サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】ハニーポット設置163日目 ~port80にmiraiは来ているか?~

ハニーポット(T-POT)

本日、職場で仕事終わりに有志のメンバーで「セキュリティ専門家人狼」をやってみました。

www.jnsa.org

内容は普通の人狼ですが、名称がセキュリティ専門家になっているだけで、聞きなれない人からは難しさ倍増だったようですが、終わるころにはみんな言葉に慣れているようでしたね。

セキュリティ専門家の仕事のさわりを知るには、ちょうどいいかもしれません。

 

最近、マルウェア付きのバラマキメールを収集したいと考えているのですが、なかなかいい方法が思いつきません。

そこで、このブログのどこかにハニーポットとしてメールアドレスを記載することにしました。ロボット収集で集められることを意識し、ブログ内に隠していますので、ご興味のある方は、ぜひ見つけてみてください…簡単ですが笑

 

 

本日の攻撃状況

過去1週間の攻撃状況 

【全ハニーポット

f:id:tk-secu:20180615230713p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180615230731p:plain

ここ最近、攻撃は落ち着いていていますね。大きな特徴がないまま推移しています。

 

本日の攻撃状況

【全ハニーポット

f:id:tk-secu:20180615230759p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180615230820p:plain

vnclowpotが一定数をキープしたまま推移していますね。

週間ログを見てみても、今日は少しvnclowpotの攻撃が多いようなので、少し気になりますね。

 

しかし、今日はこちらの記事が気になります。

 

www.npa.go.jp

うちのハニーポットはどうなんでしょうか?

 

Port:80のログ

まずは、Port:80のログを見てみたいと思います。

f:id:tk-secu:20180615231259p:plain

Port:80自体の攻撃数は、先述の記事では6月11日から急増したと記載されていますが、このログを見る限りでは、それほど大量に発生しているような感じではありませんね。

Suricataのデータ

f:id:tk-secu:20180615231546p:plain

Suricataで攻撃の種類を見てみたところ、ほとんどがSQLインジェクションで、残念ながらmiraiと思われる攻撃はほとんどなさそうですね。

 

残念ながら 現時点で記事にあるようなmiraiの攻撃を見つけることはできませんでした。もう少し、様子を見てみたいと思います。