2019年11月のハニーポット観察記録。前月より263%増加。

期間中狙われたパスワード

 2019年11月1日から30日までの期間に、AWS上に設置したハニーポットで検知したサイバー攻撃についてレポートする。

■ハニーポットの構成

 本レポートで使用したハニーポットはAWSの東京リージョンに設置されており、AWSのパブリックIPアドレスを割り当て、パブリックDNSは割り当てていない。AWSのセキュリティグループはハニーポットにログインするポート番号以外は全てオープンとなっている。「AWSのセキュリティグループの設定を誤るとこんな攻撃を受ける」という視点で見て貰うと、セキュリティの重要性を理解する助けになるだろう。

■攻撃を受けたハニーポットトップ 10

  1. Dionaea  3,814,198
  2. Cowrie  1,123,930
  3. Heralding  1,048,553
  4. Honeytrap  816,820
  5. Mailoney  31,888
  6. Rdpy  10,398
  7. Tanner  6,359
  8. Adbhoney  4,874
  9. Ciscoasa  1,570
  10. ConPot  267

攻撃総数は 6,858,857 で、前月の 2,608,111 より263%増加した。

最も多くの攻撃を受けたのは、先月と変わらずDionaeaだった。DionaeaはHTTPやFTP、MySQLといったメジャーなサービスを提供するハニーポット。Dionaeaに向けられた攻撃のうち最も多かったのは、先月同様mssqldであり、2,155,789回の攻撃を検出した。次いでsmbdが1,472,661回、SipSessionが98,603回と続く。一般的に外部からの接続を許可していることが多いhttpdは五位で3,139回の攻撃を検出した。

二番目に多くの攻撃を受けたのは、Cowrie。これはTelnetやSSHといったプロトコルへの攻撃を検出する。82%がSSHに対する攻撃、17%がTelnetへの攻撃となった。

三番目はHeralding。これは資格情報を狙う攻撃を検知するハニーポット。期間中に1,048,553回の攻撃を検出した。なお、Heraldingは10月の統計では2番目に多くの攻撃を検出していたが、Cowrieに対する攻撃が急増したため今回は三番目となった。しかし、Heraldingに対する攻撃自体は10月時よりも増加していた。10月同様攻撃の9割以上はVNCに向けられていた。

■攻撃を仕掛けてきた国

期間中に攻撃を仕掛けてきた国の順位は以下の通り。

  1. Russia 1,145,101
  2. Vietnam 530,733
  3. China 528,725
  4. India 473,506
  5. Republic of Korea 462,609
  6. Republic of Moldova 408,852
  7. Indonesia 302,375
  8. United States 283,489
  9. Taiwan 214,434
  10. Brazil 161,519

■侵入を試みられたユーザID

  1. sa 2,150,458
  2. root 30,493
  3. admin 8,613
  4. nproc 7,398
  5.  2,318
  6. 22 1,778
  7. guest 1,012
  8. test 982
  9. user 783
  10. mysql 755
  11. backup 632
  12. support 611
  13. server 602
  14. 123456 417
  15. ubnt 285
  16. 123 277
  17. ftpuser 255
  18. oracle 250
  19. ftp 214
  20. www 207
  21. bin 198
  22. ubuntu 178
  23. password 174
  24. com 172
  25. operator 159
  26. info 153
  27. wwwrun 144
  28. ching 141
  29. Admin 134
  30. games 134
  31. sshd 133
  32. yoyo 133
  33. uucp 132
  34. default 131
  35. mail 131
  36. rpc 130
  37. dovecot 128
  38. pi 128
  39. nfs 127
  40. webmaster 127
  41. daemon 126
  42. ident 125
  43. vcsa 125
  44. webadmin 125
  45. apache 124
  46. home 124
  47. squid 124
  48. news 121
  49. wwwadmin 121
  50. gdm 120

