Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2021年03月)

2021/3/23 LINE株式会社にて社内の個人情報の取扱いに対する説明会見が行われた。

linecorp.com

www.security-next.com

業務委託先の中国拠点からLINEトーク内の画像・動画・ファイルデータに加えて、LINE Payの決済情報や加盟店の銀行口座番号を含む企業情報へアクセスできる状態であった。また、LINE社から自治体向けの説明にて、取り扱う個人情報は日本国内のデータセンタで管理する説明があり、事実と異なる点があった。
顛末を受け、3/19までに総務省にてLINEの利用を停止すると共に3/26までに各自治体でのLINE利用について各自治体向けに実態調査が行われた。

www.soumu.go.jp

active.nikkeibp.co.jp

LINE株式会社では4/19に総務省に対し個人情報の取り組み改善策について説明を行う予定となっている。

オフショア開発などクラウドサービスを利用た開発をする場合にて、パラメータ設定誤りや認識不足により簡単に国外へデータを持ち出せてしまうため、
輸出禁止の申請書に誓約をしておきながら、気付かない内に国外へデータが持ち出していたというような問題にならないように個人情報のデータ管理には 改めて気を付けたいところである。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

3月は無し。

前提条件

運用日時:2021年3月1日-2021年3月31日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
No ハニーポット 件数 先月比
1 Dionaea 5,903,126 △760,920
2 Cowrie 4,449,041 ▲105,647
3 Heralding 756,819 △84,763
4 Honeytrap 352,790 ▲749,719
5 Rdpy 101,881 ▲7,524
6 Mailoney 25,771 △17,299
7 Adbhoney 15,616 △8,124
8 Tanner 6,894 △3,382
9 Ciscoasa 2,526 △852
10 ConPot 1,499 △723
11 CitrixHoneypot 1,394 △130
12 ElasticPot 976 △118
13 Medpot 197 △143
  • Result
    • Honeytrapへのアクセス件数が70%減少した。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Ireland 1,622,087 1(→)
2 Russia 1,224,947 2(→)
3 Vietnam 1,039,462 3(→)
4 China 855,626 6(↑)
5 Netherlands 783,929 7(↑)
6 India 728,853 3(↓)
7 United States 456,397 5(↓)
8 Panama 438,417 8(→)
9 Brazil 366,890 9(→)
10 Indonesia 283,992 10(→)
11 Venezuela 244,373 12(↑)
12 Turkey 231,087 13(↑)
13 Thailand 216,775 15(↑)
14 Taiwan 212,371 14(→)
15 Mexico 157,163 16(↑)
16 Egypt 156,149 圏外(↑)
17 Pakistan 151,963 18(↑)
18 Bulgaria 144,875 17(↓)
19 Ukraine 129,869 圏外(↑)
20 Philippines 103,986 圏外(↑)
  • Result
    • 先月と同じアクセス件数の順位で推移していた。
    • エジプト(16位)、ウクライナ(19位)、フィリピン(20位)がランクイン

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID CNT
1 CVE-2020-11899 3,860,827
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 257
3 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 37
4 CVE-2020-14882 CVE-2020-14882 2
5 CVE-2020-11910 1
6 CVE-2020-8515 CVE-2020-8515 1
  • Result
    • 新規の攻撃は無し。

④よく攻撃されたユーザ名
  • ユーザ名でよく攻撃されたキーワード(Top 50)を記載する。
No ユーザ名 件数
1 root 309,739
2 admin 119,314
3 user 33,115
4 support 21,872
5 test 10,499
6 101 6,388
7 nproc 5,452
8 sa 3,013
9 guest 2,811
10 ubuntu 2,386
11 postgres 2,357
12 22 1,528
13 Admin 1,400
14 oracle 1,266
15 git 1,146
16 ftpuser 1,073
17 student 962
18 ubnt 906
19 deploy 718
20 minecraft 670
21 testuser 633
22 mysql 593
23 user1 559
24 www 547
25 server 545
26 494
27 teamspeak 491
28 ftp 489
29 jenkins 487
30 administrator 457
31 ts3 447
32 web 432
33 hadoop 421
34 nagios 394
35 tomcat 387
36 dev 378
37 sysadmin 369
38 666666 361
39 alex 358
40 steam 334
41 ts 328
42 odoo 320
43 test1 320
44 debian 308
45 vnc 300
46 sinusbot 299
47 vbox 289
48 webmaster 277
49 tester 275
50 teamspeak3 263
  • Result
    • 先月から変更なし

