ハニーポット運用(月次報告:2021年2月)
今月のTopics
VMware ESXiおよびVMware vCenter Serverの深刻な脆弱性(CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)が報告された。
AWS、Azure、GCPなどのパブリッククラウドが発展するまで、プライベートクラウドを提供するVMware製品はオンプレミスの仮想基盤として普及していた。現在はHCI環境との高い親和性より、依然としてパブリッククラウド環境とのハイブリッド環境を提供する形で利用が続いており、影響範囲も広くなる。
公開されているPoCを確認するとscan時に/ui/vropspluginui/rest/services/uploadova
に対するアクセスを行うとのことで、確認してみた。
2月は0件だった。
※因みに、3月は3/4に45[.]91[.]94[.]163のIPより4件のアクセスを観測していた。
3月になり動きが本格化してきたようだ。
今月のChangelog
2021/02/22
・バージョン 20.06.2のリリース
・クラウド環境への対応
2021/02/19
・Snare, Tanner, Redis, Phpoxのリビルド
・Elastic Stackを7.11.1へバージョンアップ
2021/02/18
・Conpot, EWSPoster, Cowrie, Glutton, Dionaeaのリビルド
2021/02/16
・Heralding を1.0.7へバージョンアップ
・IPPHoney, Fatt, EWSPoster, Spiderfootのリビルド
2021/02/15
・Dicompot, p0f, Medpot, Honeysap, Heimdall, Elasticpot, Citrixhoneypot, Ciscoasaのリビルド
2021/02/12
・Cyberchef, Adbhoney, Elastic Stackのリビルド
前提条件
運用日時:2020年2月1日-2020年2月28日
運用期間:28日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先月比 |
---|---|---|---|
1 | Dionaea | 5,142,206 | ▲740,172 |
2 | Cowrie | 4,554,688 | ▲274,945 |
3 | Honeytrap | 1,102,509 | ▲42,223 |
4 | Heralding | 672,056 | △470,824 |
5 | Rdpy | 109,405 | △30,666 |
6 | Mailoney | 8,472 | △3,484 |
7 | Adbhoney | 7,492 | △3,867 |
8 | Tanner | 3,512 | ▲729 |
9 | Ciscoasa | 1,674 | △589 |
10 | CitrixHoneypot | 1,264 | △86 |
11 | ElasticPot | 858 | ▲129 |
12 | ConPot | 776 | △88 |
13 | Medpot | 54 | ▲5,189 |
- Result
- Heraldingの件数が2.5倍増加した。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | Ireland | 1,925,830 | 1(→) |
2 | Russia | 1,470,350 | 2(→) |
3 | Vietnam | 755,380 | 3(→) |
4 | India | 687,702 | 6(↑) |
5 | United States | 647,516 | 5(→) |
6 | China | 621,021 | 4(↓) |
7 | Netherlands | 547,393 | 圏外(↑) |
8 | Panama | 509,783 | 7(↓) |
9 | Brazil | 308,766 | 8(↓) |
10 | Indonesia | 237,603 | 9(↓) |
11 | France | 221,384 | 圏外(↑) |
12 | Venezuela | 216,779 | 10(↓) |
13 | Turkey | 205,321 | 11(↓) |
14 | Taiwan | 191,904 | 13(↓) |
15 | Thailand | 189,495 | 14(↓) |
16 | Mexico | 170,807 | 19(↑) |
17 | Bulgaria | 144,396 | 圏外(↑) |
18 | Pakistan | 139,408 | 16(↓) |
19 | Romania | 128,117 | 15(↓) |
20 | Hong Kong | 124,315 | 圏外(↑) |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | CNT |
---|---|---|
1 | CVE-2020-11899 | 3,422,697 |
2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 184 |
3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 31 |
4 | CVE-2020-11910 | 9 |
5 | CVE-2020-11902 | 6 |
6 | CVE-2020-8515 CVE-2020-8515 | 1 |
- Result
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | root | 318,737 |
2 | admin | 110,286 |
3 | support | 17,783 |
4 | user | 15,726 |
5 | sa | 14,084 |
6 | test | 11,014 |
7 | guest | 10,166 |
8 | Admin | 4,159 |
9 | nproc | 4,150 |
10 | postgres | 1,666 |
11 | 101 | 1,641 |
12 | 22 | 1,437 |
13 | ubuntu | 1,325 |
14 | ubnt | 846 |
15 | oracle | 837 |
16 | git | 649 |
17 | ftpuser | 623 |
18 | deploy | 449 |
19 | mysql | 399 |
20 | 384 |
- Result
- 先月から変更なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | admin | 200,023 |
2 | root | 64,320 |
3 | & | 43,219 |
4 | support | 17,627 |
5 | 123456 | 12,408 |
6 | user | 12,104 |
7 | test | 9,912 |
8 | guest | 9,210 |
9 | password | 7,600 |
10 | 1234 | 6,819 |
11 | 123 | 5,626 |
12 | nproc | 4,150 |
13 | Admin | 4,088 |
14 | 3,885 | |
15 | 12345 | 2,742 |
