【ハニーポットの検証】12月の危険なユーザ名、パスワード上位50位

あけましておめでとうございます。

今年は、大きなサイバー攻撃が発生しなければいいですね！

さて、早速ですが2018年12月に使用されたユーザ名、パスワードの一覧です。今回からT-POT18.11での収集となり、SSH、telnetに使用されるもの以外もふくまれていますので、その変化にご注目です。

12月の危険なユーザ名・パスワード上位50

危険なユーザ名　TOP50

前月との件数比

先月（11月）まではハニーポットの調子が悪く、うまく収集していない日も多数ありましたので、11月度の件数はTOP50だけで283,657件にとどまっていましたが、12月は526,763件に増加しています。これでも1日～3日の午前中くらいまでは環境構築のために停止していましたので、来月はこれよりも増える可能性がありそうです。

TOP10 の傾向

2位と5位に「enabel」が存在していますが、5位の「enabel」は末尾にスペースが含まれていますので、実際には異なるユーザ名となっています。この末尾にスペースのあるenabelは、これまで存在していませんでしたので、新たに収集が可能となったDionaeaかHeralding、RDPYのいずれかで観測されたものの可能性があるかと思ったのですが、収集していたのはCowrieでした。少し、傾向が変わったのかもしれません。

また、10月には10位にいたsupportですが、11月に一度15位まで転落していましたが、結局また10位に戻ってきました。

その他の動向

今回から「>/var/.ptmx && cd /var/」といったユーザ名は、多く検出されています。これらもCowrieで検出されていますので、検出ロジックが少し変わったのでしょうか。

おそらく、これらはmiraiや、その亜種がログインに成功した後に実行するコマンドなのではないかと思われます。

（miraiのソースを読んでみましたが…もともとコードが書けない人なので、それほど詳しく読み切れませんでした。ただ、miraiのソースには書かれていなかったようなので、亜種ではないかと思いますが、詳しい方いらっしゃったら教えてください）

危険なパスワード　TOP50

前月との件数比

こちらも、ユーザ名と同様に11月度が143,174件であったのに対し、12月度は448,665件と大幅に増加しています。

この理由もユーザ名と同様でしょう。

TOP10の傾向

これまでパスワードについては、TOP10は順位の変動こそあれ、ほとんど不動でした。しかし、今回、TOP10に大きな変動があります。

まず、1位はこれまで10位だった「shell」が入ってきました。

第2位は「busybox ECCHI」3位が空白となっています。

この1位と2位ですが、IoT攻撃に特徴的な「ハニーポットにつながっていないかの確認」のための攻撃ではないかと思われます。

コマンドの投入順序が①root　②空白　③enabel　④shell　⑤sh / bin / busybox ECCHI　となっているようなのですが、こう見ると、奇数の方はユーザ名の上位ランキングに、偶数の方はパスワードの上位ランキングに一致します。また、⑤については、shがユーザ名の上位ランキングに、その後半部分がパスワードの上位ランキングに含まれています。こう見ると、IoT攻撃の受け方が変わったとみるのが正解なのかもしれません。

つぎに、これとは関係なさそうなのが、第6位のvizxv、第7位のroot、第8位のxc3511です。これらもmiraiにハードコーディングされたパスワード達なのですが、これまで20位くらいをさまよっていたのに、急に上位に浮上してきたということは、オリジナルのmiraiが再度蔓延しているのか、もしくはmiraiのハードコーディングを引き継いだ新たな亜種が登場したのか、いずれにしても、IoT攻撃が活発だと見えてきます。

その他の動向 

今回は、順位に変動が多すぎて、すべてを追いきれていません。次回以降、順次傾向を見ていきたいと思います。