ごちゃごちゃしたIT勉強記録

自分用メモ。主にセキュリティで、その他色々書きたい。

T-Pot観測記録:2018/4/27〜5/3

最近、ハニーポットの観測日記をよく見かけるのと、ハニーポットの人気が高まっている(?)ので、それに便乗して私も自分で飼っているT-Potの観測記録をつけていこうと思います。

観測記録の投稿周期

毎日やっている方もいますが、基本的には1週間に1度結果をまとめて記事にする、という形でいこうと思います。
また、世間的に気になる攻撃があった場合には、少し周期を短くして投稿しようかと。

T-Pot観測記録:2018/4/27〜5/3

全体の結果

f:id:motojiroxx:20180504003253p:plainf:id:motojiroxx:20180504003300p:plain

他のかたのブログを見るとCowrieに対する攻撃が多い感じがしますが、私のハニーポットではvnclowpotが多い状況です。

また、vnclowpotのグラフをみて見ると、アクセスが周期的に行われていることがなんとなくつかめます。確認したところ

  • 毎日15:00(JST)で5900ポートへのアクセスが多くなっている
  • vncへの攻撃(アクセス)のほとんどがロシアから

ということが判明しました。vnc関連であれば、昔このような記事がありました。
blog.trendmicro.co.jp

POS端末を狙っているのか、はたまた別の端末を狙っているのか。。。


また、ハニーポットの観測記事で有名なブログをみた際、「Webカメラ」の初期パスワードを狙った攻撃が観測された、という記述がありました(「サイバーセキュリティはじめました」というブログです)

私のところでも同じような攻撃があるかどうか確認してみたところ、Webカメラの初期設定ユーザー名と思われるものを使った攻撃を観測できました。
f:id:motojiroxx:20180504004831p:plain

  • username : vstarcam2015
  • password : ipcam_rt5350

(※この組みでアクセスされた、というわけではありません)


あまり、ログ解析はやったことがないので、これをいい機会に勉強しようと思います。
また、私の一番の興味はマルウェア解析になるので、dionaeaの改造なども挑戦していきたいですね。