16 | password123 | 1,748 |
17 | 101 | 1,637 |
18 | ubnt | 1,197 |
19 | 1 | 913 |
20 | 12345678 | 744 |
- Result
- 先月から変更なし
最後に
Cowrieでアクセスログを確認する
T-PotでCowrieのログを確認してみた。
事前準備
# tree --charset=C -d L 2 /data /data |-- adbhoney | |-- downloads | `-- log |-- ciscoasa | `-- log |-- citrixhoneypot | `-- logs |-- conpot | `-- log |-- cowrie | |-- downloads | |-- keys | |-- log | | `-- tty | `-- misc |-- dicompot | |-- images | `-- log |-- dionaea | |-- binaries | |-- bistreams | |-- conf | |-- log | |-- roots | | |-- ftp | | |-- tftp | | |-- upnp | | `-- www | `-- rtp |-- elasticpot | `-- log |-- elk | |-- data | | `-- nodes | | `-- 0 | | |-- indices | | `-- _state | `-- log |-- emobility | `-- log |-- ews | `-- conf |-- fatt | `-- log |-- glutton | `-- log |-- heralding | `-- log |-- honeypy | `-- log |-- honeysap | `-- log |-- honeytrap | |-- attacks | |-- downloads | `-- log |-- mailoney | `-- log |-- medpot | `-- log |-- nginx | |-- cert | |-- conf | |-- heimdall | `-- log |-- p0f | `-- log |-- rdpy | `-- log |-- spiderfoot |-- suricata | `-- log `-- tanner |-- files `-- log
T-PotのCowrie(カウリ)の/dataフォルダ配下の構成は以下の通り。
①/data/cowrie/cowrie.json JSON形式のトランザクションログ ②/data/cowrie/log/tty/<ハッシュ値> playlogユーティリティで再生可能なセッションログ ③/data/cowrie/log/downloads/<ハッシュ値> 攻撃者からハニーポットに転送された実ファイル
回収したログの確認のため、事前にplaylogを含むCowrieのイメージをGitからダウンロードしておく。
playlogユーティリティはダウンロードしたものを利用する。
# git clone https://github.com/micheloosterhof/cowrie.git # cd cowrie
確認結果
①cowrie.json ログ
# tail -n 1 /data/cowrie/log/cowrie.json {"eventid":"cowrie.session.closed","duration":181.31627750396729,"message":"Connection lost after 181 seconds","sensor":"c84918ce61bf","timestamp":"2021-02-13T05:28:02.101286Z","src_ip":"XXX.XXX.XXX.XXX","session":"1b2eb96f07d6"}
②ttyログ
playlogユーティリティで再現できるttyログが保存されている。playlogは入力時間や処理時間も含めて実際の処理が確認できる。
③採取ファイル
downloadsフォルダ配下はハニーポットに転送されたファイル(malware/emptyファイル/certファイルなど)が送付される。
# ls -al /data/cowrie/downloads total 636 drwxrwx--- 2 tpot tpot 4096 Feb 13 05:21 . drwxrwx--- 6 tpot tpot 4096 Feb 12 07:49 .. -rw-r--r-- 1 tpot tpot 4766 Feb 12 19:43 39380d5e68d3f3bd4b6436e74c1687a5e06bc7c56394ed527e97312e78aa93b2 -rw------- 1 tpot tpot 625867 Feb 12 16:47 4ed261e47303fe842557fa9797de873c28bc6579f8e63486a1431d5de622ac3a -rw-r--r-- 1 tpot tpot 673 Feb 13 01:13 545b7c5a1523277111f9722d605dd1b7cd95c1e3463e93492115a6d4edd4e72e -rw-r--r-- 1 tpot tpot 389 Feb 12 09:59 a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 -rw------- 1 tpot tpot 0 Feb 13 04:16 tmpcrqx1beg -rw------- 1 tpot tpot 0 Feb 12 12:31 tmpy60y2hbc # # file /data/cowrie/downloads /data/cowrie/downloads: directory # # file /data/cowrie/downloads/* /data/cowrie/downloads/39380d5e68d3f3bd4b6436e74c1687a5e06bc7c56394ed527e97312e78aa93b2: data /data/cowrie/downloads/4ed261e47303fe842557fa9797de873c28bc6579f8e63486a1431d5de622ac3a: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped /data/cowrie/downloads/545b7c5a1523277111f9722d605dd1b7cd95c1e3463e93492115a6d4edd4e72e: ASCII text /data/cowrie/downloads/a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2: OpenSSH RSA public key /data/cowrie/downloads/tmpcrqx1beg: empty /data/cowrie/downloads/tmpy60y2hbc: empty
参考
- cowrieのマニュアル cowrie.readthedocs.io
ハニーポット運用(月次報告:2021年1月)
今月のTopics
1/28未明から1/29に掛けてソースコード共有サービス「GitHub」を介した情報漏洩が発覚した。
