ハニーポットメモリー【3】【6/24-6/30】

今週のハニーポットメモリーは，今週の観測結果に加えて，以下の2点についてどのような様子となっているか，観測していきます．

増加しているRDP通信は本当に増加しているのか？どれくらい増加しているのか？
Oracle WebLogic Serverの脆弱性を悪用する7001番通信への攻撃は増加しているのか？PoCは出ているのか？

6/24-6/30のハニーポットの観測結果

f:id:uky007:20190630184348p:plain — 6/24-6/30のハニーポットの記録

観測された通信は，およそ11万件，攻撃のほとんど（10万件以上）はCowrie宛のsshもしくはtelnet通信でした．大きな山ができているのは日本時間で6/29の9時くらいで，その時に攻撃通信を仕掛けている国は某ヨーロッパの国と，いろいろとサイバー攻撃での暗躍がうわさされる某大国です．

乗っ取りやすいところをくまなくボットを用いて，探索してきているのでしょう．おそらく同じハニーポットでも同様の結果が観測されると思われます．

RDP通信の観測結果

6/24に以下のようなニュースを読みました．

http://www.security-next.com/105952

リモートデスクトップ狙うアクセスが増加 - 広範囲のポートに探索行為

TCP 3389番ポートを含む広範囲の宛先ポートに対し、ユーザー名など特定の文字列を含むアクセスが行われているという。特定のIPアドレス領域より、広範囲のポートへアクセスの試行が行われており、ポート番号を変更して運用しているケースも含め、探索行為が行われていると分析している。

RDPを提供する3389番ポートへのスキャン通信が増加しているとのこと．

特定のIPアドレス領域，通常のスキャンを避けるためサービス提供ポートを3389以外のハイポートへ変更していることも考慮したスキャンが行われているようですが，私の運用する日本のIPアドレスの3389ポートへの通信が先週までと比べて増加しているかについて情報展開します．

f:id:uky007:20190630183432p:plain — 6/11-6/23までのRDP通信の観測結果

f:id:uky007:20190630183515p:plain — 6/24-6/30までのRDP通信の観測結果

上の画像のほうが，観測数が多いですが，2週間分なので平均化して420くらい．対して，増加しているとニュースが出てからの観測数は334なので，平均以下ですね．

どうやら，私のハニーポットを運用しているIPはスキャンの探索領域には入っていないようでした．

しかし，大きな違いがありました．上の画像では，最多アクセス数はインドネシアだったのですが，今週の最多アクセスは中国となっており，今まで最多アクセスだったインドネシアの霊圧が消えています．

7001番ポートの観測結果

以前の私の記事*1でも紹介した通り，Oracle WebLogic Serverに深刻な脆弱性が内在していることが公表されました．各組織から注意喚起がされていますが，あれから1週間，PoCが出ているか，それに伴い通信が急増しているかについて情報展開します．

f:id:uky007:20190630190013p:plain — 6/24-6/30までの7001番ポートの観測結果

今週初めは，ハニーポットが止まっていたこともありますが，たったの8件です*2．

まだ主流なPoCが出ていないのかなと思い，PoCが入手できるExploit DB*3で検索してみました．

f:id:uky007:20190630190252p:plain — CVE番号で検索した結果

f:id:uky007:20190630190319p:plain — ソフトウェア名で検索した結果

どちらで検索しても，今回の脆弱性に該当するPoCに関する情報がないことが分かります．今回のPoCの情報が出たのが6/19だったので，5/29のPoCは今回の脆弱性の悪用するPoCではないと考えられます．Sturts2の脆弱性など，簡単に悪用できるものだと即日作られて悪用される印象があるのですが，少し以外な結果です*4．

といっても，時間の問題であること，どこかのニュースではすでに悪用もと騒がれていたことから，Oracle WebLogic Serverを運用している方でアップデートしていない方は引き続き注意が必要です．