【ハニーポットの検証】ハニーポット設置159日目 ~honeytrapに来たオランダからの攻撃の謎~
7月23日(月)にオワスプナイトナゴヤが開催されます。
なんと、あの!@morihi_socさんが、LTしてくれるそうです!!
この書籍の著者である、@morihi_socさんです。
今からテンション上がりまくりですね。
ご参加の申し込みはこちらになっています。
本日の攻撃状況
過去1週間の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
ここ最近、攻撃は落ち着いていたようですが、今日honeytrapの攻撃が増加傾向にありますね。
本日の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
honeytrapが大量発生したのは、いつも通り短期間だけですね。ただ、今日は同じタイミングで2つの国(中国、オランダ)から攻撃を受けています。
honeytrapのログ
まずは、kibanaで見ることができる情報から確認してみます。
攻撃に使用されたIPアドレス
AS/NとIPアドレスを見るに、同じ場所から大量の攻撃を受けているようです。
攻撃に使用されたPort
中国からはPort:81に対して大量に攻撃が入っていますね。
一方オランダには、Port:5005、5019、6900、1123、1998が平均的に攻撃されていますね。
少し気になったのは、攻撃の件数ですね。オランダからの攻撃が、600以上発生しているにもかかわらず、Port別に見た場合には、すべてのPortを併せても18回しかカウントしていません。中国からの攻撃は約1,200回と攻撃回数とPortごとの回数がほぼ一致しています。
攻撃に使用されたPort
攻撃回数とPortごとのカウントが不一致のため、ハニーポット全体でオランダに対する攻撃状況を確認してみます。
特に攻撃の多かった18時~21時までの間に限定して、すべてのハニーポットの状況を選択してみます。
円グラフでPortの使用状況が出ていますが、円の半分はCowrieで使用しているPort:80です。残りは先ほどと同様に、4件や3件という非常に少ない件数となっていました。
IPアドレスの件数的に、攻撃が600件以上きているのは間違いなさそうです。
ここで気になる数値がようやく出てきました。
IPSであるSuricataで、「ET SCAN MS Terminal Server Traffic on Non-standard Port」が1,326件となっています。
「非標準ポートのターミナルサーバートラフィック」ということは、標準ポート以外でリモート接続しようとしてIPSでブロックされたと考えるべきでしょうか。
正確かどうかはわかりませんが、honeytrapで攻撃は検知したものの、同時にIPSでも攻撃を検知し、ブロックをかけたためにhoneytrapのログ上に残すことができなかったとみるべきかもしれません。
そうなると、見るべきログはSuricataのほうになりそうですね…。
残念ながら、まだログは転送されていないようですので、後日検証したいと思います。