期間中に50個のユーザIDを利用する攻撃が観測された。最も多かったユーザ名は「sa」。これはSQLサーバで利用されるユーザID。次いでroot、adminが続いた。トップ3において前月から変化はなかった。何れもシステム管理者用のユーザIDとして、広く一般的に知られている物であり、こういった特権IDは複雑なパスワードや二要素認証を適用することが重要であることが、攻撃頻度の多さから実感できる。

■侵入を試みられたパスワード

  1.  8,367
  2. password 8,143
  3. root 7,450
  4. nproc 7,398
  5. admin 6,901
  6. 12345678 5,246
  7. 123456 3,576
  8. 1q2w3e4r 2,442
  9. 1qaz2wsx 2,139
  10. Password 2,125
  11. 0 2,080
  12. 11111111 2,014
  13. 11223344 1,969
  14. 1234qwer 1,881
  15. qwertyui 1,871
  16. 88888888 1,859
  17. aaaaaaaa 1,845
  18. q1w2e3r4 1,798
  19. iloveyou 1,797
  20. abcd1234 1,789
  21. qwer1234 1,777
  22. 123456789 1,770
  23. asdfghjk 1,738
  24. 1234567890 1,723
  25. 31415926 1,660
  26. 87654321 1,653
  27. 12121212 1,628
  28. 1qazxsw2 1,623
  29. 22222222 1,570
  30. 12341234 1,564
  31. 77777777 1,564
  32. qweasdzxc 1,558
  33. asdf1234 1,536
  34. 123456123 1,535
  35. computer 1,530
  36. 66666666 1,515
  37. 99999999 1,493
  38. 123321123 1,492
  39. asdfasdf 1,479
  40. a1234567 1,477
  41. 55555555 1,447
  42. 123456aa 1,436
  43. 987654321 1,420
  44. a123456789 1,396
  45. 111111111 1,385
  46. 123123123 1,377
  47. dearbook 1,366
  48. 1111111111 1,361
  49. 33333333 1,350
  50. 123qweasd 1,342

期間中に最も多く利用されたのは空白のパスワード。次いでpassword、rootとなった。単純なフレーズや、qwertyuiといったキーボードの配列通りに入力しただけのパスワードは利用を避けた方が良いことが解る。

■侵入後に実行されたコマンド

  1. cat /proc/cpuinfo | grep name | wc-l 7,509
  2. echo "321" > /var/tmp/.var03522123 7,500
  3. rm-rf /var/tmp/.var03522123 7,496
  4. cat /var/tmp/.var03522123 | head-n 1 7,493
  5. cat /proc/cpuinfo | grep name | head-n 1 | awk'{print $4,$5,$6,$7,$8,$9;}' 7,490
  6. cat /proc/cpuinfo | grep name | head-n 1 | awk {print $4,$5,$6,$7,$8,$9;} 7,490
  7. free-m | grep Mem | awk'{print $2 ,$3, $4, $5, $6, $7}' 7,485
  8. free-m | grep Mem | awk {print $2 ,$3, $4, $5, $6, $7} 7,485
  9. ls-lh $(which ls) 7,482
  10. crontab-l 7,481

Cowireが検出した、サイバー攻撃者の入力コマンド

■利用を試みられたCVE

  1. CVE-2006-2369 1,058,343
  2. CVE-2018-14847 CVE-2018-14847 110,496
  3. CVE-2001-0540 19,664
  4. CAN-2001-0540 1,199
  5. CVE-2012-0152 895
  6. CVE-2016-5696 343
  7. CVE-2002-0013 CVE-2002-0012 306
  8. CVE-2005-4050 284
  9. CVE-2002-0013 CVE-2002-0012 CVE-1999-0517 207
  10. CVE-2003-0818 54

期間中に最も多かったCVEは前月と同じCVE-2006-2369でありRealVNC Serverの脆弱性を狙われた。次いでCVE-2018-14847、これはMikroTik RouterOSの脆弱性を狙う攻撃。三番目はCVE-2001-0540でありWindows の Terminal Server Service におけるメモリリークの脆弱性を狙う攻撃という順位になった。