セキュリティ系の勉強、その他開発メモとか雑談. GithubはUnity触っていた頃ものがメイン Twitterフォローもよろしくです

T-pot観察 #3 2018/10/9~10/17

だいぶ日が空いてしまいましたが、3回目です。と言っても対して知識も増えていないので、いつも通り眺めるだけです。

全体のログ

f:id:thinline196:20181017232121p:plain
f:id:thinline196:20181017232123p:plain
f:id:thinline196:20181017232126p:plain

いつも通りCowrieでは短時間の集中アクセスを度々受けていますね。目立つものとしてはロシアとカタールからでしょうか。カタールから集中的に飛んで来ているのは初めて見ました。しかし、そろそろ物珍しくなくなって来た感じもします。

一方今回きになるのはVnclowpotの観測ログです。若干わかりにくいですが3回波があり全て中国から来ています。日付でいうと11(6時),12(24時), 15(21時)です。

f:id:thinline196:20181017233503p:plain
f:id:thinline196:20181017233505p:plain

攻撃ポートは5900番ですが、調べたところVirtual Network Computing (VNC) で使用しているとのこと。Apple Remote Desktop 2.0 or laterとの表記があるので、画面共有とかそのあたりの機能でしょうか。それぞれ波ごとに別のIPから攻撃が飛んで来ていました。最多のアクセスを観測した2番目の波は全て221.229.204[.]205から来てました。
f:id:thinline196:20181017235533p:plain



よく考えれば、vnclowpotの名前はVNCから来てるんですね。その名の通り低対話型VNCハニーポットということでしょう。ちなみに、低対話型とは特定のアプリケーションやOSをエミュレートして攻撃を待ち受けるものを言い、逆に実際の脆弱性をそのままにして観測を受けるものを高対話型と言います。基本的に私のような初心者が簡単に運用できるのは低対話型でしょう笑




こんな感じで。以上。