ソースコード開発者が転職準備のために年収診断サイトへ提出したソースコードに業務にて委託開発されたコードが含まれていた。
SMBC、NTTデータ ジェトロニクスやNEC、警察庁、Profit Cubeなどのソースコードがふくまれており、社会的にも大きく取り上げられた。
コンプライアンス違反であるが完全に防ぐ方法は多くの抜け道もあるため、極めて難しい。
本事例を元にしてGithubが利用禁止にするのではなく、2/2 CSAJの「GitHubに関する対応とお願い」の呼びかけであったように、
利用方法を組織内で周知した上で、周知した内容を準拠させる仕組み作りが重要である。
https://www.csaj.jp/NEWS/pr/210202_github.htmlwww.csaj.jp
今月のChangelog
2021/01/19
・Dionaeaを0.11.0にバージョンアップ
2021/01/06
・インターネットIF検索の更新
前提条件
運用日時:2021年1月1日-2021年1月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先月比 |
---|---|---|---|
1 | Dionaea | 5,882,378 | △1,276,868 |
2 | Cowrie | 4,829,633 | △902,336 |
3 | Honeytrap | 1,144,732 | △877,813 |
4 | Heralding | 201,232 | ▲28,283 |
5 | Rdpy | 78,739 | △20,631 |
6 | Medpot | 5,243 | △5,235 |
7 | Mailoney | 4,988 | ▲83,456 |
8 | Tanner | 4,241 | ▲177 |
9 | Adbhoney | 3,625 | ▲180 |
10 | CitrixHoneypot | 1,178 | △393 |
11 | Ciscoasa | 1,085 | ▲660 |
12 | ElasticPot | 987 | △374 |
13 | ConPot | 688 | △680 |
- Result
- DionaeaやCowrieの件数が多いのはいつも通り。
- スパムメール検知数が先月より減少した。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | Ireland | 1,984,315 | 1(→) |
2 | Russia | 1,383,795 | 2(→) |
3 | Vietnam | 1,054,305 | 3(→) |
4 | China | 808,528 | 4(→) |
5 | United States | 728,049 | 5(→) |
6 | India | 632,766 | 7(↑) |
7 | Panama | 579,334 | 6(↓) |
8 | Brazil | 355,480 | 8(→) |
9 | Indonesia | 312,040 | 9(→) |
10 | Venezuela | 275,159 | 10(→) |
11 | Turkey | 217,863 | 13(↑) |
12 | Ukraine | 211,326 | 14(↑) |
13 | Taiwan | 210,079 | 15(↑) |
14 | Thailand | 196,597 | 17(↑) |
15 | Romania | 182,992 | 圏外(↑) |
16 | Pakistan | 153,753 | 20(↑) |
17 | France | 137,343 | 圏外(↑) |
18 | Egypt | 132,210 | 19(↑) |
19 | Mexico | 128,768 | 圏外(↑) |
20 | Philippines | 113,488 | 圏外(↑) |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | CNT |
---|---|---|
1 | CVE-2020-11899 | 4,080,540 |
2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 204 |
2 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 33 |
- Result
- Ripple20の攻撃は継続して多い。
- 新規の攻撃は無し。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | root | 390,158 |
2 | admin | 83,599 |
3 | user | 36,270 |
4 | support | 28,484 |
5 | sa | 16,202 |
6 | test | 5,953 |
7 | nproc | 5,420 |
8 | ubnt | 4,878 |
9 | guest | 2,982 |
10 | ubuntu | 2,297 |
11 | postgres | 2,153 |
12 | oracle | 1,563 |
13 | 22 | 1,558 |
14 | ftpuser | 1,131 |
15 | git | 1,094 |
16 | Admin | 868 |
17 | deploy | 707 |
18 | minecraft | 648 |
19 | testuser | 617 |
20 | mysql | 597 |
- Result
- 先月から変更なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | admin | 310,768 |
2 | user | 30,876 |
3 | support | 28,099 |
4 | root | 14,527 |
5 | password | 8,938 |
6 | 123456 | 8,506 |
7 | nproc | 5,420 |
8 | ubnt | 5,257 |
9 | & | 4,738 |
10 | 1234 | 4,308 |
11 | 3,591 | |
12 | 123 | 2,935 |
13 | 12345 | 1,875 |
14 | test | 1,860 |
15 | 1 | 1,653 |
16 | Password | 1,324 |
17 | 12345678 | 1,069 |
18 | guest | 1,053 |
19 | 1q2w3e4r | 865 |
20 | 123123 | 814 |
- Result
- 先月から変更なし
最後に
ハニーポット運用(月次報告:2020年12月)
今月のTopics
12/19に開催されたSECCON 2020 電脳会議に1セッションだけ参加した。
「さくらでのゼロトラスト」という、VPNによる境界型防御モデルからゼロトラストモデルへの変更事例に関する内容であった。
VPN接続では業務利用において、以下2点の課題がある。
① 認証時のセキュリティを突破されると無防備に内部情報が露呈する。
② リモートワーク推進による接続者数の増加に伴い、レイテンシーが発生する。
セキュリティ上は①が問題になるが、実業務においては②の方が深刻度が高い(と個人的に思う)。
VPN接続が重すぎてまともに仕事ができない問題が(特に週明けに)多発することが多い会社さんは多いのでないだろうか?
