ハニーポット運用(月次報告:2020年12月)
今月のTopics
12/19に開催されたSECCON 2020 電脳会議に1セッションだけ参加した。
「さくらでのゼロトラスト」という、VPNによる境界型防御モデルからゼロトラストモデルへの変更事例に関する内容であった。
VPN接続では業務利用において、以下2点の課題がある。
① 認証時のセキュリティを突破されると無防備に内部情報が露呈する。
② リモートワーク推進による接続者数の増加に伴い、レイテンシーが発生する。
セキュリティ上は①が問題になるが、実業務においては②の方が深刻度が高い(と個人的に思う)。
VPN接続が重すぎてまともに仕事ができない問題が(特に週明けに)多発することが多い会社さんは多いのでないだろうか?
そういう点で非常に参考になる講演だった。
以下のサイトでは主な論点が述べられている。
今月のChangelog
2020/12/28 変更
・SQlite DBの修正
・GitHub Container Registry(ghcr.io)の利用停止
・netselect-aptの削除
2020/12/10 変更
・Elastic Stackを7.10.1へEWSPosterを1.12へ変更
2020/12/02 変更
・Elastic Stackを7.10.0へアップデート
前提条件
運用日時:2020年12月1日-2020年12月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Dionaea | 5,939,221 | △1,333,711 |
| 2 | Cowrie | 4,214,929 | △287,632 |
| 3 | Honeytrap | 940,520 | △673,601 |
| 4 | Rdpy | 149,669 | △91,561 |
| 5 | Heralding | 54,778 | ▲174,737 |
| 6 | Mailoney | 29,096 | ▲59,348 |
| 7 | Tanner | 6,967 | △2,549 |
| 8 | Adbhoney | 3,636 | ▲169 |
| 9 | Medpot | 3,343 | △3,335 |
| 10 | Ciscoasa | 1,150 | ▲595 |
| 11 | CitrixHoneypot | 1,037 | △252 |
| 12 | ConPot | 703 | △507 |
| 13 | ElasticPot | 668 | △55 |
接続元SourceIPの上位5番目までの分布は以下の通り。
| No | SourceIP | City | Per |
|---|---|---|---|
| 1 | 40.126.255.229 | Sydney | 75.8% |
| 2 | 185.202.0.18 | London | 4.2% |
| 3 | 194.61.54.112 | Moscow | 4.0% |
| 4 | 94.232.43.39 | Yekaterinburg | 3.2% |
| 5 | 213.108.134.117 | Moscow | 3.0% |
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Ireland | 1,469,243 | 1(→) |
| 2 | Russia | 1,237,083 | 2(→) |
| 3 | Vietnam | 1,059,920 | 3(→) |
| 4 | China | 839,877 | 4(→) |
| 5 | India | 692,817 | 7(↑) |
| 6 | Panama | 506,059 | 6(→) |
| 7 | United States | 435,298 | 5(↓) |
| 8 | Indonesia | 367,363 | 9(↑) |
| 9 | Brazil | 367,284 | 8(↓) |
| 10 | Venezuela | 292,178 | 10(→) |
| 11 | Hong Kong | 287,504 | 圏外(↑) |
| 12 | Turkey | 255,283 | 13(↑) |
| 13 | Taiwan | 208,298 | 15(↑) |
| 14 | Thailand | 190,273 | 17(↑) |
| 15 | Romania | 162,844 | 圏外(↑) |
| 16 | Ukraine | 148,631 | 14(↓) |
| 17 | Pakistan | 148,266 | 20(↑) |
| 18 | Egypt | 144,414 | 19(↑) |
| 19 | Mexico | 125,993 | 圏外(↑) |
| 20 | Germany | 125,968 | 11(↓) |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | CNT |
|---|---|---|
| 1 | CVE-2020-11899 | 3,745,910 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 36 |
| 3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 26 |
| 4 | CVE-2017-0143 | 3 |
- Result
- Ripple20の攻撃が300万件を超えていた。先月が5万件程度だったので著しい増加量である。
- 新規の攻撃は無し。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 268,671 |
| 2 | admin | 88,180 |
| 3 | user | 70,029 |
| 4 | sa | 15,307 |
| 5 | support | 6,918 |
| 6 | nproc | 6,056 |
| 7 | test | 5,464 |
| 8 | guest | 3,705 |
| 9 | ubnt | 2,534 |
| 10 | 22 | 1,767 |
| 11 | postgres | 1,691 |
| 12 | oracle | 1,409 |
| 13 | ubuntu | 1,313 |
| 14 | Admin | 1,108 |
| 15 | git | 839 |
| 16 | mysql | 682 |
| 17 | sh | 596 |
| 18 | ftpuser | 585 |
| 19 | www | 529 |
| 20 | nagios | 502 |
- Result
- 先月から変更なし
- 年間を通してみると、昨年までのsaユーザ(Microsoft SQL Serverの管理者ユーザ)に対する攻撃が下火になった反面、root/admin/userなどクライアント接続用ユーザへの攻撃が増加した
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 207,442 |
| 2 | user | 67,841 |
| 3 | root | 24,971 |
| 4 | 123456 | 12,149 |
| 5 | password | 9,896 |
| 6 | support | 6,682 |
| 7 | nproc | 6,056 |
| 8 | 1234 | 5,545 |
| 9 | 4,354 | |
| 10 | 123 | 4,210 |
| 11 | test | 3,360 |
| 12 | 12345 | 2,899 |
| 13 | ubnt | 2,778 |
| 14 | guest | 2,271 |
| 15 | & | 1,861 |
| 16 | password123 | 1,855 |
| 17 | 1 | 1,296 |
| 18 | 12345678 | 910 |
| 19 | Admin | 901 |
| 20 | admin123 | 879 |
- Result
- 先月から変更なし
