SSH Honeypotを30日間運用すると見えてくるもの

 (blog.sofiane.cc)
12 ポイント 投稿者 GN⁺ 2024-06-17 | 3件のコメント | WhatsAppで共有
  • ハニーポット: 攻撃者がシステムに侵入しようとした際に、攻撃を検知して記録する仕組み
    • SSHハニーポット: SSHを対象とするハニーポット
  • 30日間SSH Honeypotを運用した結果
    • 30日間で合計11,599回のログイン試行があり、1日平均386回のログイン試行があった
    • 最も多く使われたユーザー名は root、345gs5662d34、admin、pi など。そのほか ubuntu、ubnt、support、user、oracle など
      • 345gs5662d34 は Polycom CX600 IP電話機のデフォルト認証情報である可能性がある
    • 最も多く使われたパスワードは 345gs5662d34、3245gs5662d34、admin、123456、password など
  • ログイン後に実行されたコマンドを分析した結果、次のような不審な活動が見つかった:
    • 最も多く実行されたコマンド
      • echo -e “\x6F\x6B”: 6,775回
      • cd ~; chattr -ia .ssh; lockr -ia .ssh: 1,016回
      • uname -s -v -n -r -m: 320回
    • oinasf スクリプト実行後に uname -s -m コマンドでシステム情報を収集しようとした
    • ./ip cloud print コマンドにより MikroTik ルーターへの攻撃を試みた
    • mdrfckr 暗号資産マイナーをインストールし、ほかのマイナープロセスは終了させた
    • MIPSアーキテクチャ向けマルウェアの配布を試みた(主にルーターやIoTデバイスが対象)
    • Gafgyt(BASHLITE)マルウェアの一部である Sakura.sh スクリプトを実行
      • Gafgyt は IoT機器やLinuxシステムに感染するボットネットで、DDoS攻撃などの機能を持つ
      • 弱いパスワードやデフォルトパスワード、既知の脆弱性を利用してデバイスを掌握しようとする
      • 2014年から存在し、DDoS攻撃を実行できる複数の亜種へと発展している

GN⁺の見解

  • ハニーポットは攻撃パターンを分析し、防御戦略を立てるうえで有用
  • デフォルトのユーザー名とパスワードを使うことが非常に危険であると分かる
  • IoTデバイスとルーターは特に脆弱なため、セキュリティ設定を強化する必要がある
  • 暗号資産マイナーのようなマルウェアはシステム資源を浪費し、セキュリティ脅威をもたらす
  • 新たなセキュリティ脅威に備えるため、継続的な監視とアップデートが必要

関連記事

3件のコメント

 
nullptr 2024-06-17

345gs5662d34 が多かったので調べてみたところ、特定のキーボードでは password を意味するという話(https://isc.sans.edu/diary/Common+usernames+submitted+to+honeypots/…
 
cosine20 2024-06-17

ちょっと votmdnjem(パスワード)っぽい感じかもしれませんね
 
GN⁺ 2024-06-17
Hacker Newsの意見

  • セルフホストのメールサーバーとファイアウォールログの分析: 異常なトラフィックを遮断するためにスクリプトを設定し、インターネットセキュリティ企業のスキャナーネットワークをブロックして、不要なトラフィックを50%以上削減。

  • パスワードログイン再有効化後のセキュリティ問題: パスワードログインを一時的に有効化したところ、数千件のログイン試行が発生し、その大半が中国発であることが確認された。

  • スキャナーの可視化: スキャナーの位置とASNを可視化して、より良い理解に役立てている。厳格な検証手順を持つVPSプロバイダーは、スキャナー活動の抑制に役立つ。

  • SSHのセキュリティ設定: SSHサーバーの安全性を高めるため、ポート変更、パスワード認証の無効化、特定ユーザーのみを許可する設定が推奨されている。

  • 公開鍵認証のみを使うSSH: 公開鍵認証のみを使用しているなら、fail2banのような追加のセキュリティツールはそれほど大きな助けにはならず、VPNのような追加の防御層が推奨される。

  • 中国IPの遮断: SSHログイン試行の大半が中国から発生しているため、中国IPをブロックし、必要な場合のみ一時的に解除する。

  • 匿名FTPサーバー運用経験: 2000年代初頭に匿名FTPサーバーを運用し、最新のクラックソフトを簡単に入手できた経験を共有。

  • 自前サーバーホスティングの前向きな側面: インターネットに公開されたものはすべて、誰かが悪用を試みる可能性があるため、セキュリティへの理解を深めることが重要だとしている。

  • 不明なコマンド lockr: lockr コマンドへの参照は見つからず、主にマルウェアが chattr コマンドと一緒に実行するものとして観察されている。

  • MikroTikルーターと攻撃者の活動: MikroTikルーターのクラウドDNS機能を利用して、攻撃者がルーターの動的DNSエントリを確認し、IPアドレス変更後もアクセスできるようにしている.