Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2020年10月)

Honeypot セキュリティ

今月のTopics

2020年10月1日の早朝に発生した東京証券取引所の株式売買システム「arrowhead」にて終日取引停止につながる大規模障害が発生した。
原因は共有ディスク装置の設定不備であり、メモリ故障による障害発生時に、自動的に系切替えする設定が有効化されていなかったとのこと。

f:id:SYN-ACK:20201103081150j:plain

出典:arrowhead の障害に関する原因と対策について | 日本取引所グループ

障害原因は残念なものであったが、システム停止の意思決定から報道発表、一次対応と恒久対応までの流れは円滑に行われた。
経営者層の方がシステムを十分に把握されていたことも、良い方向に働いた一因であろう。
障害発生時のリカバリ対応として参考になる事例であった。

今月のChangelog

2020/10/28

・Suricataを5.0.4, Spiderfootを3.2.1, Dionaeaを0.9.2へ, IPPHoney, Heralding, Conpotを最新バージョンへアップデート

2020/10/27

・Dicompotを最新バージョンへ, Elastic Stackを7.9.3へアップデート

2020/10/05

・Elastic Stackを7.9.2へアップデート

前提条件

運用日時:2020年10月01日-2020年10月31日
運用期間:31日

運用結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Dionaea 5,534,597 △929,087
2 Cowrie 4,259,575 △332,278
3 Mailoney 999,031 △910,587
4 Heralding 755,107 △525,592
5 Honeytrap 498,737 △231,818
6 Rdpy 126,975 △68,867
7 Tanner 5,259 △841
8 Adbhoney 4,245 △440
9 Ciscoasa 2,068 △323
10 CitrixHoneypot 1,042 △257
11 ElasticPot 470 ▲143
12 ConPot 135 ▲61
13 Medpot 2 ▲6
  • Result
    • 先月と比較して全体的にアクセス件数が増加していた。
    • Mailoneyが90万件弱増加しており、特徴的に増加している。
②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Ireland 1,660,134 1(→)
2 United States 1,313,815 5(↑)
3 Russia 1,084,938 2(↓)
4 Vietnam 960,275 3(↓)
5 China 785,021 4(↓)
6 Panama 566,936 6(→)
7 Japan 518,825 12(↑)
8 India 517,395 7(↓)
9 Brazil 342,104 8(↓)
10 Indonesia 330,956 9(↓)
11 Venezuela 260,803 10(↓)
12 Republic of Moldova 255,019 16(↑)
13 Turkey 232,952 13(→)
14 Germany 230,822 11(↓)
15 Taiwan 195,222 15(→)
16 Thailand 163,527 17(↑)
17 France 147,898 圏外(↑)
18 Pakistan 147,522 20(↑)
19 Singapore 146,681 圏外(↑)
20 Ukraine 134,954 14(↓)
  • Result
    • アイルランド(1位)が相変わらず多い。アメリカ(2位)のアクセス件数が急増していた。
    • ロシア(3位)、ベトナム(4位)、中国(5位)はアクセス件数は前月より増えているにもかかわらず、アイルランドアメリカの件数が多いため順位を下げていた。
    • 19位にシンガポールからのアクセスを観測していた。
    • アメリカの件数増加は156[.]96[.]56[.]25からのMailoneyに対するアクセスが978,735件に上っており、これが増加の原因だった。送信されたデータは以下の通り。F.B.I.エージェントからATMカードに600万ドルと連絡したように装った詐欺メールが来ていた。
data: "Content-Type: text/plain; charset=\"iso-8859-1\"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Description: Mail message body
Subject: Good news
To: xxxxx@comcast.net
From: \"BARRISTER EMEKA ANI OFR\" <chiocca@gethal.com.br>
Date: Wed, 28 Oct 2020 08:51:34 -0700
Reply-To: xxxxx@gmail.com

Good news,

After our verification with (F.B.I) agents they appoint  me to contact you .


We got your contact to the paying bank which your compensation payment
is over due valued $6 Million USD, which is in your ATM card,   and i am he=
re to ask you have you abandon your fund can you inform me what is the prob=
lem so that i can know how to assist you, as a law maker i we help you to r=
eceive your fund if you cooperate with me .

BARRISTER EMEKA ANI OFR
EMEKA ANI LAW ASSOCIATES
SOLICITORS AND PUBLIC NOTARIES",

図:2020-10-28 15:52:14 に観測したメールデータより

f:id:SYN-ACK:20201107121051j:plain

日時 件数
10/20 00時 28件
10/20 12時 33,428件
10/28 12時 605,072件
10/29 00時 387,610件

10/20からアクセスが始まり、10/28~10/29にかけてのアクセス件数が非常に多くなっていた。

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID CNT
1 CVE-2020-11899 55,395
2 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 25
3 CVE-2020-11910 19
4 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 18
5 CVE-2020-8515 CVE-2020-8515 3
  • Result
    • 先月から変更なし
④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No ユーザ名 件数
1 root 252,186
2 admin 131,004
3 sa 32,376
4 user 22,109
5 support 17,368
6 guest 16,010
7 ubnt 7,357
8 nproc 6,152
9 Admin 3,751
10 test 3,050
11 22 2,352
12 ubuntu 1,816
13 postgres 1,584
14 oracle 1,318
15 git 826
16 ftpuser 774
17 666666 584
18 testuser 473
19 mysql 462
20 user1 434
  • Result
    • 先月から変更なし
⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No パスワード 件数
1 admin 209,567
2 & 30,182
3 root 24,326
4 support 17,168
5 1234 15,832
6 guest 14,506
7 password 14,325
8 123456 11,286
9 user 9,925
10 ubnt 8,013
11 nproc 6,152
12 12345678 3,799
13 Admin 3,695
14 3,314
15 123 2,879
16 12345 2,175
17 test 1,740
18 Password 1,524
19 1 1,055
20 123123 795
  • Result
    • 先月から変更なし

最後に

  • 2020年11月4日にアメリカの大統領選があるが、アメリカからのアクセス件数増加と関連があるのだろうか?
  • とあるCTFで個人で4位に入賞した。個人的にはpython機械学習ライブラリであるTensorFlowを使用した画像認証を騙す問題があり、検証環境で実装して試してみたいと思う。