そういう点で非常に参考になる講演だった。
以下のサイトでは主な論点が述べられている。
今月のChangelog
2020/12/28 変更
・SQlite DBの修正
・GitHub Container Registry(ghcr.io)の利用停止
・netselect-aptの削除
2020/12/10 変更
・Elastic Stackを7.10.1へEWSPosterを1.12へ変更
2020/12/02 変更
・Elastic Stackを7.10.0へアップデート
前提条件
運用日時:2020年12月1日-2020年12月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先月比 |
---|---|---|---|
1 | Dionaea | 5,939,221 | △1,333,711 |
2 | Cowrie | 4,214,929 | △287,632 |
3 | Honeytrap | 940,520 | △673,601 |
4 | Rdpy | 149,669 | △91,561 |
5 | Heralding | 54,778 | ▲174,737 |
6 | Mailoney | 29,096 | ▲59,348 |
7 | Tanner | 6,967 | △2,549 |
8 | Adbhoney | 3,636 | ▲169 |
9 | Medpot | 3,343 | △3,335 |
10 | Ciscoasa | 1,150 | ▲595 |
11 | CitrixHoneypot | 1,037 | △252 |
12 | ConPot | 703 | △507 |
13 | ElasticPot | 668 | △55 |
接続元SourceIPの上位5番目までの分布は以下の通り。
No | SourceIP | City | Per |
---|---|---|---|
1 | 40.126.255.229 | Sydney | 75.8% |
2 | 185.202.0.18 | London | 4.2% |
3 | 194.61.54.112 | Moscow | 4.0% |
4 | 94.232.43.39 | Yekaterinburg | 3.2% |
5 | 213.108.134.117 | Moscow | 3.0% |
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | Ireland | 1,469,243 | 1(→) |
2 | Russia | 1,237,083 | 2(→) |
3 | Vietnam | 1,059,920 | 3(→) |
4 | China | 839,877 | 4(→) |
5 | India | 692,817 | 7(↑) |
6 | Panama | 506,059 | 6(→) |
7 | United States | 435,298 | 5(↓) |
8 | Indonesia | 367,363 | 9(↑) |
9 | Brazil | 367,284 | 8(↓) |
10 | Venezuela | 292,178 | 10(→) |
11 | Hong Kong | 287,504 | 圏外(↑) |
12 | Turkey | 255,283 | 13(↑) |
13 | Taiwan | 208,298 | 15(↑) |
14 | Thailand | 190,273 | 17(↑) |
15 | Romania | 162,844 | 圏外(↑) |
16 | Ukraine | 148,631 | 14(↓) |
17 | Pakistan | 148,266 | 20(↑) |
18 | Egypt | 144,414 | 19(↑) |
19 | Mexico | 125,993 | 圏外(↑) |
20 | Germany | 125,968 | 11(↓) |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | CNT |
---|---|---|
1 | CVE-2020-11899 | 3,745,910 |
2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 36 |
3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 26 |
4 | CVE-2017-0143 | 3 |
- Result
- Ripple20の攻撃が300万件を超えていた。先月が5万件程度だったので著しい増加量である。
- 新規の攻撃は無し。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | root | 268,671 |
2 | admin | 88,180 |
3 | user | 70,029 |
4 | sa | 15,307 |
5 | support | 6,918 |
6 | nproc | 6,056 |
7 | test | 5,464 |
8 | guest | 3,705 |
9 | ubnt | 2,534 |
10 | 22 | 1,767 |
11 | postgres | 1,691 |
12 | oracle | 1,409 |
13 | ubuntu | 1,313 |
14 | Admin | 1,108 |
15 | git | 839 |
16 | mysql | 682 |
17 | sh | 596 |
18 | ftpuser | 585 |
19 | www | 529 |
20 | nagios | 502 |
- Result
- 先月から変更なし
- 年間を通してみると、昨年までのsaユーザ(Microsoft SQL Serverの管理者ユーザ)に対する攻撃が下火になった反面、root/admin/userなどクライアント接続用ユーザへの攻撃が増加した
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | admin | 207,442 |
2 | user | 67,841 |
3 | root | 24,971 |
4 | 123456 | 12,149 |
5 | password | 9,896 |
6 | support | 6,682 |
7 | nproc | 6,056 |
