですね。
本日の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
13時ごろにHoneytrapが大量に着信していますね。僅か30分の間に700件超の攻撃を受けています。
今日は、さぼっていた分を含め、1週間分のhoneytrapを重点的に確認してみます。
honeytrapの攻撃状況
過去1週間の攻撃状況
国別グラフを見てみると、17日の深夜に届いている攻撃は、ほぼすべてがドイツからの攻撃ですね。
そして、本日届いている攻撃はロシアからのものですので、これらは別の攻撃と考えることができそうです。
ドイツからの攻撃
ドイツからの攻撃をPort別に見てみると、このようになります。
あくまで比率ですが、Port:3390、3388、3391、3399がほぼ同じ割合で着信しています。
Port:3388と3390にはバックドアを開くトロイの木馬で使用されることがあるようなので、今回の攻撃はこのPortを悪用するための事前のポートスキャンだった可能性が高そうですね。
IPアドレスで見てみると、ほとんどが1つのアドレスから攻撃を受けていることが分かります。特定の攻撃者からのポートスキャンの可能性が濃厚かと思われます。
ロシアからの攻撃
一方、ロシアからの攻撃はこのようになっています。
今日の攻撃が多いのは間違いありませんが、その他の日においても、一定の攻撃は受け付けていますね。これを見ると、毎日定期的に攻撃を受け続けているように見受けられます。
Portごとに見てみると、4割ほどがPort:2323を使用していますね。
先ほど出てきた3389も出ています。
Port:2323はmiraiによる攻撃に使用されるPortのようですね。
miraiの亜種、「Wicked」というIoTの脆弱性をつくマルウェアが発見されたとニュースになっていますが、Port:2323は使用していないようですので、元のmiraiの可能性が高そうですね。
それにしても、「mirai」って、車やランドセルなど、いろいろな商品に付けられていますが、マルウェアによる風評被害があるような気がします。