⑤よく攻撃されたパスワード
  • パスワードでよく攻撃されたキーワード(Top 50)を記載する。
No パスワード 件数
1 admin 238,732
2 root 32,022
3 user 24,748
4 support 21,351
5 & 13,741
6 123456 9,787
7 101 6,328
8 password 5,951
9 nproc 5,452
10 1234 4,276
11 4,107
12 test 4,075
13 123 3,491
14 12345 1,843
15 1 1,643
16 ubnt 1,253
17 guest 1,220
18 Admin 1,197
19 12345678 1,126
20 aqweasdfgfdgfdh 1,004
21 123123 853
22 1q2w3e4r 720
23 123456789 644
24 1qaz2wsx 611
25 pass 540
26 p@ssw0rd 506
27 P@ssw0rd 490
28 666666 486
29 qwerty 477
30 alpine 469
31 master 461
32 passw0rd 456
33 test123 442
34 123qwe 424
35 1234567 418
36 111111 415
37 backup 413
38 abc123 384
39 123321 379
40 admin123 346
41 password123 337
42 1qaz@WSX 334
43 hi3518 331
44 qwe123 319
45 Password 316
46 pass123 297
47 1234567890 280
48 a 280
49 qwerty123 268
50 q1w2e3r4 245
  • Result
    • 先月から変更なし

最後に

  • 「④よく攻撃されたユーザ名」「⑤よく攻撃されたパスワード」について20件⇒50件へ拡大した。
  • 大抵はIoTマルウェアのユーザ名/パスワードが大半だが、少ないアクセス件数の中にも脆弱性スキャンの兆候や面白い情報が含まれているので今月より含めることにした。
  • 「⑤よく攻撃されたパスワード」に普段よく使うパスワードが含まれていないか是非、一度ご確認いただきたい。

ハニーポット運用(月次報告:2021年02月)

VMware ESXiおよびVMware vCenter Serverの深刻な脆弱性(CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)が報告された。

www.vmware.com

www.jpcert.or.jp

www.security-next.com

www.security-next.com

AWS、Azure、GCPなどのパブリッククラウドが発展するまで、プライベートクラウドを提供するVMware製品はオンプレミスの仮想基盤として普及していた。現在はHCI環境との高い親和性より、依然としてパブリッククラウド環境とのハイブリッド環境を提供する形で利用が続いており、影響範囲も広くなる。

公開されているPoCを確認するとscan時に/ui/vropspluginui/rest/services/uploadovaに対するアクセスを行うとのことで、確認してみた。

2月は0件だった。 f:id:SYN-ACK:20210410131424j:plain

※因みに、3月は3/4に45[.]91[.]94[.]163のIPより4件のアクセスを観測していた。
 3月になり動きが本格化してきたようだ。 f:id:SYN-ACK:20210410131427j:plain

T-Potにて1か月運用した結果を記載する。

今月のChangelog

2021/02/22

・バージョン 20.06.2のリリース
クラウド環境への対応

2021/02/19

・Snare, Tanner, Redis, Phpoxのリビルド
・Elastic Stackを7.11.1へバージョンアップ

2021/02/18

・Conpot, EWSPoster, Cowrie, Glutton, Dionaeaのリビルド

2021/02/16

・Heralding を1.0.7へバージョンアップ
・IPPHoney, Fatt, EWSPoster, Spiderfootのリビルド

2021/02/15

・Dicompot, p0f, Medpot, Honeysap, Heimdall, Elasticpot, Citrixhoneypot, Ciscoasaのリビルド

2021/02/12

・Cyberchef, Adbhoney, Elastic Stackのリビルド

前提条件

運用日時:2020年2月1日-2020年2月28日
運用期間:28日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Dionaea 5,142,206 ▲740,172
2 Cowrie 4,554,688 ▲274,945
3 Honeytrap 1,102,509 ▲42,223
4 Heralding 672,056 △470,824
5 Rdpy 109,405 △30,666
6 Mailoney 8,472 △3,484
7 Adbhoney 7,492 △3,867
8 Tanner 3,512 ▲729
9 Ciscoasa 1,674 △589
10 CitrixHoneypot 1,264 △86
11 ElasticPot 858 ▲129
12 ConPot 776 △88
13 Medpot 54 ▲5,189
  • Result
    • Heraldingの件数が2.5倍増加した。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Ireland 1,925,830 1(→)
2 Russia 1,470,350 2(→)
3 Vietnam 755,380 3(→)
4 India 687,702 6(↑)
5 United States 647,516 5(→)
6 China 621,021 4(↓)
7 Netherlands 547,393 圏外(↑)
8 Panama 509,783 7(↓)
9 Brazil 308,766 8(↓)
10 Indonesia 237,603 9(↓)
11 France 221,384 圏外(↑)
12 Venezuela 216,779 10(↓)
13 Turkey 205,321 11(↓)
14 Taiwan 191,904 13(↓)
15 Thailand 189,495 14(↓)
16 Mexico 170,807 19(↑)
17 Bulgaria 144,396 圏外(↑)
18 Pakistan 139,408 16(↓)
19 Romania 128,117 15(↓)
20 Hong Kong 124,315 圏外(↑)