8 | 1234 | 5,545 |
9 | 4,354 | |
10 | 123 | 4,210 |
11 | test | 3,360 |
12 | 12345 | 2,899 |
13 | ubnt | 2,778 |
14 | guest | 2,271 |
15 | & | 1,861 |
16 | password123 | 1,855 |
17 | 1 | 1,296 |
18 | 12345678 | 910 |
19 | Admin | 901 |
20 | admin123 | 879 |
- Result
- 先月から変更なし
最後に
ハニーポット運用(月次報告:2020年11月)
今月のTopics
メール送信時にパスワード付きZIP暗号化ファイルを利用する運用が廃止される見通しだ。
平井卓也デジタル改革担当相は11月17日の定例会見で中央省庁においてパスワード付きZIP暗号化ファイルのメール送信を廃止する方針を明らかにした。
パスワード付きZIP暗号化ファイルのメール送信(PPAP)の廃止は2016年から提唱されていた。 PPAPの略は以下の通りとのこと。
- Passwordつきzip暗号化ファイルを送ります
- Passwordを送ります
- Aん号化(暗号化)
- Protocol
PPAPには以下の問題点がある。
- 暗号化によりウィルス対策ソフトが添付ファイルをスキャンできない
- パスワード付きZIP暗号化ファイルとパスワードが同一経路で送信されるため、2通に分けてメール送付しても対策として不十分になる(1通目のメールを傍受できる人は2通目も傍受できるため、分けて送付する意味がない)
内閣府と内閣官房では26日からPPAPの利用が廃止され外部ストレージサービス活用する方針になる。
内閣府が利用する民間のストレージサービスでファイルを共有し、パスワードをメールで送信するとのこと。
上記を受けて、一部の民間企業でもPPAP運用廃止を表明している。
再来年あたりにはデータサイズに限らず添付ファイルのやり取りはPPAPからストレージサービスへ民間企業でも運用が変わっていく気がする。
今月のChangelog
2020/11/30
・suricata-updateによるSuricataルール管理の利用開始
2020/11/26
・suricata.yamlを6.xへアップデート
・Cowrieを2.2.0へアップデート
前提条件
運用日時:2020年11月1日-2020年11月30日
運用期間:30日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先月比 |
---|---|---|---|
1 | Dionaea | 5,529,842 | △924,332 |
2 | Cowrie | 4,751,964 | △824,667 |
3 | Honeytrap | 553,175 | △286,256 |
4 | Heralding | 359,194 | △129,679 |
5 | Rdpy | 129,529 | △71,421 |
6 | Mailoney | 74,747 | ▲13,697 |
7 | Tanner | 5,270 | △852 |
8 | Adbhoney | 4,865 | △1,060 |
9 | Ciscoasa | 1,249 | ▲496 |
10 | ElasticPot | 1,187 | △574 |
11 | CitrixHoneypot | 1,051 | △266 |
12 | ConPot | 713 | △517 |
13 | Medpot | 409 | △401 |
- Result
- 全体的に先月より件数が増加していた。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | Ireland | 1,738,236 | 1(→) |
2 | China | 968,804 | 4(↑) |
3 | Russia | 961,151 | 2(↓) |
4 | Vietnam | 952,322 | 3(↓) |
5 | Panama | 670,471 | 6(↑) |
6 | India | 626,250 | 7(↑) |
7 | United States | 468,754 | 5(↓) |
8 | Brazil | 360,063 | 8(→) |
9 | Indonesia | 312,750 | 9(→) |
10 | Venezuela | 236,305 | 10(→) |
11 | France | 223,935 | 圏外(↑) |
12 | Turkey | 200,097 | 13(↑) |
13 | Taiwan | 192,938 | 15(↑) |
14 | Thailand | 189,886 | 17(↑) |
15 | Ukraine | 189,516 | 14(↓) |
16 | Pakistan | 145,805 | 20(↑) |
17 | Egypt | 140,457 | 19(↑) |
18 | Mexico | 129,914 | 圏外(↑) |
19 | Japan | 127,702 | 12(↓) |
20 | Singapore | 110,994 | 圏外(↑) |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | CNT |
---|---|---|
1 | CVE-2020-11899 | 3,032,279 |
2 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 23 |
3 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 16 |
4 | CVE-2020-8515 CVE-2020-8515 | 4 |
5 | CVE-2020-11910 | 3 |
6 | CVE-2020-11902 | 1 |
- Result
- Ripple20に関する件数が先月の50,898件から60倍に増加した。仮想通貨XRPの価格上昇もあったので、Rippleの今後の動向に注目したい。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | root | 346,057 |
2 | admin | 110,732 |
3 | user | 54,965 |
4 | sa | 52,299 |
