ハニーポットの観測(T-pot:2022/9/24~)Observation of Honeypot

セキュリティ
ブログ

今週のアクセス数上位ポート Top Ports Accessed This Week

アクセス数上位ポート ①445番 ②25番 ③ 123番 ④1900番 ⑤22番

445番と123番は、定期的にDDosっぽくやってきます。というより123番NTPはリフレクタによるDDoS攻撃なのでしょう。123番が来る時だけは、世界中のあらゆるところからやってきますから。

ほとんどなかった25番が、9月30日の12時から15時ころまでに極端に増えてます。「AUTH LOGIN」「EHLO ylmf-pc」にばっかり来ていますので、メールに対するブルートフォースでしょうか?かつてこの攻撃?に苦労した方もいらっしゃったんですね。10年以上も前のことですが・・・。こんな研究もありました。

1900番については、この画面ではわかりづらいですが、9月26日夜までは、定期的に12時間毎に集中してアクセスがあったのですが、28日からはほとんど見なくなりました。なぜなんでしょう?

今週のアクセス数上位国 Top countries accessed this week

アクセス上位国 ①中国 ②ブラジル ③インド ④アメリカ ⑤フィリピン

445番へは中国、インド、フィリピンが多い。インド、フィリピンは445番のみと言ってもよいくらい。

ブラジルは1900番がほとんどを占め、アメリカは123番が4分の3以上である。アメリカはそれだけ、NTPリフレクションする機器が豊富ということか。

今週の攻撃IDパスワード Attack ID & password of the week

ログイン試行は、見ての通り、「admin,administrator,root」「123456,111111,password」が多く、デフォルト設定を狙った攻撃が大半でした。やはり、未だにデフォルト設定の機器が大半であろうことがうかがえます。

T-Potは、様々なハニーポットを同時に運用できるアプリケーションです。私自身は、まだまだ駆け出しなので、T-Potに備えづけられたKibanaのデフォルトしか使えません。そしてさらにそこから得られる情報は、知識不足から間違いが多いだろうと思います。そのため、本ブログに記載の分析は、私自身の現在の知識から判断されたものであることを念頭にお読みください。また、間違い等があれば、教えていただけると幸いです。

一週間の出来事

9/4ロシアからのSQLインジェクションが急増。〈WAF開発のサイバーセキュリティクラウド〉9/13
ITmedia
9/6
(米時間)
LinuxサーバーやIoTを標的とするマルウェア「Shikitega」を発見したと発表。脆弱性を悪用して権限を昇格させ、感染した端末で暗号資産マイニングを実行したり、システムを完全盛業したりする。〈米AT&AのセキュリティラボAlienLabs〉9/12
ITmedia
9/6,7
e-Govでの接続障害について、6日は外部からのDDoS攻撃、7日はシステム内部の問題であったと明らかにした。〈河野大臣〉6日のe-Gov障害をめぐってはロシアを支持するサイバー犯罪集団「KILLNET」が攻撃を仕掛けたとほのめかしている。
9/14
ITmedia
9/13トレンドマイクロ製品の一部に複数の脆弱性が存在すると注意喚起。CVSSv3基本評価値8.29/14
IPA
9/2416時30分から17時00分までの間に、約13,000件の迷惑メールが送信されていた。デジタル庁は、同庁が運営する事業者向け共通認証サービス「GビズID」のメール中継サーバーが不正アクセスを受け、「gbiz-id.go.jp」ドメインから迷惑メール送信事案が発生したとした。9/27
ITmedia
9/28賛否の中、安倍元首相国葬9/28
京都新聞
9/30
親ロシア派ハッカー集団「KILLNET」が資金難により、攻撃活動を事実上停止していることが、「KILLNET」への取材で分かった。
9/30
共同通信
9/30
ロシア、4州併合宣言。プーチン大統領は、クレムリンで演説し、ウクライナで制圧した4州の併合を宣言した。欧米諸国は国際法への重大な違反だと強く非難
10/1
京都新聞

コメント