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID CNT
1 CVE-2020-11899 3,422,697
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 184
3 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 31
4 CVE-2020-11910 9
5 CVE-2020-11902 6
6 CVE-2020-8515 CVE-2020-8515 1
  • Result
    • 新規にCVE-2020-11910、CVE-2020-11902を検知
      Ripple20の19種の脆弱性群の一つであり、多数検知されたCVE-2020-11899以外にも検知された。

    • CVE-2020-11910(CVSSv3値:5.4)
      6.0.1.66以前のTreck TCP/IPスタックには、IPv6 Out-of-bounds Readの問題がある。

    • CVE-2020-11902(CVSSv3値:5.4)
      6.0.1.66以前のTreck TCP/IPスタックには、IPv6 Over IPv4 tunneling Out-of-bounds Readの問題がある。


④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No ユーザ名 件数
1 root 318,737
2 admin 110,286
3 support 17,783
4 user 15,726
5 sa 14,084
6 test 11,014
7 guest 10,166
8 Admin 4,159
9 nproc 4,150
10 postgres 1,666
11 101 1,641
12 22 1,437
13 ubuntu 1,325
14 ubnt 846
15 oracle 837
16 git 649
17 ftpuser 623
18 deploy 449
19 mysql 399
20 384
  • Result
    • 先月から変更なし

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No パスワード 件数
1 admin 200,023
2 root 64,320
3 & 43,219
4 support 17,627
5 123456 12,408
6 user 12,104
7 test 9,912
8 guest 9,210
9 password 7,600
10 1234 6,819
11 123 5,626
12 nproc 4,150
13 Admin 4,088
14 3,885
15 12345 2,742
16 password123 1,748
17 101 1,637
18 ubnt 1,197
19 1 913
20 12345678 744
  • Result
    • 先月から変更なし

最後に

  • Ripple20にてよく観測されるCVE-2020-11899以外に検知され始めた。
  • VMwareESXiの脆弱性は3月以降に攻撃が本格化されそう。
  • 所属会社の業務や家庭の事情でセキュリティ活動が停滞気味。果たして、CISSPは今年中に取得できるのだろうか?

Cowrieでアクセスログを確認する

T-PotでCowrieのログを確認してみた。

事前準備

# tree  --charset=C -d L 2 /data
/data
|-- adbhoney
|   |-- downloads
|   `-- log
|-- ciscoasa
|   `-- log
|-- citrixhoneypot
|   `-- logs
|-- conpot
|   `-- log
|-- cowrie
|   |-- downloads
|   |-- keys
|   |-- log
|   |   `-- tty
|   `-- misc
|-- dicompot
|   |-- images
|   `-- log
|-- dionaea
|   |-- binaries
|   |-- bistreams
|   |-- conf
|   |-- log
|   |-- roots
|   |   |-- ftp
|   |   |-- tftp
|   |   |-- upnp
|   |   `-- www
|   `-- rtp
|-- elasticpot
|   `-- log
|-- elk
|   |-- data
|   |   `-- nodes
|   |       `-- 0
|   |           |-- indices
|   |           `-- _state
|   `-- log
|-- emobility
|   `-- log
|-- ews
|   `-- conf
|-- fatt
|   `-- log
|-- glutton
|   `-- log
|-- heralding
|   `-- log
|-- honeypy
|   `-- log
|-- honeysap
|   `-- log
|-- honeytrap
|   |-- attacks
|   |-- downloads
|   `-- log
|-- mailoney
|   `-- log
|-- medpot
|   `-- log
|-- nginx
|   |-- cert
|   |-- conf
|   |-- heimdall
|   `-- log
|-- p0f
|   `-- log
|-- rdpy
|   `-- log
|-- spiderfoot
|-- suricata
|   `-- log
`-- tanner
    |-- files
    `-- log

T-PotのCowrie(カウリ)の/dataフォルダ配下の構成は以下の通り。

①/data/cowrie/cowrie.json 
 JSON形式のトランザクションログ
②/data/cowrie/log/tty/<ハッシュ値>
 playlogユーティリティで再生可能なセッションログ
③/data/cowrie/log/downloads/<ハッシュ値>
 攻撃者からハニーポットに転送された実ファイル

回収したログの確認のため、事前にplaylogを含むCowrieのイメージをGitからダウンロードしておく。
playlogユーティリティはダウンロードしたものを利用する。

