Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2021年9月)

2021年9月2日に、AWSの東京リージョンで大規模な障害が発生した。 2021年9月2日(JST)にAWS Direct Connect サービスの中断により東京リージョン(AP-NORTHEAST-1)で大規模な障害が発生した。

aws.amazon.com

www.publickey1.jp

原因はDirect Connect ロケーションと東京リージョンのデータセンターネットワーク間のネットワーク機器の一部で障害が発生したため。午前7時半から障害が発生し、午後1時42分に障害復旧した。(停止時間はおよそ6時間12分)

スマートフォンで住所変更などを行う三菱UFJ銀行のアプリ
みずほ銀行のネットバンキングのアプリ
SBI証券など、ネット証券各社のサイトの一部でアクセスレスポンス低下
▽携帯電話会社のKDDIでも、スマホ決済の「au PAY」にて入金しにくいなどの影響
全日空では羽田空港などでチェックインを行うシステムに障害が発生
日本航空では貨物の情報に関わる一部のシステムに影響

パブリッククラウドが社会基盤として広く浸透していると共に、基幹システムにおけるパブリッククラウド利用の難しさを改めて考える障害だった。
基幹システムをリリースする上でパブリッククラウドを利用する場合は、大規模障害のリスク費用を見込む必要があるだろう。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

 更新無し。

前提条件

運用日時:2021年9月4日-2021年9月30日
運用期間:26日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Cowrie 2,728,448 852,542
2 Honeytrap 1,273,466 695,801
3 Dionaea 781,324 326,267
4 Heralding 625,857 120,349
5 Rdpy 158,641 64,556
6 Ciscoasa 34,911 1,083
7 Adbhoney 30,935 15,477
8 Mailoney 14,339 ▲2,016
9 ElasticPot 8,351 801
10 ConPot 3,204 1,708
11 CitrixHoneypot 3,058 1,539
12 Tanner 3,049 ▲1,885
13 Medpot 832 690
  • Result
    • 先月から各ハニーポットへのアクセス推移は変化なし。
    • 先月より観測期間が短いにもかかわらず全体アクセス量が多いことから、9月はアクセス量が多かったと判断される。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 China 1,182,505 1(→)
2 Russia 1,092,591 4(↑)
3 Netherlands 696,241 2(↓)
4 United States 625,600 3(↓)
5 India 188,088 5(→)
6 Vietnam 139,583 11(↑)
7 Brazil 120,196 8(↑)
8 South Korea 93,259 14(↑)
9 Singapore 84,560 7(↓)
10 Indonesia 80,611 9(↓)
11 Germany 72,968 12(↑)
12 France 61,991 6(↓)
13 Japan 60,869 10(↓)
14 Taiwan 57,376 17(↑)
15 Sweden 49,960 圏外(↑)
16 Latvia 49,828 18(↑)
17 Hong Kong 44,732 15(↓)
18 Mexico 42,134 16(↓)
19 United Kingdom 41,848 13(↓)
20 Thailand 39,474 19(↓)
  • Result +中国が1位を維持しており、ロシアが2位に上昇。ニュージーランドからのアクセスは減少気味。
    +唯一スウェーデンからのアクセスが増えているが、全体的な傾向としては大きな変化なし。

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID Count
1 CVE-2020-11899 2,873,189
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 1,333
3 CVE-2020-11910 47
4 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 45
5 CVE-2014-2321 CVE-2014-2321 3
  • Result
    • 先月から変更なし

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No ユーザ名 件数
1 root 173,845
2 admin 12,600
3 knockknockwhosthere 11,924
4 user 5,966
5 sa 5,852
6 hadoop 5,356
7 sh 3,668
8 postgres 2,890
9 22 2,719
10 oracle 2,466
11 test 2,377
12 git 2,287
13 mysql 2,141
14 (empty) 1,846
15 nproc 1,604
16 huawei 1,539
17 !root 1,366
18 2Wire 1,340
19 guest 1,242
20 ubuntu 1,238
21 support 1,114
22 ftpuser 777
23 ftp 706
24 0 696
25 adm 688
26 debug 687
27 pi 687
28 666666 686
29 blank 686
30 unknown 662
31 www 614
32 administrator 590
33 web 571
34 default 517
35 nagios 394
36 www-data 377
37 anonymous 335
38 testuser 332
39 deploy 308
40 minecraft 293
41 server 290
42 teamspeak 283
43 data 282
44 tomcat 281
45 user1 277
46 Admin 255
47 test1 254
48 jenkins 249
49 demo 248
50 ts3 245
  • Result
    • 先月から確認され始めたknockknockwhosthere(3位)のアクセスが継続して多い。SSH Scanning Activityが継続中のようだ。

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No パスワード 件数
1 admin 34,796
2 knockknockwhosthere 11,924
3 123456 9,806
4 (empty) 6,768
5 root 5,124
6 password 3,926
7 123 3,600
8 1 3,042
9 12345 2,599
10 1234 2,215
11 blank 2,030
12 nproc 1,604
13 1q2w3e4r 1,293
14 12345678 1,274
15 test 1,125
16 Password 1,066
17 user 986
18 0 917
19 1qaz2wsx 908
20 666666 864
21 0 813
22 support 808
23 ubnt 784
24 master 772
25 alpine 748
26 qwerty 743
27 backup 710
28 hi3518 693
29 !ishtar 688
30 unknown 682
31 synnet 675
32 123456789 663
33 test123 652
34 123123 602
35 abc123 584
36 111111 575
37 pass 487
38 Passw0rd 482
39 1234567 465
40 vizxv 464
41 x 434
42 123qwe 411
43 admin123 410
44 p@ssw0rd 342
45 password123 332
46 changeme 324
47 123321 314
48 P@ssw0rd 311
49 1234567890 301
50 passw0rd 292
  • Result
    • miraiなどのIoT系マルウェアにハードコードされたパスワード、簡易なパスワードが今月も大部分を占めていた。

⑥今月のマスオさんとZmap
  • massscanの観測結果は以下の通り。 f:id:SYN-ACK:20211103105750j:plain

  • Zmapの観測結果は以下の通り。 f:id:SYN-ACK:20211103105815j:plain

  • Result

    • 特記事項は無し。

最後に

  • 10月はセキュリティ系のイベントが多くて楽しみである。
    AVTokyoは是非とも参加したいね。(下戸ですけども... )

  • senpai.loader関連のアクセスは無し。(ただサイト自体はまだ生きている模様だ。)

  • 今月のアクセス。
    9/5に1件だけ観測したbase64エンコードされたアクセス。Shellshcockの脆弱性をついてmalwareをダウンロードさせる動作のようだ。

f:id:SYN-ACK:20211103120539j:plain