サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】ハニーポット設置159日目 ~honeytrapに来たオランダからの攻撃の謎~

ハニーポット(T-POT)

7月23日(月)にオワスプナイトナゴヤが開催されます。

なんと、あの!@morihi_socさんが、LTしてくれるそうです!! 

サイバー攻撃の足跡を分析するハニーポット観察記録

サイバー攻撃の足跡を分析するハニーポット観察記録

 

 この書籍の著者である、@morihi_socさんです。

今からテンション上がりまくりですね。

ご参加の申し込みはこちらになっています。

geekbar.doorkeeper.jp

 

 

本日の攻撃状況

過去1週間の攻撃状況 

【全ハニーポット

f:id:tk-secu:20180610233743p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180610233758p:plain

ここ最近、攻撃は落ち着いていたようですが、今日honeytrapの攻撃が増加傾向にありますね。 

本日の攻撃状況

【全ハニーポット

f:id:tk-secu:20180610233856p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180610233907p:plain

honeytrapが大量発生したのは、いつも通り短期間だけですね。ただ、今日は同じタイミングで2つの国(中国、オランダ)から攻撃を受けています。

 

honeytrapのログ

まずは、kibanaで見ることができる情報から確認してみます。

攻撃に使用されたIPアドレス

f:id:tk-secu:20180610234636p:plain

 AS/NとIPアドレスを見るに、同じ場所から大量の攻撃を受けているようです。

 

攻撃に使用されたPort

f:id:tk-secu:20180610234319p:plain

中国からはPort:81に対して大量に攻撃が入っていますね。

一方オランダには、Port:5005、5019、6900、1123、1998が平均的に攻撃されていますね。

少し気になったのは、攻撃の件数ですね。オランダからの攻撃が、600以上発生しているにもかかわらず、Port別に見た場合には、すべてのPortを併せても18回しかカウントしていません。中国からの攻撃は約1,200回と攻撃回数とPortごとの回数がほぼ一致しています。

攻撃に使用されたPort

攻撃回数とPortごとのカウントが不一致のため、ハニーポット全体でオランダに対する攻撃状況を確認してみます。

特に攻撃の多かった18時~21時までの間に限定して、すべてのハニーポットの状況を選択してみます。 

f:id:tk-secu:20180611000843p:plain

f:id:tk-secu:20180611001013p:plain

円グラフでPortの使用状況が出ていますが、円の半分はCowrieで使用しているPort:80です。残りは先ほどと同様に、4件や3件という非常に少ない件数となっていました。

f:id:tk-secu:20180611001245p:plain

IPアドレスの件数的に、攻撃が600件以上きているのは間違いなさそうです。

f:id:tk-secu:20180611001306p:plain

ここで気になる数値がようやく出てきました。

IPSであるSuricataで、「ET SCAN MS Terminal Server Traffic on Non-standard Port」が1,326件となっています。

「非標準ポートのターミナルサーバートラフィック」ということは、標準ポート以外でリモート接続しようとしてIPSでブロックされたと考えるべきでしょうか。

 

正確かどうかはわかりませんが、honeytrapで攻撃は検知したものの、同時にIPSでも攻撃を検知し、ブロックをかけたためにhoneytrapのログ上に残すことができなかったとみるべきかもしれません。

そうなると、見るべきログはSuricataのほうになりそうですね…。

残念ながら、まだログは転送されていないようですので、後日検証したいと思います。