# git clone https://github.com/micheloosterhof/cowrie.git
# cd cowrie

確認結果

①cowrie.json ログ

 アクセスログJSON形式で保存されている。

# tail -n 1 /data/cowrie/log/cowrie.json
{"eventid":"cowrie.session.closed","duration":181.31627750396729,"message":"Connection lost after 181 seconds","sensor":"c84918ce61bf","timestamp":"2021-02-13T05:28:02.101286Z","src_ip":"XXX.XXX.XXX.XXX","session":"1b2eb96f07d6"}

②ttyログ

 playlogユーティリティで再現できるttyログが保存されている。playlogは入力時間や処理時間も含めて実際の処理が確認できる。

f:id:SYN-ACK:20210213143734g:plain
playlogユーティリティのサンプル

③採取ファイル

 downloadsフォルダ配下はハニーポットに転送されたファイル(malware/emptyファイル/certファイルなど)が送付される。

# ls -al /data/cowrie/downloads
total 636
drwxrwx--- 2 tpot tpot   4096 Feb 13 05:21 .
drwxrwx--- 6 tpot tpot   4096 Feb 12 07:49 ..
-rw-r--r-- 1 tpot tpot   4766 Feb 12 19:43 39380d5e68d3f3bd4b6436e74c1687a5e06bc7c56394ed527e97312e78aa93b2
-rw------- 1 tpot tpot 625867 Feb 12 16:47 4ed261e47303fe842557fa9797de873c28bc6579f8e63486a1431d5de622ac3a
-rw-r--r-- 1 tpot tpot    673 Feb 13 01:13 545b7c5a1523277111f9722d605dd1b7cd95c1e3463e93492115a6d4edd4e72e
-rw-r--r-- 1 tpot tpot    389 Feb 12 09:59 a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2
-rw------- 1 tpot tpot      0 Feb 13 04:16 tmpcrqx1beg
-rw------- 1 tpot tpot      0 Feb 12 12:31 tmpy60y2hbc
#
# file /data/cowrie/downloads
/data/cowrie/downloads: directory
#
# file /data/cowrie/downloads/*
/data/cowrie/downloads/39380d5e68d3f3bd4b6436e74c1687a5e06bc7c56394ed527e97312e78aa93b2: data
/data/cowrie/downloads/4ed261e47303fe842557fa9797de873c28bc6579f8e63486a1431d5de622ac3a: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
/data/cowrie/downloads/545b7c5a1523277111f9722d605dd1b7cd95c1e3463e93492115a6d4edd4e72e: ASCII text
/data/cowrie/downloads/a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2: OpenSSH RSA public key
/data/cowrie/downloads/tmpcrqx1beg:                                                      empty
/data/cowrie/downloads/tmpy60y2hbc:                                                      empty

参考

ハニーポット運用(月次報告:2021年01月)

1/28未明から1/29に掛けてソースコード共有サービス「GitHub」を介した情報漏洩が発覚した。
ソースコード開発者が転職準備のために年収診断サイトへ提出したソースコードに業務にて委託開発されたコードが含まれていた。

www.itmedia.co.jp

SMBCNTTデータ ジェトロニクスやNEC警察庁、Profit Cubeなどのソースコードがふくまれており、社会的にも大きく取り上げられた。
コンプライアンス違反であるが完全に防ぐ方法は多くの抜け道もあるため、極めて難しい。
本事例を元にしてGithubが利用禁止にするのではなく、2/2 CSAJの「GitHubに関する対応とお願い」の呼びかけであったように、 利用方法を組織内で周知した上で、周知した内容を準拠させる仕組み作りが重要である。

www.csaj.jp

T-Potにて1か月運用した結果を記載する。

今月のChangelog

2021/01/19

・Dionaeaを0.11.0にバージョンアップ

2021/01/06

・インターネットIF検索の更新

前提条件

運用日時:2021年1月1日-2021年1月31日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Dionaea 5,882,378 △1,276,868
2 Cowrie 4,829,633 △902,336
3 Honeytrap 1,144,732 △877,813
4 Heralding 201,232 ▲28,283
5 Rdpy 78,739 △20,631
6 Medpot 5,243 △5,235
7 Mailoney 4,988 ▲83,456
8 Tanner 4,241 ▲177
9 Adbhoney 3,625 ▲180
10 CitrixHoneypot 1,178 △393
11 Ciscoasa 1,085 ▲660
12 ElasticPot 987 △374
13 ConPot 688 △680
  • Result
    • DionaeaやCowrieの件数が多いのはいつも通り。
    • スパムメール検知数が先月より減少した。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Ireland 1,984,315 1(→)
2 Russia 1,383,795 2(→)
3 Vietnam 1,054,305 3(→)
4 China 808,528 4(→)
5 United States 728,049 5(→)
6 India 632,766 7(↑)
7 Panama 579,334 6(↓)
8 Brazil 355,480 8(→)
9 Indonesia 312,040 9(→)
10 Venezuela 275,159 10(→)
11 Turkey 217,863 13(↑)
12 Ukraine 211,326 14(↑)
13 Taiwan 210,079 15(↑)
14 Thailand 196,597 17(↑)
15 Romania 182,992 圏外(↑)
16 Pakistan 153,753 20(↑)
17 France 137,343 圏外(↑)
18 Egypt 132,210 19(↑)
19 Mexico 128,768 圏外(↑)
20 Philippines 113,488 圏外(↑)

