ハニーポット運用(月次報告:2019年12月)
T-Potにて1か月運用した結果を記載する。
前提条件
運用日時:2019年12月2日-2020年1月2日
運用期間:30日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 |
|---|---|---|
| 1 | Dionaea | 12,807,727 |
| 2 | Cowrie | 2,620,739 |
| 3 | Honeytrap | 444,010 |
| 4 | Heralding | 276,083 |
| 5 | Mailoney | 81,171 |
| 6 | Rdpy | 15,900 |
| 7 | Tanner | 10,181 |
| 8 | Adbhoney | 4,358 |
| 9 | Ciscoasa | 858 |
| 10 | ConPot | 112 |
| 11 | ElasticPot | 79 |
| 12 | Medpot | 1 |
- Result
- DionaeaとCowrieへの攻撃が大半を占めている。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 |
|---|---|---|
| 1 | Russia | 1,869,575 |
| 2 | Vietnam | 1,726,333 |
| 3 | India | 1,145,893 |
| 4 | China | 877,646 |
| 5 | Indonesia | 862,399 |
| 6 | Taiwan | 827,415 |
| 7 | Japan | 730,977 |
| 8 | Ireland | 637,234 |
| 9 | United States | 510,998 |
| 10 | Republic of Korea | 459,033 |
| 11 | Brazil | 455,151 |
| 12 | Philippines | 424,371 |
| 13 | Ukraine | 384,728 |
| 14 | Thailand | 367,964 |
| 15 | Egypt | 352,857 |
| 16 | Poland | 319,087 |
| 17 | Mexico | 241,552 |
| 18 | Turkey | 186,442 |
| 19 | Netherlands | 161,598 |
| 20 | Venezuela | 155,657 |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | CNT |
|---|---|---|
| 1 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 406 |
| 2 | CVE-2019-0708 CVE-2019-0708 | 36 |
- Result
- No1に「Wind River VxWorks におけるバッファエラーの脆弱性」、No2に「リモート デスクトップ サービスのリモートでコードが実行される脆弱性(BlueKeep)」の脆弱性が報告されている。CVSSはともに9.8と非常に深刻な脆弱性になっている。
No1に「Wind River VxWorks におけるバッファエラーの脆弱性」はアメリカのWindRiver社が提供する組み込み型のリアルタイムOS(RTOS)における脆弱性になる。
Wind River VxWorks におけるバッファエラーの脆弱性
https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-007849.html
No2「リモート デスクトップ サービスのリモートでコードが実行される脆弱性(BlueKeep)」については深刻度が非常に高く、Microsoft社からも緊急パッチが提供されている。(サポート期限切れのWindows2003/XP版も提供されている。)
CVE-2019-0708 のユーザー向けガイダンス | リモート デスクトップ サービスのリモートでコードが実行される脆弱性: 2019 年 5 月 15 日
https://support.microsoft.com/ja-jp/help/4500705/customer-guidance-for-cve-2019-07082019年以降のCVEが検知されているが、過去2018年以前のCVEが検知できていない。理由を調査する予定。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | sa | 4,507,337 |
| 2 | root | 212,063 |
| 3 | admin | 46,481 |
| 4 | support | 6,498 |
| 5 | nproc | 3,815 |
| 6 | user | 2,665 |
| 7 | test | 2,582 |
| 8 | guest | 2,161 |
| 9 | mysql | 1,892 |
| 10 | server | 1,696 |
| 11 | backup | 1,688 |
| 12 | postgres | 834 |
| 13 | 111111 | 774 |
| 14 | sh | 719 |
| 15 | 695 | |
| 16 | ftpuser | 564 |
| 17 | ftp | 504 |
| 18 | 22 | 481 |
| 19 | operator | 466 |
| 20 | 123321 | 452 |
- Result
- Microsoft SQL Serverがハニーポットに含まれていることから管理者ユーザのsaに対する攻撃が非常に多く検知されている。
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 190,667 |
| 2 | & | 17,029 |
| 3 | support | 6,133 |
| 4 | root | 5,529 |
| 5 | 4,279 | |
| 6 | password | 4,094 |
| 7 | 123456 | 4,036 |
| 8 | nproc | 3,735 |
| 9 | 12345678 | 2,703 |
| 10 | user | 2,062 |
| 11 | 123456789 | 1,752 |
| 12 | 1qaz2wsx | 1,610 |
| 13 | 1234567890 | 1,590 |
| 14 | 1q2w3e4r | 1,563 |
| 15 | 00000000 | 1,417 |
| 16 | 11111111 | 1,311 |
| 17 | 11223344 | 1,180 |
| 18 | 88888888 | 1,154 |
| 19 | iloveyou | 1,139 |
| 20 | 12345 | 1,040 |
- Result
- adminや数字の羅列は基本的にすべて攻撃時に試行されるので使ってはいけない。
- 1q2w3e4rのようにキーボードの並びに従ったパスワードも危険である。