5 | support | 28,282 |
6 | test | 10,658 |
7 | nproc | 7,129 |
8 | guest | 2,988 |
9 | Admin | 2,367 |
10 | ubnt | 1,979 |
11 | 22 | 1,629 |
12 | postgres | 1,609 |
13 | oracle | 1,463 |
14 | ubuntu | 1,387 |
15 | git | 906 |
16 | ftpuser | 582 |
17 | mysql | 488 |
18 | nagios | 474 |
19 | student | 442 |
20 | hadoop | 409 |
- Result
- 先月から変更なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | admin | 235,932 |
2 | user | 52,607 |
3 | support | 27,905 |
4 | & | 17,910 |
5 | 123456 | 10,104 |
6 | test | 8,709 |
7 | password | 8,298 |
8 | nproc | 7,129 |
9 | 1234 | 5,694 |
10 | root | 4,999 |
11 | 3,271 | |
12 | 123 | 2,371 |
13 | ubnt | 2,352 |
14 | Admin | 2,248 |
15 | 12345678 | 2,049 |
16 | 12345 | 1,958 |
17 | guest | 1,725 |
18 | password123 | 1,051 |
19 | 1 | 1,048 |
20 | 1qaz2wsx | 881 |
- Result
- 先月から変更なし
最後に
- PPAPの元ネタがピコ太郎さんのペンパイナッポーアッポーペンを元にしているようだ。発想の着眼点は色々なところに転がっている。
- 2020年度のRISSのオンライン講習が11月から開始された。例年に比べて半年遅れの開始になる。12月中に終わらせる予定。 (ง •̀_•́)ง‼ガンバラナ
ハニーポット運用(月次報告:2020年10月)
今月のTopics
2020年10月1日の早朝に発生した東京証券取引所の株式売買システム「arrowhead」にて終日取引停止につながる大規模障害が発生した。
原因は共有ディスク装置の設定不備であり、メモリ故障による障害発生時に、自動的に系切替えする設定が有効化されていなかったとのこと。
障害原因は残念なものであったが、システム停止の意思決定から報道発表、一次対応と恒久対応までの流れは円滑に行われた。
経営者層の方がシステムを十分に把握されていたことも、良い方向に働いた一因であろう。
障害発生時のリカバリ対応として参考になる事例であった。
今月のChangelog
2020/10/28
・Suricataを5.0.4, Spiderfootを3.2.1, Dionaeaを0.9.2へ, IPPHoney, Heralding, Conpotを最新バージョンへアップデート
2020/10/27
・Dicompotを最新バージョンへ, Elastic Stackを7.9.3へアップデート
2020/10/05
・Elastic Stackを7.9.2へアップデート
前提条件
運用日時:2020年10月01日-2020年10月31日
運用期間:31日
運用結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先月比 |
---|---|---|---|
1 | Dionaea | 5,534,597 | △929,087 |
2 | Cowrie | 4,259,575 | △332,278 |
3 | Mailoney | 999,031 | △910,587 |
4 | Heralding | 755,107 | △525,592 |
5 | Honeytrap | 498,737 | △231,818 |
6 | Rdpy | 126,975 | △68,867 |
7 | Tanner | 5,259 | △841 |
8 | Adbhoney | 4,245 | △440 |
9 | Ciscoasa | 2,068 | △323 |
10 | CitrixHoneypot | 1,042 | △257 |
11 | ElasticPot | 470 | ▲143 |
12 | ConPot | 135 | ▲61 |
13 | Medpot | 2 | ▲6 |
- Result
- 先月と比較して全体的にアクセス件数が増加していた。
- Mailoneyが90万件弱増加しており、特徴的に増加している。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | Ireland | 1,660,134 | 1(→) |
2 | United States | 1,313,815 | 5(↑) |
3 | Russia | 1,084,938 | 2(↓) |
4 | Vietnam | 960,275 | 3(↓) |
5 | China | 785,021 | 4(↓) |
6 | Panama | 566,936 | 6(→) |
7 | Japan | 518,825 | 12(↑) |
8 | India | 517,395 | 7(↓) |
9 | Brazil | 342,104 | 8(↓) |
10 | Indonesia | 330,956 | 9(↓) |
11 | Venezuela | 260,803 | 10(↓) |
12 | Republic of Moldova | 255,019 | 16(↑) |
13 | Turkey | 232,952 | 13(→) |
14 | Germany | 230,822 | 11(↓) |
15 | Taiwan | 195,222 | 15(→) |
16 | Thailand | 163,527 | 17(↑) |
17 | France | 147,898 | 圏外(↑) |
18 | Pakistan | 147,522 | 20(↑) |
19 | Singapore | 146,681 | 圏外(↑) |
20 | Ukraine | 134,954 | 14(↓) |
- Result