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID CNT
1 CVE-2020-11899 4,080,540
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 204
2 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 33
  • Result
    • Ripple20の攻撃は継続して多い。
    • 新規の攻撃は無し。

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No ユーザ名 件数
1 root 390,158
2 admin 83,599
3 user 36,270
4 support 28,484
5 sa 16,202
6 test 5,953
7 nproc 5,420
8 ubnt 4,878
9 guest 2,982
10 ubuntu 2,297
11 postgres 2,153
12 oracle 1,563
13 22 1,558
14 ftpuser 1,131
15 git 1,094
16 Admin 868
17 deploy 707
18 minecraft 648
19 testuser 617
20 mysql 597
  • Result
    • 先月から変更なし

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No パスワード 件数
1 admin 310,768
2 user 30,876
3 support 28,099
4 root 14,527
5 password 8,938
6 123456 8,506
7 nproc 5,420
8 ubnt 5,257
9 & 4,738
10 1234 4,308
11 3,591
12 123 2,935
13 12345 1,875
14 test 1,860
15 1 1,653
16 Password 1,324
17 12345678 1,069
18 guest 1,053
19 1q2w3e4r 865
20 123123 814
  • Result
    • 先月から変更なし

最後に

  • T-PotのChangelogが更新されていたので、先月以前のChangelogも見直した。
  • 日本ではコロナウィルスのワクチン接種が2/17より開始され、感染症対策に進展が見られた。
    東京オリンピック開催は依然として不透明だが、まずは一歩前進であろう。
    個人的には、昨年身内の入院後に面会できないまま棺での再会となったので、今年中には病院内でお見舞いで面会できるようになってほしいと切に思う。

ハニーポット運用(月次報告:2020年12月)

12/19に開催されたSECCON 2020 電脳会議に1セッションだけ参加した。

「さくらでのゼロトラスト」という、VPNによる境界型防御モデルからゼロトラストモデルへの変更事例に関する内容であった。

VPN接続では業務利用において、以下2点の課題がある。
① 認証時のセキュリティを突破されると無防備に内部情報が露呈する。
② リモートワーク推進による接続者数の増加に伴い、レイテンシーが発生する。

セキュリティ上は①が問題になるが、実業務においては②の方が深刻度が高い(と個人的に思う)。
VPN接続が重すぎてまともに仕事ができない問題が(特に週明けに)多発することが多い会社さんは多いのでないだろうか?
そういう点で非常に参考になる講演だった。

以下のサイトでは主な論点が述べられている。

knowledge.sakura.ad.jp

T-Potにて1か月運用した結果を記載する。

今月のChangelog

2020/12/28 変更

SQlite DBの修正
GitHub Container Registry(ghcr.io)の利用停止
・netselect-aptの削除

2020/12/10 変更

・Elastic Stackを7.10.1へEWSPosterを1.12へ変更

2020/12/02 変更

・Elastic Stackを7.10.0へアップデート

前提条件

運用日時:2020年12月1日-2020年12月31日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Dionaea 5,939,221 △1,333,711
2 Cowrie 4,214,929 △287,632
3 Honeytrap 940,520 △673,601
4 Rdpy 149,669 △91,561
5 Heralding 54,778 ▲174,737
6 Mailoney 29,096 ▲59,348
7 Tanner 6,967 △2,549
8 Adbhoney 3,636 ▲169
9 Medpot 3,343 △3,335
10 Ciscoasa 1,150 ▲595
11 CitrixHoneypot 1,037 △252
12 ConPot 703 △507
13 ElasticPot 668 △55
  • Result

接続元SourceIPの上位5番目までの分布は以下の通り。

No SourceIP City Per
1 40.126.255.229 Sydney 75.8%
2 185.202.0.18 London 4.2%
3 194.61.54.112 Moscow 4.0%
4 94.232.43.39 Yekaterinburg 3.2%
5 213.108.134.117 Moscow 3.0%

