T-POT観測記録
こんばんわ!たかじゃんです。
本日もT-POT観測をしていきたいと思います。T-POTはハニーポットの種類が多いので
基本的にはcowrieをメインにしつつ、他のハニーポット観測も載せていこうかなと思います。
ではスタート!
cowrieが1日で平均10000アクセスも攻撃を受けているので、比べてしまうと少なく感じますが、サイトに関する攻撃よりsshのログイン試行の方が簡単な分アクセスも増えるのだろうなと考えてます。
アクセス元のお国はいつも観測できているおなじみの国々がいるという感じです。
以前「ルーマニア」からのアクセスが多い時期がありました。個人的には
ルーマニア×ITのイメージが無かったのですが、とんだ勘違い。東ヨーロッパのシリコンバレー」とも呼ばれ、高いコンピューター教育が行われスタートアップ企業も多くGAFAの拠点もあり、サイバーセキュリティの専門家も数多くいるそうです。
ポートは主にDB関連へのアクセスが多いです。
今日はcowrieにマルウェアらしき通信があったのでピックアップします。
virus totalで調べるとLinuxに感染するトロイの木馬型マルウェアで感染すると
DDosに加担させるマルウェアみたいです。
現職場ではハニーポット観測のプロジェクトを実施しているので、URLをまとめて動的解析しようと思います!
自宅環境も動的解析できるよう環境を整えていきたいと思います。がんばるぞい!
T-POT観測記録
皆様
お疲れ様です。たかじゃんです。
本日のハニーポット観測は以下の通りです。
19:42時点ですが、14503件のssh関連のアタックを受けています。一番最初の頃これほど攻撃を受けているのを見たときはショックを受けました・・・今では大分慣れましたが☺
国別ではロシア、ドイツ、アメリカ、中国などはほぼ毎日来ています。今日初めて観測したのは、Torブラウザ経由で来ている通信があることでした。攻撃者はIPアドレス詐称の為に使用したのかなと・・・・・・
ポートスキャンはほぼ毎日受けてます。「セキュリティのアレ」というセキュリティの対談でもポートスキャンについて取り上げられているのですが、ネットワークに繋がっている機器はほぼ全ての機器が何かしらのポートスキャンを受けているそうです。
実施しているのは・・・・
・攻撃者
・セキュリティ研究者
・脆弱性を探している団体
のようです。
ポートスキャンは上手に使えば自身が意図して開けていないポートが無いか調べられるので使いこなしていきたいです。
sshで使用されているユーザ名,パスワードになります。おなじみの「admin」や123456
等はほぼ毎日来ています。「Support」というのは企業で使うところがありそうだなぁと感じてます。(主にサポート部門などで)
気になったのは「telecomadmin」というワード、調べてみるとHuawei社製のONUのユーザ名でした。
→役割としては光ファイバーを使う光回線からやってきた光信号と、端末側からやってくるデジタル信号とを相互変換させる機能。ADSLの場合には「モデム」と言われる。
この「telecomadmin」というキーワードをshowdanで調べると、関連する機器が検索されます。ものによっては普通に管理画面までアクセスできるので、もし初期設定のままだとインターネットで「製品名+password」等で検索されると一発でアクセスされてしまうので、購入後は即刻初期パスワードからの変更をした方が良いと感じました。
初期設定は恐怖の塊なので、即座の対応が必要なものだなと日々感じてます。また自分が作成したパスワード等は簡単に破られる危険性もあるのでパスワード作成ツール等で
生成したものがいいかなと思います。
私は「Last Password」というツールでパスワード管理、パスワード生成を行ってます。無料版でも十分に使えるのでオススメですね🙆
以上です。今後はもっと色んな情報を載せていきたいと思います!
ご挨拶
皆様
初めまして、たかじゃんと申します。
Twitterでも「たかじゃん」のユーザ名なのでご存知の方もいらっしゃるかと思います。
いつもありがとうございます!
Twitterで取り組みをたまにTweetしてましたが、以下観点からブログを始めようと思いました。
・ブログでアウトプットしていく事で備忘録として残していきたい為
・アウトプットしていく中で、新しいインプットの場を広げていきたい為
ブログの方向性としては以下方向性で進めていこうと思います。
・AWS上で自身が取り組んだ内容
・参加した勉強会の内容(公開可能な範囲)
・ハニーポット観測記録
以上このような形でブログを更新して行こうと思います🙆
よろしくお願いします☺