Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2020年6月)

7月から会社通勤が再開しリモートワークが解除された。
フルタイム勤務になり本社通いが始まったので、ハニーポットの確認時間はかなり減っている。
取り敢えずコロナウィルスに感染して周りの人に迷惑が掛からないようにはしたい。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

6/30に大規模な変更があった。

  • T-Pot バージョン 20.06 のリリース
  • Debian10(buster)への対応
  • 新規ハニーポットの追加
    ・Dicompot(医療用プロトコルであるDICOMのハニーポット)
    ・Honeysap(SAP services用のハニーポット)
    ・Elasticpot(Elasticsearch用のハニーポット)
  • 最新のdockerイメージの対応
  • インストールタイプの変更
    ・NextGenインストール版ハニーポットのStandard版インストールへの対応
    ・Medicalインストール版(DicompotとMedpotを使った医療用インストールタイプ)の追加
  • Toolのアップデート
  • ランディングページの追加
  • 細かな微修正と改善の実施

前提条件

運用日時:2020年6月1日-2020年6月30日
運用期間:30日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先々月比
1 Dionaea 4,658,445 △373,090
2 Cowrie 3,022,480 ▲847,010
3 Heralding 1,385,656 ▲664,064
4 Honeytrap 603,289 △364,007
5 Rdpy 68,422 ▲3,612
6 Mailoney 35,276 △29,698
7 Tanner 5,050 ▲528
8 Ciscoasa 2,428 ▲458
9 Adbhoney 2,426 ▲1,371
10 ElasticPot 1,226 ▲351
11 Medpot 535 △530
12 ConPot 373 △259
  • Result
    • Dionaea、CowrieとHeraldingへの攻撃件数は先月と似たような数であった。
    • Mailoneyに対する攻撃が1.5倍ほど増えていた。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Russia 1,630,567 1(→)
2 China 845,068 3(↑)
3 Vietnam 802,724 4(↑)
4 Ireland 539,702 2(↓)
5 United States 403,820 6(↑)
6 Republic of Moldova 350,902 7(↑)
7 India 339,744 11(↑)
8 Brazil 276,947 12(↑)
9 Indonesia 266,242 14(↑)
10 Bulgaria 224,977 9(↓)
11 Venezuela 223,218 13(↑)
12 Japan 211,063 8(↓)
13 Panama 207,289 5(↓)
14 France 192,224 15(↑)
15 Turkey 179,344 17(↑)
16 Ukraine 176,384 18(↑)
17 Taiwan 168,718 16(↓)
18 United Kingdom 133,384 19(↑)
19 Republic of Korea 124,154 圏外(↑)
20 Thailand 122,304 20(→)
  • Result
    • 全体の攻撃件数は10万件程、先月よりも増えている。
    • ロシア(1位),中国(2位),ベトナム(3位),アイルランド(4位),アメリカ(5位)と上位陣に大きな変更は無い。
    • 日本(12位),パナマ(13位)からの攻撃件数が10万件単位で減っている。

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID CNT
1 CVE-2020-11899 11,425
2 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 36
3 CVE-2020-8515 CVE-2020-8515 25
4 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 7
  • Result
    • No1で新規攻撃を検知した。今まで多くて3桁台の検知数が最高だったため,5桁台の攻撃検知数はよほどよく狙われていることが分かる。
    • No1のCVE-2020-11899はTreck社が提供するTCP/IPスタックに関する脆弱性になる。リモートでサービス運用妨害 (DoS),情報漏洩,任意のコード実行の攻撃を受ける可能性がある。
    • 原著は脆弱性報告者のJSOF氏が記載したRipple20が元になっている。

www.jsof-tech.com

treck.com

https://kb.cert.org/vuls/id/257161

www.security-next.com


④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No ユーザ名 件数
1 root 219,051
2 admin 80,430
3 sa 21,493
4 support 11,195
5 user 10,636
6 nproc 5,157
7 test 3,180
8 postgres 2,469
9 oracle 2,044
10 ubuntu 1,724
11 ubnt 1,135
12 tornado 1,009
13 sh 828
14 git 804
15 22 794
16 ftpuser 706
17 enable 669
18 guest 661
19 deploy 659
20 www 595
  • Result
    • 先月に続き、root(1位),admin(2位)などのサーバログイン用のユーザ名の攻撃件数が多い傾向があった。
    • MSSQLのデータベースよりもリモートワークで利用される端末やサーバなどの攻撃への攻撃が相変わらず多い。

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No パスワード 件数
1 admin 130,185
2 & 24,554
3 123456 12,461
4 support 11,008
5 user 8,088
6 password 6,850
7 12345678 5,568
8 nproc 5,157
9 123 4,143
10 root 2,405
11 12345 2,027
12 Password 1,989
13 ????? 1,970
14 1234 1,919
15 1,884
16 1q2w3e4r 1,438
17 ?????? 1,304
18 1 1,145
19 123123 903
20 1qaz2wsx 899
  • Result
    • 13位と17位に非可読性の文字列が設定されており、?で表示されている。どのような文字列でアクセスされていたかは確認しておきたい。
    • 先月観測されたmiraiの亜種に似たアクセス(/bin/busybox FBOT)は今月は観測されていなかった。

最後に

  • 今回の調査で印象的だったのはCVE-2020-11899の攻撃件数の多さである。通常(100件台)と比較すると10,000件台は有意に多い。(中の人も大興奮である。)
    このことは、より攻撃が狙いやすくかつ実行しやすい脆弱性であるためと考えられる。
  • Mirai亜種の攻撃は減少しており、日本国内で普及していない機器への攻撃は一過性の傾向と考えられそうだ。
  • T-Potのバージョンが19.03→20.06に更新されたため、近いうちにバージョンアップ予定。医療系セキュリティは脆弱性な部分が多いと感じていたので、Dicompotはかなり興味ある。
  • 緊急事態宣言は解除されたが、コロナウィルスの感染者は再度増加しており第2波の影響が懸念される。再度の休業要請がかかることはあり得るのだろうか?
  • 東京都知事選も終わり、来年のオリンピック開催に向けて(開催可否の判断も含めて)2020年後半は正念場の年になるだろう。