ハニーポット運用(月次報告:2020年10月)
今月のTopics
2020年10月1日の早朝に発生した東京証券取引所の株式売買システム「arrowhead」にて終日取引停止につながる大規模障害が発生した。
原因は共有ディスク装置の設定不備であり、メモリ故障による障害発生時に、自動的に系切替えする設定が有効化されていなかったとのこと。
障害原因は残念なものであったが、システム停止の意思決定から報道発表、一次対応と恒久対応までの流れは円滑に行われた。
経営者層の方がシステムを十分に把握されていたことも、良い方向に働いた一因であろう。
障害発生時のリカバリ対応として参考になる事例であった。
今月のChangelog
2020/10/28
・Suricataを5.0.4, Spiderfootを3.2.1, Dionaeaを0.9.2へ, IPPHoney, Heralding, Conpotを最新バージョンへアップデート
2020/10/27
・Dicompotを最新バージョンへ, Elastic Stackを7.9.3へアップデート
2020/10/05
・Elastic Stackを7.9.2へアップデート
前提条件
運用日時:2020年10月01日-2020年10月31日
運用期間:31日
運用結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先月比 |
---|---|---|---|
1 | Dionaea | 5,534,597 | △929,087 |
2 | Cowrie | 4,259,575 | △332,278 |
3 | Mailoney | 999,031 | △910,587 |
4 | Heralding | 755,107 | △525,592 |
5 | Honeytrap | 498,737 | △231,818 |
6 | Rdpy | 126,975 | △68,867 |
7 | Tanner | 5,259 | △841 |
8 | Adbhoney | 4,245 | △440 |
9 | Ciscoasa | 2,068 | △323 |
10 | CitrixHoneypot | 1,042 | △257 |
11 | ElasticPot | 470 | ▲143 |
12 | ConPot | 135 | ▲61 |
13 | Medpot | 2 | ▲6 |
- Result
- 先月と比較して全体的にアクセス件数が増加していた。
- Mailoneyが90万件弱増加しており、特徴的に増加している。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | Ireland | 1,660,134 | 1(→) |
2 | United States | 1,313,815 | 5(↑) |
3 | Russia | 1,084,938 | 2(↓) |
4 | Vietnam | 960,275 | 3(↓) |
5 | China | 785,021 | 4(↓) |
6 | Panama | 566,936 | 6(→) |
7 | Japan | 518,825 | 12(↑) |
8 | India | 517,395 | 7(↓) |
9 | Brazil | 342,104 | 8(↓) |
10 | Indonesia | 330,956 | 9(↓) |
11 | Venezuela | 260,803 | 10(↓) |
12 | Republic of Moldova | 255,019 | 16(↑) |
13 | Turkey | 232,952 | 13(→) |
14 | Germany | 230,822 | 11(↓) |
15 | Taiwan | 195,222 | 15(→) |
16 | Thailand | 163,527 | 17(↑) |
17 | France | 147,898 | 圏外(↑) |
18 | Pakistan | 147,522 | 20(↑) |
19 | Singapore | 146,681 | 圏外(↑) |
20 | Ukraine | 134,954 | 14(↓) |
- Result
data: "Content-Type: text/plain; charset=\"iso-8859-1\" MIME-Version: 1.0 Content-Transfer-Encoding: quoted-printable Content-Description: Mail message body Subject: Good news To: xxxxx@comcast.net From: \"BARRISTER EMEKA ANI OFR\" <chiocca@gethal.com.br> Date: Wed, 28 Oct 2020 08:51:34 -0700 Reply-To: xxxxx@gmail.com Good news, After our verification with (F.B.I) agents they appoint me to contact you . We got your contact to the paying bank which your compensation payment is over due valued $6 Million USD, which is in your ATM card, and i am he= re to ask you have you abandon your fund can you inform me what is the prob= lem so that i can know how to assist you, as a law maker i we help you to r= eceive your fund if you cooperate with me . BARRISTER EMEKA ANI OFR EMEKA ANI LAW ASSOCIATES SOLICITORS AND PUBLIC NOTARIES", 図:2020-10-28 15:52:14 に観測したメールデータより
日時 | 件数 |
---|---|
10/20 00時 | 28件 |
10/20 12時 | 33,428件 |
10/28 12時 | 605,072件 |
10/29 00時 | 387,610件 |
10/20からアクセスが始まり、10/28~10/29にかけてのアクセス件数が非常に多くなっていた。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | CNT |
---|---|---|
1 | CVE-2020-11899 | 55,395 |
2 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 25 |
3 | CVE-2020-11910 | 19 |
4 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 18 |
5 | CVE-2020-8515 CVE-2020-8515 | 3 |
- Result
- 先月から変更なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | root | 252,186 |
2 | admin | 131,004 |
3 | sa | 32,376 |
4 | user | 22,109 |
5 | support | 17,368 |
6 | guest | 16,010 |
7 | ubnt | 7,357 |
8 | nproc | 6,152 |
9 | Admin | 3,751 |
10 | test | 3,050 |
11 | 22 | 2,352 |
12 | ubuntu | 1,816 |
13 | postgres | 1,584 |
14 | oracle | 1,318 |
15 | git | 826 |
16 | ftpuser | 774 |
17 | 666666 | 584 |
18 | testuser | 473 |
19 | mysql | 462 |
20 | user1 | 434 |
- Result
- 先月から変更なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | admin | 209,567 |
2 | & | 30,182 |
3 | root | 24,326 |
4 | support | 17,168 |
5 | 1234 | 15,832 |
6 | guest | 14,506 |
7 | password | 14,325 |
8 | 123456 | 11,286 |
9 | user | 9,925 |
10 | ubnt | 8,013 |
11 | nproc | 6,152 |
12 | 12345678 | 3,799 |
13 | Admin | 3,695 |
14 | 3,314 | |
15 | 123 | 2,879 |
16 | 12345 | 2,175 |
17 | test | 1,740 |
18 | Password | 1,524 |
19 | 1 | 1,055 |
20 | 123123 | 795 |
- Result
- 先月から変更なし