ハニーポット運用(月次報告:2021年9月)
今月のTopics
2021年9月2日に、AWSの東京リージョンで大規模な障害が発生した。 2021年9月2日(JST)にAWS Direct Connect サービスの中断により東京リージョン(AP-NORTHEAST-1)で大規模な障害が発生した。
原因はDirect Connect ロケーションと東京リージョンのデータセンターネットワーク間のネットワーク機器の一部で障害が発生したため。午前7時半から障害が発生し、午後1時42分に障害復旧した。(停止時間はおよそ6時間12分)
▽スマートフォンで住所変更などを行う三菱UFJ銀行のアプリ
▽みずほ銀行のネットバンキングのアプリ
▽SBI証券など、ネット証券各社のサイトの一部でアクセスレスポンス低下
▽携帯電話会社のKDDIでも、スマホ決済の「au PAY」にて入金しにくいなどの影響
▽全日空では羽田空港などでチェックインを行うシステムに障害が発生
▽日本航空では貨物の情報に関わる一部のシステムに影響
パブリッククラウドが社会基盤として広く浸透していると共に、基幹システムにおけるパブリッククラウド利用の難しさを改めて考える障害だった。
基幹システムをリリースする上でパブリッククラウドを利用する場合は、大規模障害のリスク費用を見込む必要があるだろう。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2021年9月4日-2021年9月30日
運用期間:26日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先月比 |
---|---|---|---|
1 | Cowrie | 2,728,448 | 852,542 |
2 | Honeytrap | 1,273,466 | 695,801 |
3 | Dionaea | 781,324 | 326,267 |
4 | Heralding | 625,857 | 120,349 |
5 | Rdpy | 158,641 | 64,556 |
6 | Ciscoasa | 34,911 | 1,083 |
7 | Adbhoney | 30,935 | 15,477 |
8 | Mailoney | 14,339 | ▲2,016 |
9 | ElasticPot | 8,351 | 801 |
10 | ConPot | 3,204 | 1,708 |
11 | CitrixHoneypot | 3,058 | 1,539 |
12 | Tanner | 3,049 | ▲1,885 |
13 | Medpot | 832 | 690 |
- Result
- 先月から各ハニーポットへのアクセス推移は変化なし。
- 先月より観測期間が短いにもかかわらず全体アクセス量が多いことから、9月はアクセス量が多かったと判断される。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | China | 1,182,505 | 1(→) |
2 | Russia | 1,092,591 | 4(↑) |
3 | Netherlands | 696,241 | 2(↓) |
4 | United States | 625,600 | 3(↓) |
5 | India | 188,088 | 5(→) |
6 | Vietnam | 139,583 | 11(↑) |
7 | Brazil | 120,196 | 8(↑) |
8 | South Korea | 93,259 | 14(↑) |
9 | Singapore | 84,560 | 7(↓) |
10 | Indonesia | 80,611 | 9(↓) |
11 | Germany | 72,968 | 12(↑) |
12 | France | 61,991 | 6(↓) |
13 | Japan | 60,869 | 10(↓) |
14 | Taiwan | 57,376 | 17(↑) |
15 | Sweden | 49,960 | 圏外(↑) |
16 | Latvia | 49,828 | 18(↑) |
17 | Hong Kong | 44,732 | 15(↓) |
18 | Mexico | 42,134 | 16(↓) |
19 | United Kingdom | 41,848 | 13(↓) |
20 | Thailand | 39,474 | 19(↓) |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | Count |
---|---|---|
1 | CVE-2020-11899 | 2,873,189 |
2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 1,333 |
3 | CVE-2020-11910 | 47 |
4 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 45 |
5 | CVE-2014-2321 CVE-2014-2321 | 3 |
- Result
- 先月から変更なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | root | 173,845 |
2 | admin | 12,600 |
3 | knockknockwhosthere | 11,924 |
4 | user | 5,966 |