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Ireland 1,469,243 1(→)
2 Russia 1,237,083 2(→)
3 Vietnam 1,059,920 3(→)
4 China 839,877 4(→)
5 India 692,817 7(↑)
6 Panama 506,059 6(→)
7 United States 435,298 5(↓)
8 Indonesia 367,363 9(↑)
9 Brazil 367,284 8(↓)
10 Venezuela 292,178 10(→)
11 Hong Kong 287,504 圏外(↑)
12 Turkey 255,283 13(↑)
13 Taiwan 208,298 15(↑)
14 Thailand 190,273 17(↑)
15 Romania 162,844 圏外(↑)
16 Ukraine 148,631 14(↓)
17 Pakistan 148,266 20(↑)
18 Egypt 144,414 19(↑)
19 Mexico 125,993 圏外(↑)
20 Germany 125,968 11(↓)

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID CNT
1 CVE-2020-11899 3,745,910
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 36
3 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 26
4 CVE-2017-0143 3
  • Result
    • Ripple20の攻撃が300万件を超えていた。先月が5万件程度だったので著しい増加量である。
    • 新規の攻撃は無し。

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No ユーザ名 件数
1 root 268,671
2 admin 88,180
3 user 70,029
4 sa 15,307
5 support 6,918
6 nproc 6,056
7 test 5,464
8 guest 3,705
9 ubnt 2,534
10 22 1,767
11 postgres 1,691
12 oracle 1,409
13 ubuntu 1,313
14 Admin 1,108
15 git 839
16 mysql 682
17 sh 596
18 ftpuser 585
19 www 529
20 nagios 502
  • Result
    • 先月から変更なし
    • 年間を通してみると、昨年までのsaユーザ(Microsoft SQL Serverの管理者ユーザ)に対する攻撃が下火になった反面、root/admin/userなどクライアント接続用ユーザへの攻撃が増加した

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No パスワード 件数
1 admin 287,065
2 & 79,734
3 user 10,716
4 support 10,281
5 123456 5,254
6 root 4,874
7 password 3,136
8 nproc 2,688
9 12345678 1,930
10 1,593
11 123 1,515
12 12345 1,283
13 1234 1,009
14 Password 694
15 aqweasdfgfdgfdh 651
16 ubnt 599
17 666666 592
18 123123 585
19 alpine 536
20 master 534
  • Result
    • 先月から変更なし

最後に

  • 昨年は1年お世話になりました。今年も1年、宜しくお願いします。
  • オリンピック開催期間中を目的とした本ハニーポット観察ですが、今年も継続しますので引き続きお付き合い下さい。
  • 今年はCISSPの取得を目指します。

ハニーポット運用(月次報告:2020年11月)

メール送信時にパスワード付きZIP暗号化ファイルを利用する運用が廃止される見通しだ。
平井卓也デジタル改革担当相は11月17日の定例会見で中央省庁においてパスワード付きZIP暗号化ファイルのメール送信を廃止する方針を明らかにした。

パスワード付きZIP暗号化ファイルのメール送信(PPAP)の廃止は2016年から提唱されていた。 PPAPの略は以下の通りとのこと。

  • Passwordつきzip暗号化ファイルを送ります
  • Passwordを送ります
  • Aん号化(暗号化)
  • Protocol

PPAPには以下の問題点がある。

  • 暗号化によりウィルス対策ソフトが添付ファイルをスキャンできない
  • パスワード付きZIP暗号化ファイルとパスワードが同一経路で送信されるため、2通に分けてメール送付しても対策として不十分になる(1通目のメールを傍受できる人は2通目も傍受できるため、分けて送付する意味がない)

内閣府内閣官房では26日からPPAPの利用が廃止され外部ストレージサービス活用する方針になる。
内閣府が利用する民間のストレージサービスでファイルを共有し、パスワードをメールで送信するとのこと。 上記を受けて、一部の民間企業でもPPAP運用廃止を表明している。

再来年あたりにはデータサイズに限らず添付ファイルのやり取りはPPAPからストレージサービスへ民間企業でも運用が変わっていく気がする。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

