Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2020年5月)

6月1日に緊急事態宣言が解除された。
外出の規制が緩和され店舗営業も再開されつつあり、日常が少しずつ戻りつつある。

気づくと6月に入り梅雨の時期である。
本来であれば7月はオリンピック開催期間だったと考えると
世の中何が起こるか本当に分からない。

T-Potにて1か月運用した結果を記載する。

前提条件

運用日時:2020年5月1日-2020年5月31日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先々月比
1 Dionaea 4,285,355 ▲4,247,982
2 Cowrie 3,869,490 △1,154,410
3 Heralding 2,049,720 △454,851
4 Honeytrap 239,282 ▲279,872
5 Rdpy 72,034 △31,109
6 Tanner 8,571 △4,455
7 Mailoney 5,578 △4,067
8 Adbhoney 3,797 ▲1,142
9 Ciscoasa 2,886 △1,240
10 ElasticPot 1,577 △1,089
11 ConPot 114 -
12 Medpot 5 -
  • Result
    • Dionaeaへの攻撃件数が大幅に減少し、CowrieとHeraldingへの攻撃件数が増加していた。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Russia 1,579,958 2(↑)
2 Ireland 856,508 5(↑)
3 China 789,105 1(↓)
4 Vietnam 677,299 3(↓)
5 Panama 403,694 15(↑)
6 United States 364,218 9(↑)
7 Republic of Moldova 348,450 16(↑)
8 Japan 321,746 7(↓)
9 Bulgaria 318,133 6(↓)
10 Netherlands 287,231 20(↑)
11 India 283,409 13(↑)
12 Brazil 247,433 14(↑)
13 Venezuela 243,679 17(↑)
14 Indonesia 202,545 10(↓)
15 France 182,049 10(↓)
16 Taiwan 179,869 8(↓)
17 Turkey 157,552 18(↑)
18 Ukraine 142,485 11(↓)
19 United Kingdom 123,535 圏外(↑)
20 Thailand 115,859 圏外(↑)
  • Result
    • ロシア(1位)が1位に返り咲いた。4位までは先月と比べて変わりないが、パナマ(5位)、モルドバ共和国(7位)の攻撃件数が2倍近く増加していた。
    • 中国からの攻撃件数は100万件ほど減少している。攻撃キャンペーンは下火になりつつある。(米中摩擦の影響でまた増えそうでもあるが)  

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID CNT
1 CVE-2020-8515 CVE-2020-8515 98
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 65
3 CVE-2019-0708 CVE-2019-0708 39
4 CVE-2020-11651 CVE-2020-11651 4
  • Result
    • 先月より大きな変更点は無し。

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No ユーザ名 件数
1 root 254,273
2 admin 126,968
3 support 9,403
4 nproc 6,080
5 user 4,338
6 test 3,118
7 postgres 2,244
8 sa 2,166
9 ubuntu 1,743
10 sh 1,348
11 enable 1,243
12 deploy 1,215
13 ping ; sh 1,029
14 default 907
15 oracle 855
16 guest 795
17 git 741
18 ftpuser 581
19 mysql 538
20 666666 536
  • Result
    • MSSQLのユーザ名であるsaの攻撃件数が減少しroot(1位),admin(2位)などのサーバログイン用のユーザ名の攻撃件数が多い傾向があった。

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No パスワード 件数
1 admin 239,570
2 & 33,889
3 123456 23,798
4 support 9,224
5 password 7,093
6 nproc 6,080
7 6,075
8 12345678 6,050
9 123 3,188
10 user 2,401
11 Password 2,231
12 12345 1,942
13 root 1,712
14 1234 1,646
15 1q2w3e4r 1,401
16 system 1,335
17 shell 1,273
18 /bin/busybox FBOT 995
19 test 896
20 1qaz2wsx 872
  • Result
    • 攻撃件数については先月より大きな変更点は無し。
    • 18位の/bin/busybox FBOTはHajimeボットの特徴に類似している。
      mirai以外のmalwareによるIoT機器への攻撃が増加している。

最後に

  • 各国で緊急事態宣言が解除され、ポストコロナへの動きが加速している。
  • ①各ハニーポットで検知したAttack件数 ではDionaeaの攻撃件数が減少し、④よく攻撃されるユーザ名でsaユーザへの攻撃が減少したことから従来のMSSQLサーバへの攻撃からリモートワークで利用される端末やサーバなどの攻撃へ傾向が遷移していると感じた。
  • ②攻撃元の国名と件数(Top 20) で確認したパナマモルドバ共和国からの攻撃件数増加があった。Hajimeボットの攻撃件数増加と関連付けた場合、⽇本国内ではあまり普及していない機器を攻撃対象とすることから有意な関連がある可能性もある。一過性の傾向であるかは継続して確認を進めたい。