Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2021年5月)

今月のTopics

海外から衝撃的なニュースが飛び込んできた。 5月7日アメリカの大手燃料送油管企業であるColonial Pipeline社ランサムウェア「Darkside」の被害を受け操業停止に追い込まれた。 重要インフラへの攻撃は商業活動への被害に止まらず、日常生活へ直接的な影響を及ぼすためより深刻になる。

www.security-next.com

wired.jp

blog.trendmicro.co.jp

www.fbi.gov

攻撃を行ったサイバー犯罪集団「Darkside」は「非政治的」な組織であること、政治的や地質学的な意図が無かったことを声明で伝えている。 https://www.newsweekjapan.jp/stories/world/2021/05/post-96266.phpwww.newsweekjapan.jp

"Our goal is to make money and not creating problems for society," DarkSide wrote on its website.

"We do not participate in geopolitics, do not need to tie us with a defined government and look for... our motives," the group added.

www.bbc.com

営利目的の組織による攻撃でさえこれほど広範囲の影響が発生したことを踏まえ、国家間の紛争における被害はIT化が進んだ現代では図りしれない。まさに「第5の戦場」である。

今月のChangelog

 更新無し。

前提条件

運用日時:2021年5月1日-2020年5月31日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Cowrie 3,941,064 ▲757,450
2 Heralding 1,003,345 81,130
3 Honeytrap 716,733 202,134
4 Dionaea 339,492 ▲2,083,131
5 Rdpy 166,914 43,061
6 Mailoney 21,058 ▲3,938
7 Adbhoney 14,681 289
8 Tanner 9,056 4,087
9 Ciscoasa 2,257 ▲1,676
10 Medpot 2,077 1,870
11 ConPot 1,449 ▲880
12 ElasticPot 1,436 18
13 CitrixHoneypot 1,435 ▲133
  • Result
    • Dionaeaの件数が86%低下した。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Ireland 1,969,940 1(→)
2 Netherlands 847,224 18(↑)
3 Russia 660,581 2(↓)
4 China 547,377 4(→)
5 Panama 472,454 6(↑)
6 United States 326,196 5(↓)
7 Romania 160,465 圏外(↑)
8 France 98,741 圏外(↑)
9 United Kingdom 91,938 圏外(↑)
10 India 90,628 7(↓)
11 Indonesia 65,176 9(↓)
12 Bulgaria 60,206 圏外(↑)
13 Vietnam 59,672 3(↓)
14 Brazil 46,110 8(↓)
15 Singapore 45,020 圏外(↑)
16 Germany 44,696 11(↓)
17 South Korea 42,417 圏外(↑)
18 Japan 39,835 12(↓)
19 Monaco 39,616 圏外(↑)
20 Hong Kong 27,223 圏外(↑)
  • Result
    • アイルランド(1位)、中国(4位)は変わらず。それ以外の国からのアクセスが急激に減少していた。
    • ロシア(3位)、ベトナム(13位)、ドイツ(17位)にそれぞれ後退。

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID CNT
1 CVE-2020-11899 3,849,302
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 347
3 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 32
4 CVE-2020-11910 5
5 CVE-2020-11902 1
  • Result
    • 新規の攻撃は無し。

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 50)を以下に記載する。
No ユーザ名 件数
1 root 290,751
2 admin 106,928
3 user 46,115
4 sa 15,025
5 support 11,469
6 Admin 5,030
7 ubnt 3,254
8 test 1,904
9 nproc 1,836
10 guest 1,808
11 postgres 1,441
12 22 1,439
13 1,437
14 oracle 987
15 ubuntu 878
16 git 808
17 deploy 668
18 operator 640
19 mysql 628
20 101 605
21 hadoop 572
22 test1 567
23 nagios 564
24 es 510
25 ftpuser 486
26 user1 485
27 dev 478
28 tomcat 469
29 test2 432
30 jenkins 428
31 zabbix 418
32 www 390
33 user2 379
34 debian 349
35 vagrant 346
36 odoo 344
37 user8 340
38 admin1 337
39 developer 336
40 test5 334
41 test4 329
42 testuser 328
43 web 328
44 demo 321
45 adm 318
46 ts3 318
47 elasticsearch 311
48 user3 308
49 test3 305
50 elastic 303
  • Result
    • test1~test5やtestuserといったOSログイン用のユーザが検出されているのが興味深い。

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No パスワード 件数
1 admin 257,517
2 & 34,561
3 user 33,022
4 root 31,219
5 1234 17,355
6 support 11,000
7 123456 10,582
8 password 6,423
9 5,487
10 Admin 5,314
11 ubnt 3,583
12 123 3,162
13 nproc 1,836
14 12345 1,816
15 12345678 1,658
16 1 1,400
17 qwerty 1,203
18 123456789 1,169
19 p@ssw0rd 1,167
20 passw0rd 1,042
21 1q2w3e4r 1,037
22 test 1,016
23 1234567 999
24 1qaz2wsx 985
25 123qwe 878
26 guest 864
27 qwe123 839
28 p@ssword 837
29 P@ssw0rd 822
30 12 759
31 q1w2e3r4 721
32 1q2w3e 714
33 q1w2e3 692
34 operator 669
35 101 646
36 password123 634
37 Password 631
38 111111 628
39 1qaz@WSX 586
40 test123 554
41 Passw0rd 526
42 P@$$w0rd 484
43 Aa123456 483
44 1234567890 462
45 master 437
46 pass 416
47 666666 414
48 321 398
49 qwerty123 380
50 alpine 379
  • Result
    • 12345678といった数字の羅列やp@ssw0rdのOSの複雑性を回避するためによく使われるパスワードが良く狙われている。ユーザ名の検出結果と併せると端末側へのアクセスを狙った攻撃が増加していると推測される。

⑥今月のマスオさんとZmap
  • massscanの観測結果は以下の通り。 f:id:SYN-ACK:20210627201406j:plain

  • Zmapの観測結果は以下の通り。 f:id:SYN-ACK:20210627233147j:plain

  • Result

    • massscanはちらほらアクセスあり。5月30日のアクセスが最多。
    • Zmapはmasscanと比較して、よく使われている。

最後に

  • 参考図書「第5の戦場」 サイバー戦の脅威(祥伝社新書266) 新書 – 2012/2/2 伊東 寛 (著) 。Kindle版が無いのが残念。
  • 仮想通貨は匿名性が保たれる反面、ブロックチェーンの台帳からお金の流れが追えるとのことで、犯罪撲滅に少しでもつながれば良いと思う。

wired.jp