data: "Content-Type: text/plain; charset=\"iso-8859-1\" MIME-Version: 1.0 Content-Transfer-Encoding: quoted-printable Content-Description: Mail message body Subject: Good news To: xxxxx@comcast.net From: \"BARRISTER EMEKA ANI OFR\" <chiocca@gethal.com.br> Date: Wed, 28 Oct 2020 08:51:34 -0700 Reply-To: xxxxx@gmail.com Good news, After our verification with (F.B.I) agents they appoint me to contact you . We got your contact to the paying bank which your compensation payment is over due valued $6 Million USD, which is in your ATM card, and i am he= re to ask you have you abandon your fund can you inform me what is the prob= lem so that i can know how to assist you, as a law maker i we help you to r= eceive your fund if you cooperate with me . BARRISTER EMEKA ANI OFR EMEKA ANI LAW ASSOCIATES SOLICITORS AND PUBLIC NOTARIES", 図:2020-10-28 15:52:14 に観測したメールデータより
日時 | 件数 |
---|---|
10/20 00時 | 28件 |
10/20 12時 | 33,428件 |
10/28 12時 | 605,072件 |
10/29 00時 | 387,610件 |
10/20からアクセスが始まり、10/28~10/29にかけてのアクセス件数が非常に多くなっていた。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | CNT |
---|---|---|
1 | CVE-2020-11899 | 55,395 |
2 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 25 |
3 | CVE-2020-11910 | 19 |
4 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 18 |
5 | CVE-2020-8515 CVE-2020-8515 | 3 |
- Result
- 先月から変更なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | root | 252,186 |
2 | admin | 131,004 |
3 | sa | 32,376 |
4 | user | 22,109 |
5 | support | 17,368 |
6 | guest | 16,010 |
7 | ubnt | 7,357 |
8 | nproc | 6,152 |
9 | Admin | 3,751 |
10 | test | 3,050 |
11 | 22 | 2,352 |
12 | ubuntu | 1,816 |
13 | postgres | 1,584 |
14 | oracle | 1,318 |
15 | git | 826 |
16 | ftpuser | 774 |
17 | 666666 | 584 |
18 | testuser | 473 |
19 | mysql | 462 |
20 | user1 | 434 |
- Result
- 先月から変更なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | admin | 209,567 |
2 | & | 30,182 |
3 | root | 24,326 |
4 | support | 17,168 |
5 | 1234 | 15,832 |
6 | guest | 14,506 |
7 | password | 14,325 |
8 | 123456 | 11,286 |
9 | user | 9,925 |
10 | ubnt | 8,013 |
11 | nproc | 6,152 |
12 | 12345678 | 3,799 |
13 | Admin | 3,695 |
14 | 3,314 | |
15 | 123 | 2,879 |
16 | 12345 | 2,175 |
17 | test | 1,740 |
18 | Password | 1,524 |
19 | 1 | 1,055 |
20 | 123123 | 795 |
- Result
- 先月から変更なし
最後に
ハニーポット運用(月次報告:2020年9月)
今月のTopics
2020年9月はキャッシュレス決済における重大なセキュリティインシデントが発生した。 NTTドコモの電子マネー決済サービス「ドコモ口座」の不正利用が明らかになり 被害件数、被害規模は9月27日時点で全国11の銀行で合計219件、被害額は2,848万円にまでのぼった。
またゆうちょ銀行においても「ドコモ口座」など、連携している電子決済サービスのほか、 銀行が発行するデビット・プリペイドカードの「mijica」でも不正な貯金の引き出しが発生した。 2017年7月から9月22日までの間におよそ380件、金額にしておよそ6000万円にのぼっている。
被害金額の保障を含めたインシデント対応のコストを考えた場合、セキュリティ対策用の予算を 確保することが無駄ではないと、再認識させられるだろう。
今月のChangelog
2020/09/04
・T-Pot 20.06.1のリリース
・Elastic Stack 7.9.1へのアップデート
・docker imagesの再構築
・古くなったreferencesやリンクの削除
前提条件
運用日時:2020年09月01日-2020年09月30日
運用期間:30日
