【ハニーポットの検証】危険なIPアドレスが見つかる!?
さてさて、だいぶ更新が遅くなりましたが、久々にハニーポットに関する記事を掲載したいと思います。
さて、今年に入り、collection#1や「宅ふぁいる便」の情報漏洩など、1カ月経たずして、色々なセキュリティ事故が発生しているようですね。他にも、総務省のIoT機器に対する侵入調査など、Twitterでも様々な視点から議論が交わされており、今年1年、2020年を前に、何か大きなことが起こりそうな気がしています。
ハニーポットへの攻撃状況
【ハニーポット毎の攻撃状況】
せっかくなので、T-POT18.11立ち上げ時点から見てみましょう。約2か月分のデータとなりますが、Cowrie、honeytrapの件数が非常に多いというのは、以前から変わりはありませんね。おそらく、大半がmiraiか、その亜種によるものと思われます。
次いで、VNC形のHeralding、メール系のMailoneyと続きます。
下の入れ線グラフは、それぞれの攻撃について、日ごとの件数になっています。こう見ると、最初の数日間はハニーポット立ち上げ期ということで少なかった件数が、徐々に増加しているのが分かりますね。ただ、最近になってまた低下しているということは、現時点では攻撃が落ち着いているということでしょうか。
いずれにしても、2位にダブルスコア以上の件数差を出しているCowrieがいると、ほかのグラフの増減が見づらいため、Cowrieのフィルタリングすると、このようになります。
たまに飛び出すのは、キャンペーンか何かがあったとみると、ここ最近増加し続けているhoneytrapが気になるところですね。1月ごとから増加を始めているようです。逆に、heraldingは、1月10日ごろから攻撃が大きく低下しています。12月24日ごろから1月10日ごろまで何らかの攻撃を受け続けていたのか、ハニーポットであることがバレてしまったのか、もう少し状況を観測してみたいところですね。
【Attack Map】
続いて、AttackMapです。
赤丸が2か所ついていますが、アメリカとイタリアですね。いずれも、Cowrieへの攻撃が非常に多い国となっていました。ただ、miraiやその亜種が、その国から発信されたのか、はたまた、ボット化されたIoTデバイスが多いのかは謎ですね。
ただ、アメリカ側の赤丸については、IPアドレスが特定できています。
アメリカなので、GDPRの心配なくIPアドレスを掲載しても問題ないのかなぁ…。
198.98.62.237
こちら、VirusTotalでも、4つのシグネチャでマルウェアサイト、もしくはマリシャスサイトとして表示されるIPアドレスになっています。
こちらから、2カ月間で約500万回の攻撃を受けています。全てPort:23に対する攻撃で、suricataのAlertは、以下の通りです。
間違いなく、miraiもしくは、その亜種による攻撃と思われますね。しかし、このアドレスからのみ、ここまで大きな攻撃になっているのが謎です。
他のハニーポッターの皆様はどうでしょうか?
もうすぐ、1月が終わり、いつもの攻撃に使われたパスワードを掲載しますが、その中に、collection#1などで漏洩したセットは使用されているのでしょうか。
できるだ早く、公開できるように、準備したいと思います。