サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】2019年3月の危険なユーザ名、パスワード上位50位とおまけ(1ヶ月の検証)

ハニーポット(T-POT)

3月の途中でプロバイダを変更したため、一時的に件数が減少しましたが、後半の数日だけですので、気にせずいつものユーザ名とパスワードを公表したいと思います。

 

 

2019年2月の危険なユーザ名・パスワード上位50

※今月より、集計方法を変更しました。

ユーザ名、Password共に、攻撃の一環としてコマンドをたたいているようなものは除外し、実際に使用されたと思われるユーザ名とPasswordのみに限定しています。そのため、数字が少し変化しています。

危険なユーザ名 TOP50

f:id:tk-secu:20190405232556p:plain

前月との件数比

先月(2月)の件数は593,524件でしたが、今月は2,853,977件と、およそ5倍もの攻撃を受けていることになります。いったい、どんな攻撃が多かったのでしょうか。

TOP10 の傾向

TOP10の傾向に大きな変動はありません。しかし、件数が軒並み1桁変わっています。ここのTOP10にはいるようなユーザIDは、非常によく使われているユーザID(と、おそらく攻撃の起点とするためのLinuxコマンド)が大半であるため、ただただ、攻撃が激増したと言えるでしょう。 

その他の動向

その他の順位もそれほど大きく変動はありませんが、やはりどれも件数が激増しています。IoTがらみの大きな攻撃があったのかもしれません。

 

 

危険なパスワード TOP50

f:id:tk-secu:20190405233126p:plain

前月との件数比

こちらも、2月が427,071件であったのに対し、2月は2,204,369件と激増しています。ちょっと激増の要因も気になるところですね。

TOP10の傾向

急上昇しているパスワードとして「tlJwpbo6」があります某IP cameraの初期パスワードですね。おそらくmirai系のIoTマルウェアにハードコードされたのではないでしょうか。

その他の動向 

11位の「1001chin」はmirai系亜種にハードコーディングされたパスワードのようです。こちらもなにかの初期パスワードではないでしょうか。

 

ほかにも「OxhlwSG8」とか「GM8182」とか、これまであまり見なかったパスワードもランクインしています。

 

おまけ(自分用のメモ)

少し古い記事ですが、2018年初旬にpaloaltoさんが書かれた記事で、satoriの挙動が詳しく書かれていました。

https://www.paloaltonetworks.jp/company/in-the-news/2018/unit42-iot-malware-evolves-harvest-bots-exploiting-zero-day-home-router-vulnerability

亜種1番目のtelnet攻撃として、コマンドが

enable

system

shell

sh

/bin/...

 

亜種2番目のtelnet攻撃として、コマンドが

enable

system

shell

sh

ping ; sh

/bin/...

ということで、今更ですが、やはり「enable」「system」「shell」「sh」はユーザ名、パスワードから除外したほうが良さそうですね。

なぜこれらをユーザ名、パスワードとしてピックアップしているのかはわかりませんが、タイミングの問題なんでしょうか。実際のログを見て見る必要がありそうですね。

ということで、次月から上記4つのコマンドは外して掲載したいと思います。

(忘れていなければ…)

 

おまけ2 激増した攻撃は?

あまりに、今月の攻撃が激増しているため、少し詳細にハニーポットを見てみようと思います。

1ヶ月の攻撃件数

f:id:tk-secu:20190405234758p:plain

まずは1ヶ月の総攻撃件数です。トータルで35,000千件くらいでしょうか。

三千五百万件…見たことない数ですね。

また、いつもどおりCowrieだけだろうと思っていましたが(もちろん、とびぬけてCowrieが多いんですが)それ以外のハニーポットにも結構な量の攻撃が届いています。

IPアドレスごとの攻撃件数

f:id:tk-secu:20190405235133p:plain

 本当はIPアドレスを公表したいところですが、乗っ取りの可能性を考えて少しだけ…。

件数を見てみると、1つだけ8,900千件もの攻撃を行ってくれているIPアドレスがあります。

1ヶ月間に890万件です。

その下も300万件、240万件と続きます。

ということは、3,500万件の攻撃の半分くらいは、特定のIPアドレスからの攻撃だったということになりそうですね。

アクセス件数1位が使ったユーザ名とパスワード

f:id:tk-secu:20190405235629p:plain

さきほどパスワードのところで記載した「tlJwpbo6」がでかでかと乗っていますね。

ここでも「hostname SEFA_ID:(数字4桁)」というのが大量に出てきていますね。以前の記事でも記載したことがあることを思い出しましたが、あのときはPort:9527へのスキャンでしたので、違うスキャンなのでしょうか?

https://tk-secu.hateblo.jp/entry/2019/03/11/203601

IPアドレスごとの攻撃期間

もう1つ気になる点がありました。

最も攻撃回数の多かったIPアドレスからの攻撃は、3月16日から始まり28日(プロバイダ変更日)まで続いています。

一方、2番目に多かったIPアドレスからの攻撃は、3月8日から始まり15日に終息しています。

3番目のIPアドレスは、3月21日〜28日、4番目は3月8日〜28日となっています。

気になるのは1つ目と2つ目ですね。まるで入れ替わるかのように攻撃が途絶えています。攻撃内容も同じようにPort:23に対する攻撃ですし、同じ攻撃者7日もしれません(IPアドレスも国も全く違いますが…)

この辺の攻撃が大量にあって、数値が激増したのかもしれませんね。