ハニーポット観察記録 2018年1月
今月末、@morihi_socさん主催のハニーポッターイベントが開催されるということで、ハニーポッター枠として申し込みさせていただきました。
ハニーポット関連の技術交流会ということで、今からとても楽しみにしています。
今回は聞く側ですが、次回は自分も何か発表したいなぁと思っており、今からネタ探しに奔走しています(前々からやりたいと思っていたスパムポットか、高対話ハニポあたりかなと思ってます)。
それでは今回もハニポ観察記録について記載していきたいと思います。
全体のアクセス状況
まずは2018年1月に観測した攻撃情報を公開していきたいと思います。
アクセス元(国)
アクセス元の都市としては前回と同じくロシアのサンクトペテルブルグがダントツで多いのですが、今回は韓国からのアクセスも多い結果となりました。
アクセス元(日本)
日本国内としては、やはり関東以南が多い傾向です。
アクセスポート
アクセスポートとしては前回同様、SSH、VNCがやはり多い傾向です。
1900ポートに関しては、月初の4日間程度にアクセスが集中していました。
また110ポートに関しては、16日と23日のみ、多くのアクセスがありました。
前回見られなかったアクセス先としては6379ポートが新たにランクインしました。これについては後ほどHoneytrapのところで記載したいと思います。
アクセスポート(日本からの通信のもの)
上記は 通信元が日本国内からのものです。
上位にランクインしているポートである23(表示上は2223)、2323、81などは、Mirai亜種などのIoT機器に感染するマルウェアが感染拡大させるために出す通信のようです。上記のすべてとは限らないと思われますが、それでも国内には数多くの感染したIoT機器があるのではと考えられます。
SSH・TELNET(Cowrie)
Cowrieにて観測した攻撃情報です。
使用されたユーザ名・パスワード
SSH、TELNETのアクセスに使用されたユーザ名(左)とパスワード(右)のタグクラウドになります。
ユーザ名についてはadminとrootが目立っていました。デフォルトでよく使われるユーザ名が攻撃対象として使われているようです。
パスワードは前回から引き続き、よく使われるパスワードが上位にランクインしておりました。他はやはりIoT機器の初期パスワードが多い傾向です。
以下、気になったユーザ名、パスワードについて調べてみました。
- xmhdipc・・・IPカメラの初期パスワードのようです。Miraiの攻撃に用いられるようです。
- vizxv・・・IoT機器に感染するマルウェアであるBricker Botが攻撃に使うようです。
- ggdaseuaimhrke・・・Avayaというメーカのメディアゲートウェイの初期パスワードのようです。
- ibmdb2・・・IBMが開発している、DB管理ソフトのようです。これがターゲットにされた理由はよくわかりませんでした。
ダウンロードされたファイルの種類
Cowrieが退避・保全したものになります。種別はVirus Total上で各ベンダが判定したものを参考にしました(そのため、誤っているところもあるかもしれません)。
| 種別 | 種類 | 合計 |
|---|---|---|
| Mirai | 14 | 19 |
| Xor DDoS | 3 | 8 |
| コインマイナー | 3 | 3 |
| マルウェア(種別不明) | 1 | 9 |
| Safe判定/VT上に登録無し | 74 | 300 |
今回はハッシュ値からVT APIを使い、自動で検知名を持ってくるようなプログラムを作成し判別させてみました。
今回も割合としてはMirai、Xor DDoSなどのDDoS化するマルウェアが多い傾向です。
またコインマイナーもいくつかダウンロードされており、VT上の検知名ではどれもMoneroをマイニングするツールのようでした。
HTTP(Glastopf)
WebサーバのハニーポットであるGlastopfで検知した攻撃内容です。
リクエストランキング
Glastopfが受けたGETリクエストのランキングです(特に多かったもの上位4位)。
| リクエスト内容 | 回数 |
|---|---|
| GET / | 215 |
| GET /server-status?auto | 51 |
| GET /status?full&json | 49 |
| GET /stub_status | 48 |
2桁アクセスがあったものは前回と同様にどれもWebサーバのステータスを確認するページへのアクセスでした。
上記のほかはやはりPhpMyAdminの管理画面へのアクセスが多くありましたが、オープンプロキシかどうかを試すアクセスも25件程度ありました(GET http://~~というアクセス)。
おおよそ、前回の調査結果と違う通信は見られませんでした。
ファイル共有系(Dionaea)