運用結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先月比 |
---|---|---|---|
1 | Dionaea | 5354269 | △748,759 |
2 | Cowrie | 3944126 | △16,829 |
3 | Honeytrap | 466006 | △199,087 |
4 | Heralding | 278798 | △49,283 |
5 | Rdpy | 147490 | △89,382 |
6 | Mailoney | 48943 | ▲39,501 |
7 | Adbhoney | 4998 | △1,193 |
8 | Tanner | 3975 | ▲443 |
9 | Ciscoasa | 3372 | △1,627 |
10 | CitrixHoneypot | 1006 | △221 |
11 | ElasticPot | 557 | ▲56 |
12 | ConPot | 64 | ▲132 |
13 | Medpot | 3 | ▲5 |
- Result
- Mailoneyの件数が先月より減少。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | Ireland | 1,717,148 | 1(→) |
2 | Vietnam | 930,133 | 3(↑) |
3 | Russia | 927,028 | 2(↓) |
4 | China | 566,515 | 4(→) |
5 | India | 498,619 | 7(↑) |
6 | United States | 458,301 | 5(↓) |
7 | Panama | 445,621 | 6(↓) |
8 | Brazil | 327,419 | 8(→) |
9 | Indonesia | 292,408 | 9(→) |
10 | Netherlands | 263,058 | 18(↑) |
11 | Germany | 242,825 | 11(→) |
12 | Japan | 239,427 | 12(→) |
13 | Venezuela | 229,258 | 10(↓) |
14 | Republic of Moldova | 216,311 | 16(↑) |
15 | France | 205,947 | 圏外(↑) |
16 | Turkey | 204,922 | 13(↓) |
17 | Taiwan | 165,389 | 15(↓) |
18 | Thailand | 149,033 | 17(↓) |
19 | Ukraine | 142,056 | 14(↓) |
20 | Egypt | 113,973 | 19(↓) |
- Result
- アクセス数の多い国の動向について先月より変更なし。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | CNT |
---|---|---|
1 | CVE-2020-11899 | 55,549 |
2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 967 |
3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 34 |
4 | CVE-2020-8515 CVE-2020-8515 | 11 |
5 | CVE-2020-11910 | 9 |
6 | CVE-2017-6316 CVE-2017-6316 | 4 |
参考URL
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | root | 316,357 |
2 | admin | 69,067 |
3 | sa | 45,749 |
4 | support | 19,509 |
5 | guest | 19,067 |
6 | user | 13,762 |
7 | ubnt | 7,470 |
8 | nproc | 5,176 |
9 | test | 4,939 |
10 | Admin | 3,149 |
11 | postgres | 2,260 |
12 | 22 | 1,753 |
13 | ubuntu | 1,544 |
14 | oracle | 1,326 |
15 | git | 907 |
16 | www | 644 |
17 | ftpuser | 606 |
18 | mysql | 520 |
19 | deploy | 447 |
20 | nagios | 440 |
- Result
- 先月から変更なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | admin | 232,134 |
2 | & | 27,226 |
3 | root | 20,703 |
4 | support | 19,364 |
5 | user | 11,964 |
6 | 10,587 | |
7 | guest | 10,305 |
8 | ubnt | 7,856 |
9 | 123456 | 6,136 |
10 | password | 6,035 |
11 | nproc | 5,176 |
12 | 12345678 | 3,745 |
13 | test | 3,568 |
14 | Admin | 2,964 |
15 | 1234 | 2,944 |
16 | 123 | 2,120 |
17 | 12345 | 1,715 |
18 | Password | 1,138 |
19 | 1 | 904 |
20 | 1q2w3e4r | 849 |
- Result
8月に観測された不思議なパスワード
aqweasdfgfdgfdh
が圏外だが9月も観測されていた。
内訳としてはMicrosoft-SQL-Server向けの1433ポートに対するアクセスであり定期的に中国、インドネシア、北朝鮮などから受けている。意味のある文字列には見えないため、exploitツールに仕込まれた文字だろうか?
- 同じことを疑問に思われた方がいたようだ。
twitter.com
最後に
- 2020年9月の日本国内からSatoriマルウェアによりアクセスされた回数は2件だけだった。
- 10/10 15時からのSECCON2020に筆者も参加予定。1問だけでも解答を目指す。(ง •̀_•́)ง‼