コロナウィルスの影響により様々なイベントが中止になっている。
筆者も金沢で予定されていたMicro Hardeningのセミナー出席が中止になった。
マスクやトイレットペーパーの買い占めも続いているので早く日常が戻ることを祈るばかりだ。
T-Potにて9日間運用した結果を記載する。
(※2月途中でT-Potを再構築しているため2月は9日分のみになる)
前提条件
運用日時:2020年2月20日-2020年2月29日
運用期間:9日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No |
ハニーポット |
件数 |
先月比 |
1 |
Dionaea |
2,251,888 |
▲7,756,564 |
2 |
Honeytrap |
1,244,265 |
△1,005,052 |
3 |
Cowrie |
1,139,644 |
▲1,888,138 |
4 |
Heralding |
513,721 |
▲33,903 |
5 |
Mailoney |
55,318 |
△19,614 |
6 |
Rdpy |
4,648 |
▲16,806 |
7 |
Adbhoney |
2,177 |
▲3,009 |
8 |
Tanner |
1,206 |
▲6,412 |
9 |
Ciscoasa |
198 |
▲1,748 |
10 |
ElasticPot |
9 |
▲30 |
11 |
Medpot |
3 |
▲18 |
- Result
- 相変わらずDionaeaへの攻撃が一番多い。Honeytrapへの攻撃が急増しCowrieへの攻撃件数を追い抜いた。
- 検証期間が減ったため全体的な攻撃件数が先月比で減少しているが、HoneytrapとMailoneyはむしろ増加している。
②攻撃元の国名と件数(Top 20)
No |
攻撃元の国名 |
件数 |
先月順位 |
1 |
France |
1,196,749 |
圏外(↑) |
2 |
Vietnam |
432,209 |
2(→) |
3 |
Russia |
406,544 |
1(↓) |
4 |
Japan |
259,893 |
11(↑) |
5 |
China |
234,577 |
9(↑) |
6 |
Ireland |
234,014 |
4(↓) |
7 |
Indonesia |
157,860 |
6(↓) |
8 |
India |
148,514 |
3(↓) |
9 |
United States |
117,019 |
12(↑) |
10 |
Brazil |
106,216 |
7(↓) |
11 |
Bulgaria |
91,579 |
圏外(↑) |
12 |
Venezuela |
84,915 |
14(↑) |
13 |
Netherlands |
69,342 |
圏外(↑) |
14 |
Cambodia |
69,031 |
圏外(↑) |
15 |
Hong Kong |
67,768 |
15(→) |
16 |
Republic of Moldova |
66,926 |
17(↑) |
17 |
Bangladesh |
66,879 |
20(↑) |
18 |
Taiwan |
64,486 |
5(↓) |
19 |
Singapore |
60,387 |
圏外(↑) |
20 |
Republic of Korea |
56,302 |
10(↓) |
- Result
- フランスがロシアを抜き、堂々の1位に立った。続いてベトナムが2位に入り、いつも1位だったロシアが3位に後退した。
- 日本:4位、中国:5位、アイルランド:6位で各地域でばらけている。日本は大阪からの攻撃が多かった。
※参考までに各都市別でみると以下になる。
No |
攻撃元の都市名 |
件数 |
1 |
Strasbourg |
1,172,394 |
2 |
Hanoi |
295,780 |
3 |
Macroom |
233,610 |
4 |
Osaka |
231,991 |
5 |
Ho Chi Minh City |
100,726 |
6 |
Bibayevo-Chelny |
86,456 |
7 |
Beijing |
70,634 |
8 |
Sihanoukville |
69,004 |
9 |
Dhaka |
66,490 |
10 |
Singapore |
59,283 |
11 |
Central District |
57,760 |
12 |
Hangzhou |
42,475 |
13 |
Gdańsk |
39,700 |
14 |
Caracas |
38,195 |
15 |
Jakarta |
34,505 |
16 |
Magetan |
33,709 |
17 |
Craiova |
32,940 |
18 |
Bengaluru |
32,455 |
19 |
Richmond |
32,408 |
20 |
Colombo |
25,213 |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No |
CVE ID |
CNT |
1 |
CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 |
51 |
2 |
CVE-2019-0708 CVE-2019-0708 |
11 |
- Result
- No1の「Wind River VxWorks におけるバッファエラーの脆弱性」とNo2の「リモート デスクトップ サービスのリモートでコードが実行される脆弱性(BlueKeep)」が先月に続き検知されている。次回以降はSuricataの詳細ログを追ってみたいと思う。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No |
ユーザ名 |
件数 |
1 |
sa |
541,424 |
2 |
root |
73,749 |
3 |
admin |
24,549 |
4 |
sh |
10,798 |
5 |
enable |
4,296 |
6 |
user |
3,520 |
7 |
linuxshell |
2,410 |
8 |
support |
1,546 |
9 |
nproc |
916 |
10 |
test |
838 |
11 |
postgres |
713 |
12 |
guest |
693 |
13 |
oracle |
557 |
14 |
ubuntu |
544 |
15 |
administrator |
417 |
16 |
iptables -F |
363 |
17 |
mysql |
341 |
18 |
ftp |
302 |
19 |
ts3 |
292 |
20 |
web |
286 |
- Result
- saに対する攻撃が多いのは相変わらず。ミドルウェア製品で内蔵DBにMSSQLを使用している場合もインターネットへ公開する際は注意が必要になる。
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No |
パスワード |
件数 |
1 |
admin |
73,114 |
2 |
shell |
10,794 |
3 |
123456 |
7,550 |
4 |
& |
5,700 |
5 |
system |
4,505 |
6 |
password |
4,252 |
7 |
user |
2,866 |
8 |
12345 |
2,451 |
9 |
development |
2,410 |
10 |
1234 |
2,375 |
11 |
12345678 |
2,352 |
12 |
123 |
2,284 |
13 |
password123 |
2,243 |
14 |
qwerty |
1,904 |
15 |
1234567890 |
1,697 |
16 |
123123 |
1,538 |
17 |
|
1,492 |
18 |
pass |
1,483 |
19 |
1 |
1,469 |
20 |
support |
1,243 |
- Result
- 先月に引き続き攻撃対象の文字種は決まっている。これはMiraiなどのMalwareが使用する攻撃対象の文字列が固定されているためと考えられる。
最後に
- 都合により2月は検証期間が短くなったが、1か月のスパンと比較して結果に差がみられた。攻撃対象のハニーポットや攻撃元の国は中長期的にならすと大体毎月同じ傾向になるが、短期だと特定の攻撃により短時間で一つのログ量が顕著に増加する傾向にある。計測期間が短いにも関わらずHoneytrapとMailoneyへの攻撃件数が増加しているのは驚かされた。
- ConoHa VPSはハニーポット運用がダメらしい。 ハニーポット運用をする上で注意すべき法律や法令について次回以降調べてみたい。
- 自宅でハニーポットを立てる場合、NTTフレッツのマルチセッションを使えば固定グローバルIPと普段使いのプライベートIPを分けて運用することができる。 VPS利用と自宅環境で利用する場合の2パターンのメリット・デメリットを比較したい。