セキュリティ系の勉強、その他開発メモとか雑談. GithubはUnity触っていた頃ものがメイン Twitterフォローもよろしくです

T-pot観察 #1 2018/10/1~10/4

ちゃっかり記事に数字入れてますが、続くかわかりません。ハニポ(セキュリティも)初心者が自宅のハニポを見て思ったことをテキトーに綴って行きます。


アクセス

f:id:thinline196:20181004160634p:plain

Cowrieへのアクセスが圧倒的に多いですね。時間軸で見ると、いつアクセスが多くなったのかがわかりやすいです。また国別で見ると、、

f:id:thinline196:20181004160605p:plain

特徴が掴みやすと感じました。



大量アクセス(Cowrieで観測)

10/2の12:00~13:30の間にオランダから大量のsshアクセスがありました。134.19.187[.]78から14330回のアクセス。下の画像は同日12:00~14:00の間の記録
f:id:thinline196:20181004155031p:plainf:id:thinline196:20181004155035p:plain


タグクラウドを見ると0101でのアクセスが多いです。実際に上記のIPアドレスからは0101でしかアクセスされていませんでした。下はフィルターした結果。
f:id:thinline196:20181004155800p:plain
f:id:thinline196:20181004155755p:plain



まだ統計日数が少ないですが、Cowrieへは1日平均1000アクセス程度に見えるので集中的にアクセスされていたと思います。



ロシアからのアクセス(Cowrie)

10/1, 9:00~10/3, 21:00の間にロシアから継続的にアクセスが続いてました。
f:id:thinline196:20181004161649p:plain
f:id:thinline196:20181004161652p:plain

メインは443を使用したものでしょうが、他のポートにも量の多いアクセスがきてます。

f:id:thinline196:20181004161821p:plain
上の図のipアドレスからは全て0101でアクセスされていました。


オランダからのとも合わせて、何かDoS攻撃のキャンペーンだったのでしょうか?0101というのは昨年のパスワードワーストランキングには入っていないので、侵入できたらラッキーぐらいのものでしょうか?


中国からのアクセス

10/4, 8:30~9:00にかけて211.143.198[.]232 1704回のアクセスを記録。記録的にはtelnetを使用したJuniper ScreenOS の脆弱性の利用が疑われるとあるが、アクセス数に対して7件のみのヒットだったので、本当かは微妙かも。
一応、ポート2223を調べたところESET Remote Administratorがヒットしました。システム管理者のWebブラウザーからクライアントの設定内容の確認や変更などをネットワーク経由で行えるもの。これに対してroot権限を取りにきてるパターンもあるのかなと思ったりなんだり、、、
f:id:thinline196:20181004223629p:plain
f:id:thinline196:20181004225941p:plain



CVE-2012-5959 CVE-2012-5958

上記での攻撃を8030回観測しています。次に多い脆弱性の利用はCVE-2001-0540の242回なので群を抜いて多いですね。
狙われているのはUPnP機器のSSDP脆弱性でRCEっぽいです。UPnPはそもそもネットワーク上の機器を自動的に発見・接続するもの。その中で使われているプロトコルの一つがSSDPで、機器の探索や応答を行うために使用するとのこと。
cve.mitre.org


それを利用した攻撃?としてこんなものがあるそうです。UPnP機能の自由を奪われ、LAN内への攻撃やプロキシとして利用される可能性があるものとのこと。
「UPnP(libupnp)に脆弱性・WANから攻撃可能」という話の中身を調査してみた