サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】ハニーポット設置141日目 ~10日ぶりの更新…反省…~

ハニーポット(T-POT)

気付くと10日もブログを放置してしまいました。

ブログを始めて初の1週間以上の未更新…ダメですね。

定期的に見に来ていただいている方もいらっしゃるようですので、しっかり更新していきたいと思います。

 

 

 

本日の攻撃状況

過去1週間の攻撃状況 

【全ハニーポット

f:id:tk-secu:20180523002128p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180523002145p:plain

honeytrapが5月17日の深夜と21日、22日に増加していますね。

後は、20日、久々にVnclowpotがちょっと増加しています。ただ、昔のように定期的に来ているわけではなく、単発のようですね。

本日の攻撃状況

【全ハニーポット

f:id:tk-secu:20180523002219p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180523002227p:plain

13時ごろにHoneytrapが大量に着信していますね。僅か30分の間に700件超の攻撃を受けています。

今日は、さぼっていた分を含め、1週間分のhoneytrapを重点的に確認してみます。

honeytrapの攻撃状況

過去1週間の攻撃状況

f:id:tk-secu:20180523002706p:plain

国別グラフを見てみると、17日の深夜に届いている攻撃は、ほぼすべてがドイツからの攻撃ですね。

そして、本日届いている攻撃はロシアからのものですので、これらは別の攻撃と考えることができそうです。

ドイツからの攻撃

ドイツからの攻撃をPort別に見てみると、このようになります。 

f:id:tk-secu:20180523003012p:plain

 あくまで比率ですが、Port:3390、3388、3391、3399がほぼ同じ割合で着信しています。

Port:3388と3390にはバックドアを開くトロイの木馬で使用されることがあるようなので、今回の攻撃はこのPortを悪用するための事前のポートスキャンだった可能性が高そうですね。

f:id:tk-secu:20180523003445p:plain

IPアドレスで見てみると、ほとんどが1つのアドレスから攻撃を受けていることが分かります。特定の攻撃者からのポートスキャンの可能性が濃厚かと思われます。

ロシアからの攻撃

一方、ロシアからの攻撃はこのようになっています。

f:id:tk-secu:20180523003638p:plain

今日の攻撃が多いのは間違いありませんが、その他の日においても、一定の攻撃は受け付けていますね。これを見ると、毎日定期的に攻撃を受け続けているように見受けられます。

f:id:tk-secu:20180523003812p:plain

Portごとに見てみると、4割ほどがPort:2323を使用していますね。

先ほど出てきた3389も出ています。

Port:2323はmiraiによる攻撃に使用されるPortのようですね。

miraiの亜種、「Wicked」というIoTの脆弱性をつくマルウェアが発見されたとニュースになっていますが、Port:2323は使用していないようですので、元のmiraiの可能性が高そうですね。

www.itmedia.co.jp

 

それにしても、「mirai」って、車やランドセルなど、いろいろな商品に付けられていますが、マルウェアによる風評被害があるような気がします。