アクセス

Cowrieへのアクセスが圧倒的に多いですね。時間軸で見ると、いつアクセスが多くなったのかがわかりやすいです。また国別で見ると、、

特徴が掴みやすと感じました。

大量アクセス(Cowrieで観測)

10/2の12:00~13:30の間にオランダから大量のsshアクセスがありました。134.19.187[.]78から14330回のアクセス。下の画像は同日12:00~14:00の間の記録

タグクラウドを見ると0101でのアクセスが多いです。実際に上記のIPアドレスからは0101でしかアクセスされていませんでした。下はフィルターした結果。

まだ統計日数が少ないですが、Cowrieへは１日平均1000アクセス程度に見えるので集中的にアクセスされていたと思います。

ロシアからのアクセス(Cowrie)

10/1, 9:00~10/3, 21:00の間にロシアから継続的にアクセスが続いてました。

メインは443を使用したものでしょうが、他のポートにも量の多いアクセスがきてます。

上の図のipアドレスからは全て0101でアクセスされていました。

オランダからのとも合わせて、何かDoS攻撃のキャンペーンだったのでしょうか？0101というのは昨年のパスワードワーストランキングには入っていないので、侵入できたらラッキーぐらいのものでしょうか？

中国からのアクセス

10/4, 8:30~9:00にかけて211.143.198[.]232 1704回のアクセスを記録。記録的にはtelnetを使用したJuniper ScreenOS の脆弱性の利用が疑われるとあるが、アクセス数に対して7件のみのヒットだったので、本当かは微妙かも。
一応、ポート2223を調べたところESET Remote Administratorがヒットしました。システム管理者のWebブラウザーからクライアントの設定内容の確認や変更などをネットワーク経由で行えるもの。これに対してroot権限を取りにきてるパターンもあるのかなと思ったりなんだり、、、

CVE-2012-5959 CVE-2012-5958

上記での攻撃を8030回観測しています。次に多い脆弱性の利用はCVE-2001-0540の242回なので群を抜いて多いですね。
狙われているのはUPnP機器のSSDPの脆弱性でRCEっぽいです。UPnPはそもそもネットワーク上の機器を自動的に発見・接続するもの。その中で使われているプロトコルの一つがSSDPで、機器の探索や応答を行うために使用するとのこと。
cve.mitre.org

それを利用した攻撃？としてこんなものがあるそうです。UPnP機能の自由を奪われ、LAN内への攻撃やプロキシとして利用される可能性があるものとのこと。
「UPnP（libupnp）に脆弱性・WANから攻撃可能」という話の中身を調査してみた