2020/11/30

・suricata-updateによるSuricataルール管理の利用開始

2020/11/26

・suricata.yamlを6.xへアップデート
・Cowrieを2.2.0へアップデート

前提条件

運用日時:2020年11月1日-2020年11月30日
運用期間:30日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Dionaea 5,529,842 △924,332
2 Cowrie 4,751,964 △824,667
3 Honeytrap 553,175 △286,256
4 Heralding 359,194 △129,679
5 Rdpy 129,529 △71,421
6 Mailoney 74,747 ▲13,697
7 Tanner 5,270 △852
8 Adbhoney 4,865 △1,060
9 Ciscoasa 1,249 ▲496
10 ElasticPot 1,187 △574
11 CitrixHoneypot 1,051 △266
12 ConPot 713 △517
13 Medpot 409 △401
  • Result
    • 全体的に先月より件数が増加していた。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Ireland 1,738,236 1(→)
2 China 968,804 4(↑)
3 Russia 961,151 2(↓)
4 Vietnam 952,322 3(↓)
5 Panama 670,471 6(↑)
6 India 626,250 7(↑)
7 United States 468,754 5(↓)
8 Brazil 360,063 8(→)
9 Indonesia 312,750 9(→)
10 Venezuela 236,305 10(→)
11 France 223,935 圏外(↑)
12 Turkey 200,097 13(↑)
13 Taiwan 192,938 15(↑)
14 Thailand 189,886 17(↑)
15 Ukraine 189,516 14(↓)
16 Pakistan 145,805 20(↑)
17 Egypt 140,457 19(↑)
18 Mexico 129,914 圏外(↑)
19 Japan 127,702 12(↓)
20 Singapore 110,994 圏外(↑)
  • Result
    • 全体的な件数が増加しており、先月から件数が同じロシアやベトナムは順位が下がったが中国やパナマは順位が上がっていた。
    • 日本からのアクセスは減少傾向にあった。

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID CNT
1 CVE-2020-11899 3,032,279
2 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 23
3 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 16
4 CVE-2020-8515 CVE-2020-8515 4
5 CVE-2020-11910 3
6 CVE-2020-11902 1
  • Result
    • Ripple20に関する件数が先月の50,898件から60倍に増加した。仮想通貨XRPの価格上昇もあったので、Rippleの今後の動向に注目したい。

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No ユーザ名 件数
1 root 346,057
2 admin 110,732
3 user 54,965
4 sa 52,299
5 support 28,282
6 test 10,658
7 nproc 7,129
8 guest 2,988
9 Admin 2,367
10 ubnt 1,979
11 22 1,629
12 postgres 1,609
13 oracle 1,463
14 ubuntu 1,387
15 git 906
16 ftpuser 582
17 mysql 488
18 nagios 474
19 student 442
20 hadoop 409
  • Result
    • 先月から変更なし

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No パスワード 件数
1 admin 235,932
2 user 52,607
3 support 27,905
4 & 17,910
5 123456 10,104
6 test 8,709
7 password 8,298
8 nproc 7,129
9 1234 5,694
10 root 4,999
11 3,271
12 123 2,371
13 ubnt 2,352
14 Admin 2,248
15 12345678 2,049
16 12345 1,958
17 guest 1,725
18 password123 1,051
19 1 1,048
20 1qaz2wsx 881
  • Result
    • 先月から変更なし

最後に

  • PPAPの元ネタがピコ太郎さんのペンパイナッポーアッポーペンを元にしているようだ。発想の着眼点は色々なところに転がっている。
  • 2020年度のRISSのオンライン講習が11月から開始された。例年に比べて半年遅れの開始になる。12月中に終わらせる予定。 (ง •̀_•́)ง‼ガンバラナ

ハニーポット運用(月次報告:2020年10月)

2020年10月1日の早朝に発生した東京証券取引所の株式売買システム「arrowhead」にて終日取引停止につながる大規模障害が発生した。
原因は共有ディスク装置の設定不備であり、メモリ故障による障害発生時に、自動的に系切替えする設定が有効化されていなかったとのこと。

f:id:SYN-ACK:20201103081150j:plain

出典:arrowhead の障害に関する原因と対策について | 日本取引所グループ

障害原因は残念なものであったが、システム停止の意思決定から報道発表、一次対応と恒久対応までの流れは円滑に行われた。
経営者層の方がシステムを十分に把握されていたことも、良い方向に働いた一因であろう。
障害発生時のリカバリ対応として参考になる事例であった。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

2020/10/28

・Suricataを5.0.4, Spiderfootを3.2.1, Dionaeaを0.9.2へ, IPPHoney, Heralding, Conpotを最新バージョンへアップデート

