2019年10月のハニーポット観察記録。100万回を超えるMySQLへの攻撃を観測

2019年10月のハニーポット観察記録。

 サイバー攻撃は日々変化しており、サイバー攻撃者の手口やトレンドを知ることは対策を考える上で貴重なデータとなる。こういったサイバー攻撃者の手口を知るツールとして、ハニーポットというツールが存在する。ハニーポットとは、わざとサイバー攻撃を受ける「囮サーバー」を設置し、サイバー攻撃者の手口や、トレンドを把握するというもの。

 2019年10月1日から31日までの期間に、AWS上に設置したハニーポットで検知したサイバー攻撃についてレポートする。

■ハニーポットの構成

 本レポートで使用したハニーポットはAWSの東京リージョンに設置されており、AWSのパブリックIPアドレスを割り当て、パブリックDNSは割り当てていない。AWSのセキュリティグループはハニーポットにログインするポート番号以外は全てオープンとなっている。「AWSのセキュリティグループの設定を誤るとこんな攻撃を受ける」という視点で見て貰うと、セキュリティの重要性を理解する助けになるだろう。

■攻撃を受けたハニーポットトップ 10

  1. Dionaea 1,642,651
  2. Heralding 385,219
  3. Honeytrap 249,452
  4. Cowrie   240,638
  5. Mailoney 68,026
  6. Tanner  10,917
  7. Rdpy   4,968
  8. Adbhoney 3,600
  9. Ciscoasa 1,946
  10. ConPot  694

最も多くのサイバー攻撃を受けたのは、Dionaeaと呼ばれるハニーポット。DionaeaはHTTPやFTP、MySQLといったメジャーなサービスを提供するハニーポット。160万回を超えるサイバー攻撃を検出した。160万回のうち約100万回がMysqlに対する攻撃。次いで49万回がsmbdに対する攻撃だった。

Heraldingは、資格情報を狙う攻撃を検知するハニーポット。期間中に38万回を超える攻撃を検知しており、ほぼ9割がVNCの通信ポート5900番に対するものであった。

HoneytrapはTCP/UDPに対する攻撃を検知するハニーポット。期間中に24万回を超える攻撃を検知した。IPアドレス 45.136.109.9から33870番ポートに対して93,760回の攻撃を検知していた。8088番ポートに対しては5万5千回の攻撃を検知しており、複数のIPアドレスから攻撃を受けていた。5038番ポートに対して2万3千回の攻撃を検知していた。

■攻撃を仕掛けてきた国

  1. Russia 245,858
  2. Republic of Korea 229,339
  3. China 223,292
  4. Vietnam 221,516
  5. United States 221,013
  6. Republic of Moldova 174,138
  7. Taiwan 121,014
  8. India 103,134
  9. Indonesia 89,908
  10. Thailand 64,922

期間中に攻撃を仕掛けてきた国は、上記の順位となった。

■侵入を試みられたユーザID

  1. sa 1,032,085
  2. root 16,678
  3. admin 7,560
  4. 22 1,434
  5.  1,365
  6. nproc 934
  7. enable 297
  8. user 256
  9. shell 240
  10. support 159
  11. pi 112
  12. test 109
  13. guest 98
  14. 0 81
  15. 123456 77
  16. ubnt 69
  17. default 68
  18. usuario 67
  19. ubuntu 60
  20. oracle 56
  21. 123 50
  22. supervisor 45
  23. ftpuser 44
  24. tech 41
  25. service 34
  26. admin1 32
  27. applmgr 32
  28. com 32
  29. www 32
  30. nagios 31
  31. Admin 30
  32. sh 30
  33. mysql 29
  34. Administrator 26
  35. administrator 26
  36. postgres 25
  37. temp 22
  38. 888888 21
  39. 666666 19
  40. ftp 19
  41. Passcode 18
  42. password 18
  43. 1234 16
  44. git 16
  45. mother 15
  46. cisco 14
  47. mobile 14
  48. 12345 13
  49. qwerty 13
  50. jboss 12

期間中に50個のユーザIDを利用する攻撃が観測された。最も多かったユーザ名は「sa」。これはSQLサーバで利用されるユーザID。次いでroot、adminが続いた。何れもシステム管理者用のユーザIDとして、広く一般的に知られている物であり、こういった特権IDは複雑なパスワードや二要素認証を適用することが重要であることが、攻撃頻度の多さから実感できる。

■侵入を試みられたパスワード

  1. admin 5,628
  2.  4,784
  3. password 2,338
  4. 12345678 2,073
  5. root 1,500
  6. 123456 1,251
  7. 1q2w3e4r 1,165
  8. 11111111 966
  9. 1qaz2wsx 958
  10. 11223344 944
  11. 0 915
  12. qwertyui 910
  13. 1234qwer 895
  14. 123456789 888
  15. nproc 887
  16. iloveyou 883
  17. 88888888 881
  18. 1234567890 864
  19. aaaaaaaa 859
  20. 87654321 846
  21. abcd1234 842
  22. a1234567 807
  23. 111111111 790
  24. 123321123 778
  25. qwer1234 776
  26. 12121212 773
  27. 123456123 768
  28. 55555555 753
  29. q1w2e3r4 749
  30. 12341234 742
  31. 77777777 741
  32. asdasdasd 740
  33. 31415926 739
  34. 1111111111 736
  35. 99999999 716
  36. qweasdzxc 716
  37. 33333333 708
  38. 123123123 699
  39. asdfghjk 696
  40. 123456789 695
  41. 66666666 693
  42. 147258369 691
  43. 0 687
  44. 111111 687
  45. qqqqqqqq 685
  46. 12344321 672
  47. 22222222 672
  48. xiazhili 661
  49. asdfasdf 658
  50. a123456789 655

期間中に入力されたパスワード。adminやpassword、空白、といった単純なフレーズや、qwertyuiといったキーボードの配列通りに入力しただけのパスワードは利用を避けた方が良いことが解る。

■侵入後に実行されたコマンド

  1. shell 1,136
  2. system 1,022
  3. cat /proc/cpuinfo | grep name | wc-l 941
  4. cat /proc/cpuinfo | grep name | head-n 1 | awk'{print $4,$5,$6,$7,$8,$9;}' 940
  5. uname-a 940
  6. cat /proc/cpuinfo | grep name | head-n 1 | awk {print $4,$5,$6,$7,$8,$9;} 939
  7. cat /var/tmp/.var03522123 | head-n 1 939
  8. echo "321" > /var/tmp/.var03522123 939
  9. rm-rf /var/tmp/.var03522123 939
  10. cat /proc/cpuinfo | grep model | grep name | wc-l 938

Cowireと呼ばれるハニーポットでは、SSHを起動し、サイバー攻撃者が入力したコマンドを記録出来る。期間中に記録されたコマンドは上記の通り。

■利用を試みられたCVE

  1. CVE-2006-2369 389,315
  2. CVE-2001-0540 8,865
  3. CVE-2012-0152 951
  4. CAN-2001-0540 472
  5. CVE-2002-0013 CVE-2002-0012 284
  6. CVE-2002-0013 CVE-2002-0012 CVE-1999-0517 193
  7. CVE-2018-14847 CVE-2018-14847 100
  8. CVE-2005-4050 77
  9. CVE-2014-0160 35
  10. CVE-2003-0818 33

期間中に最も多かったCVEはCVE-2006-2369。これは、RealVNC Serverの脆弱性。次のCVE-2001-0540はWindows の Terminal Server Service におけるメモリリークの脆弱性。CVE-2012-0152はリモート デスクトップの脆弱性。