サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】危険なIPアドレスが見つかる!?

さてさて、だいぶ更新が遅くなりましたが、久々にハニーポットに関する記事を掲載したいと思います。

 

さて、今年に入り、collection#1や「宅ふぁいる便」の情報漏洩など、1カ月経たずして、色々なセキュリティ事故が発生しているようですね。他にも、総務省のIoT機器に対する侵入調査など、Twitterでも様々な視点から議論が交わされており、今年1年、2020年を前に、何か大きなことが起こりそうな気がしています。

 

 

ハニーポットへの攻撃状況

ハニーポット毎の攻撃状況】

f:id:tk-secu:20190127173249p:plain

せっかくなので、T-POT18.11立ち上げ時点から見てみましょう。約2か月分のデータとなりますが、Cowrie、honeytrapの件数が非常に多いというのは、以前から変わりはありませんね。おそらく、大半がmiraiか、その亜種によるものと思われます。
次いで、VNC形のHeralding、メール系のMailoneyと続きます。

下の入れ線グラフは、それぞれの攻撃について、日ごとの件数になっています。こう見ると、最初の数日間はハニーポット立ち上げ期ということで少なかった件数が、徐々に増加しているのが分かりますね。ただ、最近になってまた低下しているということは、現時点では攻撃が落ち着いているということでしょうか。

いずれにしても、2位にダブルスコア以上の件数差を出しているCowrieがいると、ほかのグラフの増減が見づらいため、Cowrieのフィルタリングすると、このようになります。

f:id:tk-secu:20190127173828p:plain

たまに飛び出すのは、キャンペーンか何かがあったとみると、ここ最近増加し続けているhoneytrapが気になるところですね。1月ごとから増加を始めているようです。逆に、heraldingは、1月10日ごろから攻撃が大きく低下しています。12月24日ごろから1月10日ごろまで何らかの攻撃を受け続けていたのか、ハニーポットであることがバレてしまったのか、もう少し状況を観測してみたいところですね。

【Attack Map】 

f:id:tk-secu:20190127174728p:plain

続いて、AttackMapです。

赤丸が2か所ついていますが、アメリカとイタリアですね。いずれも、Cowrieへの攻撃が非常に多い国となっていました。ただ、miraiやその亜種が、その国から発信されたのか、はたまた、ボット化されたIoTデバイスが多いのかは謎ですね。

 ただ、アメリカ側の赤丸については、IPアドレスが特定できています。

アメリカなので、GDPRの心配なくIPアドレスを掲載しても問題ないのかなぁ…。

198.98.62.237

こちら、VirusTotalでも、4つのシグネチャマルウェアサイト、もしくはマリシャスサイトとして表示されるIPアドレスになっています。

こちらから、2カ月間で約500万回の攻撃を受けています。全てPort:23に対する攻撃で、suricataのAlertは、以下の通りです。

f:id:tk-secu:20190127175355p:plain

間違いなく、miraiもしくは、その亜種による攻撃と思われますね。しかし、このアドレスからのみ、ここまで大きな攻撃になっているのが謎です。

他のハニーポッターの皆様はどうでしょうか?

 

もうすぐ、1月が終わり、いつもの攻撃に使われたパスワードを掲載しますが、その中に、collection#1などで漏洩したセットは使用されているのでしょうか。

できるだ早く、公開できるように、準備したいと思います。