2020/10/27

・Dicompotを最新バージョンへ, Elastic Stackを7.9.3へアップデート

2020/10/05

・Elastic Stackを7.9.2へアップデート

前提条件

運用日時:2020年10月01日-2020年10月31日
運用期間:31日

運用結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Dionaea 5,534,597 △929,087
2 Cowrie 4,259,575 △332,278
3 Mailoney 999,031 △910,587
4 Heralding 755,107 △525,592
5 Honeytrap 498,737 △231,818
6 Rdpy 126,975 △68,867
7 Tanner 5,259 △841
8 Adbhoney 4,245 △440
9 Ciscoasa 2,068 △323
10 CitrixHoneypot 1,042 △257
11 ElasticPot 470 ▲143
12 ConPot 135 ▲61
13 Medpot 2 ▲6
  • Result
    • 先月と比較して全体的にアクセス件数が増加していた。
    • Mailoneyが90万件弱増加しており、特徴的に増加している。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Ireland 1,660,134 1(→)
2 United States 1,313,815 5(↑)
3 Russia 1,084,938 2(↓)
4 Vietnam 960,275 3(↓)
5 China 785,021 4(↓)
6 Panama 566,936 6(→)
7 Japan 518,825 12(↑)
8 India 517,395 7(↓)
9 Brazil 342,104 8(↓)
10 Indonesia 330,956 9(↓)
11 Venezuela 260,803 10(↓)
12 Republic of Moldova 255,019 16(↑)
13 Turkey 232,952 13(→)
14 Germany 230,822 11(↓)
15 Taiwan 195,222 15(→)
16 Thailand 163,527 17(↑)
17 France 147,898 圏外(↑)
18 Pakistan 147,522 20(↑)
19 Singapore 146,681 圏外(↑)
20 Ukraine 134,954 14(↓)
  • Result
    • アイルランド(1位)が相変わらず多い。アメリカ(2位)のアクセス件数が急増していた。
    • ロシア(3位)、ベトナム(4位)、中国(5位)はアクセス件数は前月より増えているにもかかわらず、アイルランドアメリカの件数が多いため順位を下げていた。
    • 19位にシンガポールからのアクセスを観測していた。
    • アメリカの件数増加は156[.]96[.]56[.]25からのMailoneyに対するアクセスが978,735件に上っており、これが増加の原因だった。送信されたデータは以下の通り。F.B.I.エージェントからATMカードに600万ドルと連絡したように装った詐欺メールが来ていた。
data: "Content-Type: text/plain; charset=\"iso-8859-1\"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Description: Mail message body
Subject: Good news
To: xxxxx@comcast.net
From: \"BARRISTER EMEKA ANI OFR\" <chiocca@gethal.com.br>
Date: Wed, 28 Oct 2020 08:51:34 -0700
Reply-To: xxxxx@gmail.com

Good news,

After our verification with (F.B.I) agents they appoint  me to contact you .


We got your contact to the paying bank which your compensation payment
is over due valued $6 Million USD, which is in your ATM card,   and i am he=
re to ask you have you abandon your fund can you inform me what is the prob=
lem so that i can know how to assist you, as a law maker i we help you to r=
eceive your fund if you cooperate with me .

BARRISTER EMEKA ANI OFR
EMEKA ANI LAW ASSOCIATES
SOLICITORS AND PUBLIC NOTARIES",

図:2020-10-28 15:52:14 に観測したメールデータより

f:id:SYN-ACK:20201107121051j:plain

日時 件数
10/20 00時 28件
10/20 12時 33,428件
10/28 12時 605,072件
10/29 00時 387,610件

10/20からアクセスが始まり、10/28~10/29にかけてのアクセス件数が非常に多くなっていた。


③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID CNT
1 CVE-2020-11899 55,395
2 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 25
3 CVE-2020-11910 19
4 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 18
5 CVE-2020-8515 CVE-2020-8515 3
  • Result
    • 先月から変更なし

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No ユーザ名 件数
1 root 252,186
2 admin 131,004
3 sa 32,376
4 user 22,109
5 support 17,368
6 guest 16,010
7 ubnt 7,357
8 nproc 6,152
9 Admin 3,751
10 test 3,050
11 22 2,352
12 ubuntu 1,816
13 postgres 1,584
14 oracle 1,318
15 git 826
16 ftpuser 774
17 666666 584
18 testuser 473
19 mysql 462
20 user1 434
  • Result
    • 先月から変更なし

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No パスワード 件数
1 admin 209,567
2 & 30,182
3 root 24,326
4 support 17,168
5 1234 15,832
6 guest 14,506
7 password 14,325
8 123456 11,286
9 user 9,925
10 ubnt 8,013
11 nproc 6,152
12 12345678 3,799
13 Admin 3,695
14 3,314
15 123 2,879
16 12345 2,175
17 test 1,740
18 Password 1,524
19 1 1,055
20 123123 795
  • Result
    • 先月から変更なし

最後に

  • 2020年11月4日にアメリカの大統領選があるが、アメリカからのアクセス件数増加と関連があるのだろうか?
  • とあるCTFで個人で4位に入賞した。個人的にはpython機械学習ライブラリであるTensorFlowを使用した画像認証を騙す問題があり、検証環境で実装して試してみたいと思う。