以前構築したハニーポットが３週間ほど経過したので、久しぶりに見てみました。

0zte9.hatenablog.com

まずはCowrieのユーザ／パスワードのタグクラウドです。root/adminなどの定番からやはり上位にあります。「7ujMko0admin」というパスワードを調べてみたら、Dahua製のウェブカメラのデフォルトパスワードのようです。

送信元はバラバラで世界中のどこからもアクセスが来ているのが分かります。

T-Pot全体のユーザ／パスワードのタグクラウドです。ウェブ系も入るのでtomcatやhadoopなどの管理画面に入ろうとしているものが加わっています。

Suricataの一覧を見るとDoublePulsarなどが検出されていて、WannaCryの余波がまだあるんだなと感じました。また、BusyBoxを悪用した攻撃もありました。BusyBoxは組み込み系Linuxでは定番のプログラムのようでIoT関連のようです。

まとめ

Cowrieなどのログで実行されたコマンド（高会話型のハニーポットでないので単発で終わってると思いますが）を見てみるとBusyBoxに関連したものが多数ありました。IoTに関連したセキュリティ対策は相変わらず重要だなと感じました。