ハニーポット運用(月次報告:2021年5月)
今月のTopics
海外から衝撃的なニュースが飛び込んできた。
5月7日アメリカの大手燃料送油管企業であるColonial Pipeline社がランサムウェア「Darkside」の被害を受け操業停止に追い込まれた。
重要インフラへの攻撃は商業活動への被害に止まらず、日常生活へ直接的な影響を及ぼすためより深刻になる。
攻撃を行ったサイバー犯罪集団「Darkside」は「非政治的」な組織であること、政治的や地質学的な意図が無かったことを声明で伝えている。 www.newsweekjapan.jp
"Our goal is to make money and not creating problems for society," DarkSide wrote on its website.
"We do not participate in geopolitics, do not need to tie us with a defined government and look for... our motives," the group added.
営利目的の組織による攻撃でさえこれほど広範囲の影響が発生したことを踏まえ、国家間の紛争における被害はIT化が進んだ現代では図りしれない。まさに「第5の戦場」である。
今月のChangelog
更新無し。
前提条件
運用日時:2021年5月1日-2020年5月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Cowrie | 3,941,064 | ▲757,450 |
| 2 | Heralding | 1,003,345 | 81,130 |
| 3 | Honeytrap | 716,733 | 202,134 |
| 4 | Dionaea | 339,492 | ▲2,083,131 |
| 5 | Rdpy | 166,914 | 43,061 |
| 6 | Mailoney | 21,058 | ▲3,938 |
| 7 | Adbhoney | 14,681 | 289 |
| 8 | Tanner | 9,056 | 4,087 |
| 9 | Ciscoasa | 2,257 | ▲1,676 |
| 10 | Medpot | 2,077 | 1,870 |
| 11 | ConPot | 1,449 | ▲880 |
| 12 | ElasticPot | 1,436 | 18 |
| 13 | CitrixHoneypot | 1,435 | ▲133 |
- Result
- Dionaeaの件数が86%低下した。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Ireland | 1,969,940 | 1(→) |
| 2 | Netherlands | 847,224 | 18(↑) |
| 3 | Russia | 660,581 | 2(↓) |
| 4 | China | 547,377 | 4(→) |
| 5 | Panama | 472,454 | 6(↑) |
| 6 | United States | 326,196 | 5(↓) |
| 7 | Romania | 160,465 | 圏外(↑) |
| 8 | France | 98,741 | 圏外(↑) |
| 9 | United Kingdom | 91,938 | 圏外(↑) |
| 10 | India | 90,628 | 7(↓) |
| 11 | Indonesia | 65,176 | 9(↓) |
| 12 | Bulgaria | 60,206 | 圏外(↑) |
| 13 | Vietnam | 59,672 | 3(↓) |
| 14 | Brazil | 46,110 | 8(↓) |
| 15 | Singapore | 45,020 | 圏外(↑) |
| 16 | Germany | 44,696 | 11(↓) |
| 17 | South Korea | 42,417 | 圏外(↑) |
| 18 | Japan | 39,835 | 12(↓) |
| 19 | Monaco | 39,616 | 圏外(↑) |
| 20 | Hong Kong | 27,223 | 圏外(↑) |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | CNT |
|---|---|---|
| 1 | CVE-2020-11899 | 3,849,302 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 347 |
| 3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 32 |
| 4 | CVE-2020-11910 | 5 |
| 5 | CVE-2020-11902 | 1 |
- Result
- 新規の攻撃は無し。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 290,751 |
| 2 | admin | 106,928 |
| 3 | user | 46,115 |
| 4 | sa | 15,025 |
| 5 | support | 11,469 |
| 6 | Admin | 5,030 |
| 7 | ubnt | 3,254 |
| 8 | test | 1,904 |
| 9 | nproc | 1,836 |
| 10 | guest | 1,808 |
| 11 | postgres | 1,441 |
| 12 | 22 | 1,439 |
| 13 | 1,437 | |
| 14 | oracle | 987 |
| 15 | ubuntu | 878 |
| 16 | git | 808 |
| 17 | deploy | 668 |
| 18 | operator | 640 |
| 19 | mysql | 628 |
| 20 | 101 | 605 |
| 21 | hadoop | 572 |
| 22 | test1 | 567 |
| 23 | nagios | 564 |
| 24 | es | 510 |
| 25 | ftpuser | 486 |
| 26 | user1 | 485 |
| 27 | dev | 478 |
| 28 | tomcat | 469 |
| 29 | test2 | 432 |
| 30 | jenkins | 428 |
| 31 | zabbix | 418 |
| 32 | www | 390 |
| 33 | user2 | 379 |
| 34 | debian | 349 |
| 35 | vagrant | 346 |
| 36 | odoo | 344 |
| 37 | user8 | 340 |
| 38 | admin1 | 337 |
| 39 | developer | 336 |
| 40 | test5 | 334 |
| 41 | test4 | 329 |
| 42 | testuser | 328 |
| 43 | web | 328 |
| 44 | demo | 321 |
| 45 | adm | 318 |
| 46 | ts3 | 318 |
| 47 | elasticsearch | 311 |
| 48 | user3 | 308 |
| 49 | test3 | 305 |
| 50 | elastic | 303 |
- Result
- test1~test5やtestuserといったOSログイン用のユーザが検出されているのが興味深い。
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 257,517 |
| 2 | & | 34,561 |
| 3 | user | 33,022 |
| 4 | root | 31,219 |
| 5 | 1234 | 17,355 |
| 6 | support | 11,000 |
| 7 | 123456 | 10,582 |
| 8 | password | 6,423 |
| 9 | 5,487 | |
| 10 | Admin | 5,314 |
| 11 | ubnt | 3,583 |
| 12 | 123 | 3,162 |
| 13 | nproc | 1,836 |
| 14 | 12345 | 1,816 |
| 15 | 12345678 | 1,658 |
| 16 | 1 | 1,400 |
| 17 | qwerty | 1,203 |
| 18 | 123456789 | 1,169 |
| 19 | p@ssw0rd | 1,167 |
| 20 | passw0rd | 1,042 |
| 21 | 1q2w3e4r | 1,037 |
| 22 | test | 1,016 |
| 23 | 1234567 | 999 |
| 24 | 1qaz2wsx | 985 |
| 25 | 123qwe | 878 |
| 26 | guest | 864 |
| 27 | qwe123 | 839 |
| 28 | p@ssword | 837 |
| 29 | P@ssw0rd | 822 |
| 30 | 12 | 759 |
| 31 | q1w2e3r4 | 721 |
| 32 | 1q2w3e | 714 |
| 33 | q1w2e3 | 692 |
| 34 | operator | 669 |
| 35 | 101 | 646 |
| 36 | password123 | 634 |
| 37 | Password | 631 |
| 38 | 111111 | 628 |
| 39 | 1qaz@WSX | 586 |
| 40 | test123 | 554 |
| 41 | Passw0rd | 526 |
| 42 | P@$$w0rd | 484 |
| 43 | Aa123456 | 483 |
| 44 | 1234567890 | 462 |
| 45 | master | 437 |
| 46 | pass | 416 |
| 47 | 666666 | 414 |
| 48 | 321 | 398 |
| 49 | qwerty123 | 380 |
| 50 | alpine | 379 |
- Result
12345678といった数字の羅列やp@ssw0rdのOSの複雑性を回避するためによく使われるパスワードが良く狙われている。ユーザ名の検出結果と併せると端末側へのアクセスを狙った攻撃が増加していると推測される。
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- massscanはちらほらアクセスあり。5月30日のアクセスが最多。
- Zmapはmasscanと比較して、よく使われている。