5 | sa | 5,852 |
6 | hadoop | 5,356 |
7 | sh | 3,668 |
8 | postgres | 2,890 |
9 | 22 | 2,719 |
10 | oracle | 2,466 |
11 | test | 2,377 |
12 | git | 2,287 |
13 | mysql | 2,141 |
14 | (empty) | 1,846 |
15 | nproc | 1,604 |
16 | huawei | 1,539 |
17 | !root | 1,366 |
18 | 2Wire | 1,340 |
19 | guest | 1,242 |
20 | ubuntu | 1,238 |
21 | support | 1,114 |
22 | ftpuser | 777 |
23 | ftp | 706 |
24 | 0 | 696 |
25 | adm | 688 |
26 | debug | 687 |
27 | pi | 687 |
28 | 666666 | 686 |
29 | blank | 686 |
30 | unknown | 662 |
31 | www | 614 |
32 | administrator | 590 |
33 | web | 571 |
34 | default | 517 |
35 | nagios | 394 |
36 | www-data | 377 |
37 | anonymous | 335 |
38 | testuser | 332 |
39 | deploy | 308 |
40 | minecraft | 293 |
41 | server | 290 |
42 | teamspeak | 283 |
43 | data | 282 |
44 | tomcat | 281 |
45 | user1 | 277 |
46 | Admin | 255 |
47 | test1 | 254 |
48 | jenkins | 249 |
49 | demo | 248 |
50 | ts3 | 245 |
- Result
- 先月から確認され始めた
knockknockwhosthere
(3位)のアクセスが継続して多い。SSH Scanning Activityが継続中のようだ。
- 先月から確認され始めた
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | admin | 34,796 |
2 | knockknockwhosthere | 11,924 |
3 | 123456 | 9,806 |
4 | (empty) | 6,768 |
5 | root | 5,124 |
6 | password | 3,926 |
7 | 123 | 3,600 |
8 | 1 | 3,042 |
9 | 12345 | 2,599 |
10 | 1234 | 2,215 |
11 | blank | 2,030 |
12 | nproc | 1,604 |
13 | 1q2w3e4r | 1,293 |
14 | 12345678 | 1,274 |
15 | test | 1,125 |
16 | Password | 1,066 |
17 | user | 986 |
18 | 0 | 917 |
19 | 1qaz2wsx | 908 |
20 | 666666 | 864 |
21 | 0 | 813 |
22 | support | 808 |
23 | ubnt | 784 |
24 | master | 772 |
25 | alpine | 748 |
26 | qwerty | 743 |
27 | backup | 710 |
28 | hi3518 | 693 |
29 | !ishtar | 688 |
30 | unknown | 682 |
31 | synnet | 675 |
32 | 123456789 | 663 |
33 | test123 | 652 |
34 | 123123 | 602 |
35 | abc123 | 584 |
36 | 111111 | 575 |
37 | pass | 487 |
38 | Passw0rd | 482 |
39 | 1234567 | 465 |
40 | vizxv | 464 |
41 | x | 434 |
42 | 123qwe | 411 |
43 | admin123 | 410 |
44 | p@ssw0rd | 342 |
45 | password123 | 332 |
46 | changeme | 324 |
47 | 123321 | 314 |
48 | P@ssw0rd | 311 |
49 | 1234567890 | 301 |
50 | passw0rd | 292 |
- Result
- miraiなどのIoT系マルウェアにハードコードされたパスワード、簡易なパスワードが今月も大部分を占めていた。
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
10月はセキュリティ系のイベントが多くて楽しみである。
AVTokyoは是非とも参加したいね。(下戸ですけども... )senpai.loader関連のアクセスは無し。(ただサイト自体はまだ生きている模様だ。)
今月のアクセス。
9/5に1件だけ観測したbase64エンコードされたアクセス。Shellshcockの脆弱性をついてmalwareをダウンロードさせる動作のようだ。