Dionaeaで検知した攻撃内容です。
アクセス元の国、アクセス先のプロトコル・ポート
前回とほぼ同じように、最多は中国から、1900ポート宛への攻撃でした。
前回と比較し多かったのが3306ポート宛への通信でした。通信記録のうちいくつかピックアップして見てみました。(攻撃者から送られてくる通信のみ記載。)
- ペイロードを直接送り込む通信
こちらはマルウェアを直接送り込もうとしている通信のようです。見てのとおりですが、ペイロードのはじめの部分が「4D5A」から始まっており、WindowsのPEヘッダであることがわかります。VTで確認したところBackdoorのようでした。
- ペイロードをダウンロードし実行する通信
こちらはOSコマンドを実行し、外部からペイロードをダウンロードし実行させようとする通信のようです。OSコマンドを実行し、ファイアウォールを停止させているのがわかります。ペイロードについてはVTで確認した結果、DDoS用のエージェントのようでした。
使用されたユーザ名・パスワード
FTPやSMBなどのサービスにおいて、使用されたユーザ名(左)とパスワード(右)のタグクラウドになります。
こちらもCowrie同様に、よく使われるパスワードを使った攻撃が多くありました。
ダウンロードされたファイルの種類
Dionaeaが退避・保全したものになります。上記に記載したCowrieと同様に、種別はVirus Total上で各ベンダが判定したものを参考にしました。
| 種別 | 種類 | 合計 |
|---|---|---|
| MySQL UDF SYS library (PUA) | 2 | 32 |
| Trojan-Exploit(W32/CVE141767.PBYC-1729) | 1 | 5 |
| Trojan-Exploit(W64/CVE-2015-1701.A) | 1 | 5 |
| Trojan-Exploit(W32/CVE-2015-1701.A) | 1 | 5 |
| Trojan-Exploit(W32/CVE-2015-2387.11776) | 1 | 5 |
| Trojan-Exploit(W32/CVE-2014-4076.C) | 1 | 5 |
| Downloader | 19 | 47 |
| Trojan.agent | 9 | 24 |
| コインマイナー(Monero) | 2 | 4 |
| WannaCry | 166 | 351 |
| マルウェア(種別不明) | 10 | 52 |
| Safe判定/VT上に登録無し | 32 | 32 |
検知結果についてはこちらもCowrie同様に、VT APIを使用した自動調査プログラムによるものです。
前回と同様で、WannaCryが多い傾向でした。
その他のプロトコル(Honeytrap)
Honeytrapで観測した気になる通信を記載します。
Honeytrapが受け付け、記録したアクセスのポート別のランキングは以下のようになっていました(アクセス数トップ10)。
| アクセス数 | TCPポート |
|---|---|
| 5839 | 6379 |
| 4130 | 81 |
| 1818 | 110 |
| 1216 | 52869 |
| 726 | 502 |
| 614 | 139 |
| 397 | 49032 |
| 260 | 503 |
| 242 | 2222 |
| 210 | 9000 |
記事冒頭でも記載しましたが、今回は新たに6379ポートがランクインしました。
6379ポートを使うのはRedisというサービスのようで、このサービスに含まれる脆弱性を突く攻撃と考えられます。
TKさんのところでも観測しているようでした。
以下、通信内容を数パターン記載します。
00000000: 494e 464f 0d0a INFO..
00000000: 2a31 0d0a 2437 0d0a 434f 4d4d 414e 440d *1..$7..COMMAND.
00000010: 0a00000000: 636f 6e66 6967 2073 6574 2064 6972 202f config set dir /
00000010: 726f 6f74 2f2e 7373 680a 00 root/.ssh..
最後に
今回も1ヶ月間観測し、観測状況を振り返ってみました。
日々さまざまな攻撃を観測していますが、やはり目新しい攻撃を観測すると楽しいものがあります。(本当はないに越したことはないのでしょうが・・)
今回もやはり感じたのは、高対話ハニーポットの必要性についてです。最後のRedisに対する攻撃についても、観測しているのはおそらく初動のサービス稼動確認と思われる内容で、実際にはこの後に本当の攻撃がやってくるのだと思われます。
T-Potのような低対話ハニーポットではこのような攻撃を観測するのは難しいので、いずれ高対話ハニーポットの構築を検討していきたいな、と思うところです。
