【ハニーポットの検証】ハニーポット設置219日目 ~8月前半の攻撃を検証!~
最近、ブログの更新頻度がかなり低下していますね…。
ハニーポット自体は元気に稼働しているのですが、連日の暑さでブログ更新の気力が損なわれています…。
と、いうことで、これまで7日分のグラフを公開していましたが、今回は8月1日~14日までの約半月分を一挙公開しちゃいます!
本日の攻撃状況
8月上前半の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
8月3日のRdpy、8月4日のhoneytrapが非常に特徴的ですね。
Dionaeaもそこそこ着信しています。
いろいろ仕掛けを作ったMailoneyは…微妙ですね。
1つ1つ確認してみましょう。
Rdpyの攻撃状況
上のグラフを見たら一目瞭然ですね。3日の大量な攻撃は、ほとんどロシアからの攻撃のようです。
攻撃内容を確認してみようと思いましたが、ログには「INFO:^」しか残されていませんでした。これはなぜ?と思い、自分でリモート接続してみたところ、一瞬、Windows7のログイン画面が表示され、すぐに切断される仕様になっていました。
なので、ロシアからの攻撃は、しつこく接続を試みて、何度も切断されたという形跡のようですね。そのため、使用されたIDやパスワードを検出することはできませんでした。
honeytrapの攻撃状況
honeytrapの攻撃元は「タイ」が大半ですね。
ログを確認したところ、「android-cts-7.1_r6-linux_x86-arm.zip」というファイルを設置しに来ようとしているようですね。
このファイル、VirusTotal上では、マルウェアとして検知されていませんが、コメント欄を読んでみると、ファイルレスマルウェアの残骸であるという指摘があります。
android CTSで検索すると、アンドロイドのTEST群ということが分かります。このTEST群を悪用したファイルレスマルウェア攻撃なのかもしれませんね。
Dioaneaの攻撃状況
ログを見てみると、大半が未だに「Win32/Exploit.CVE-2017-0147.A」つまり「WannaCryptor」と、その亜種ですね。
すでに1年以上が経過しているにも関わらず、いまだに拡散し続けているのはすごいですね。
メールハニーポットの検証
さて、みなさまお待ちかねの、出会い系サイトの調査です。
ここからが本題です。メールアドレスをばらまいた週とばらまく前の週とでは、どの程度の件数の違いが出ているのでしょうか。
ちなみに、各出会い系サイトのコメント欄は「aaaaa」とか「testtest」とか、もうこれでもかというほど適当に記載しています。
つまり、登録完了メールや事務局からのメール以外は来るはずがないのです。
そう考えると、いかに怪しいサイトが多いか分かりますね。
…目的が大きくずれているのは自覚しています。いまだに、これらのサイトからのメールしか着信していないので、サクラは多いけど、アドレスは流出しないサイトといえる…のかもしれませんね。
保証はしませんので、登録は自己責任でお願いします。
