ハニーポット運用(月次報告:2021年2月)
今月のTopics
VMware ESXiおよびVMware vCenter Serverの深刻な脆弱性(CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)が報告された。
AWS、Azure、GCPなどのパブリッククラウドが発展するまで、プライベートクラウドを提供するVMware製品はオンプレミスの仮想基盤として普及していた。現在はHCI環境との高い親和性より、依然としてパブリッククラウド環境とのハイブリッド環境を提供する形で利用が続いており、影響範囲も広くなる。
公開されているPoCを確認するとscan時に/ui/vropspluginui/rest/services/uploadovaに対するアクセスを行うとのことで、確認してみた。
2月は0件だった。
※因みに、3月は3/4に45[.]91[.]94[.]163のIPより4件のアクセスを観測していた。
3月になり動きが本格化してきたようだ。
今月のChangelog
2021/02/22
・バージョン 20.06.2のリリース
・クラウド環境への対応
2021/02/19
・Snare, Tanner, Redis, Phpoxのリビルド
・Elastic Stackを7.11.1へバージョンアップ
2021/02/18
・Conpot, EWSPoster, Cowrie, Glutton, Dionaeaのリビルド
2021/02/16
・Heralding を1.0.7へバージョンアップ
・IPPHoney, Fatt, EWSPoster, Spiderfootのリビルド
2021/02/15
・Dicompot, p0f, Medpot, Honeysap, Heimdall, Elasticpot, Citrixhoneypot, Ciscoasaのリビルド
2021/02/12
・Cyberchef, Adbhoney, Elastic Stackのリビルド
前提条件
運用日時:2020年2月1日-2020年2月28日
運用期間:28日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Dionaea | 5,142,206 | ▲740,172 |
| 2 | Cowrie | 4,554,688 | ▲274,945 |
| 3 | Honeytrap | 1,102,509 | ▲42,223 |
| 4 | Heralding | 672,056 | △470,824 |
| 5 | Rdpy | 109,405 | △30,666 |
| 6 | Mailoney | 8,472 | △3,484 |
| 7 | Adbhoney | 7,492 | △3,867 |
| 8 | Tanner | 3,512 | ▲729 |
| 9 | Ciscoasa | 1,674 | △589 |
| 10 | CitrixHoneypot | 1,264 | △86 |
| 11 | ElasticPot | 858 | ▲129 |
| 12 | ConPot | 776 | △88 |
| 13 | Medpot | 54 | ▲5,189 |
- Result
- Heraldingの件数が2.5倍増加した。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Ireland | 1,925,830 | 1(→) |
| 2 | Russia | 1,470,350 | 2(→) |
| 3 | Vietnam | 755,380 | 3(→) |
| 4 | India | 687,702 | 6(↑) |
| 5 | United States | 647,516 | 5(→) |
| 6 | China | 621,021 | 4(↓) |
| 7 | Netherlands | 547,393 | 圏外(↑) |
| 8 | Panama | 509,783 | 7(↓) |
| 9 | Brazil | 308,766 | 8(↓) |
| 10 | Indonesia | 237,603 | 9(↓) |
| 11 | France | 221,384 | 圏外(↑) |
| 12 | Venezuela | 216,779 | 10(↓) |
| 13 | Turkey | 205,321 | 11(↓) |
| 14 | Taiwan | 191,904 | 13(↓) |
| 15 | Thailand | 189,495 | 14(↓) |
| 16 | Mexico | 170,807 | 19(↑) |
| 17 | Bulgaria | 144,396 | 圏外(↑) |
| 18 | Pakistan | 139,408 | 16(↓) |
| 19 | Romania | 128,117 | 15(↓) |
| 20 | Hong Kong | 124,315 | 圏外(↑) |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | CNT |
|---|---|---|
| 1 | CVE-2020-11899 | 3,422,697 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 184 |
| 3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 31 |
| 4 | CVE-2020-11910 | 9 |
| 5 | CVE-2020-11902 | 6 |
| 6 | CVE-2020-8515 CVE-2020-8515 | 1 |
- Result
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 318,737 |
| 2 | admin | 110,286 |
| 3 | support | 17,783 |
| 4 | user | 15,726 |
| 5 | sa | 14,084 |
| 6 | test | 11,014 |
| 7 | guest | 10,166 |
| 8 | Admin | 4,159 |
| 9 | nproc | 4,150 |
| 10 | postgres | 1,666 |
| 11 | 101 | 1,641 |
| 12 | 22 | 1,437 |
| 13 | ubuntu | 1,325 |
| 14 | ubnt | 846 |
| 15 | oracle | 837 |
| 16 | git | 649 |
| 17 | ftpuser | 623 |
| 18 | deploy | 449 |
| 19 | mysql | 399 |
| 20 | 384 |
- Result
- 先月から変更なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 200,023 |
| 2 | root | 64,320 |
| 3 | & | 43,219 |
| 4 | support | 17,627 |
| 5 | 123456 | 12,408 |
| 6 | user | 12,104 |
| 7 | test | 9,912 |
| 8 | guest | 9,210 |
| 9 | password | 7,600 |
| 10 | 1234 | 6,819 |
| 11 | 123 | 5,626 |
| 12 | nproc | 4,150 |
| 13 | Admin | 4,088 |
| 14 | 3,885 | |
| 15 | 12345 | 2,742 |
| 16 | password123 | 1,748 |
| 17 | 101 | 1,637 |
| 18 | ubnt | 1,197 |
| 19 | 1 | 913 |
| 20 | 12345678 | 744 |
- Result
- 先月から変更なし
