ハニーレポート

ハニーポット観測レポートを中心に書いていきます。

大量アクセスしてきたipアドレスを調べる#2

ログ分析 セキュリティ

 

honey-pot-report.hatenablog.com

先週のハニーポットにきたアクセスの中で多かったipアドレスを調べます。
アクセスが多かったipアドレスはこの2つです、

2022-04-08 175.107.197.123 2001

2022-04-09 31.45.240.114 2001

※ログ集計結果を抜粋

31.45.240.114は下記記事で調べています。

 

honey-pot-report.hatenablog.com

 

本記事では175.107.197.123を調べていきます。

リクエストは、

"GET /manager/html HTTP/1.1"

になります。
これも管理者サイトへの不正アクセスですね。

ログ分析

base64でログ内容をデコードした結果がこちらです。

GET /manager/html HTTP/1.1

Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, application/x-ms-application, application/x-ms-xbap, application/vnd.ms-xpsdocument, application/xaml+xml, */*

Accept-Language: en-us

User-Agent: Mozilla/5.0 Gecko/20100101

Accept-Encoding: gzip, deflate

Host: XXX.XXX.XXX.XXX

Connection: Keep-Alive

Authorization: Basic Z3Vlc3Q6fiFAIyQlXiYqKCk=

なんかデジャヴ????
いや、デコード結果が前回の31.45.240.114のアクセス内容と同じです。

ipアドレス

ipアドレスパキスタンからのアクセスになります。
このような管理者サイトへの不正アクセスはよくあることですね。
ipアドレスを調べるとさまざまな国からのアクセス(詐称していたり、乗っ取ったりなどがほとんどだと思いますが)がきて、住所や名前などをみてみるのも面白いものです。

inetnum: 175.107.196.0 - 175.107.199.255
netname: CYBERNET
descr: Broadband Services
descr:
country: PK   → (パキスタン
admin-c: AQ84-AP
tech-c: AQ84-AP
abuse-c: AC1727-AP
status: ALLOCATED NON-PORTABLE
mnt-by: MAINT-PK-CYBERNET
mnt-irt: IRT-CYBERNET-PK
last-modified: 2021-01-27T13:12:55Z
source: APNIC irt: IRT-CYBERNET-PK


address: A904, 9th Floor,Lakson Bldg 3,Sarwar Shaheed Rd,Karachi-74200
e-mail: noc-abuse@cyber.net.pk
abuse-mailbox: noc-abuse@cyber.net.pk
admin-c: AQ84-AP tech-c: AQ84-AP
auth: # Filtered
remarks: noc-abuse@cyber.net.pk is invalid
mnt-by: MAINT-PK-AQ
last-modified: 2022-03-16T17:18:09Z
source: APNIC role: ABUSE CYBERNETPK

 

address: A904, 9th Floor,Lakson Bldg 3,Sarwar Shaheed Rd,Karachi-74200
country: ZZ
phone: +000000000
e-mail: noc-abuse@cyber.net.pk
admin-c: AQ84-AP
tech-c: AQ84-AP
nic-hdl: AC1727-AP
remarks: Generated from irt object IRT-CYBERNET-PK
remarks: noc-abuse@cyber.net.pk is invalid
abuse-mailbox: noc-abuse@cyber.net.pk
mnt-by: APNIC-ABUSE
last-modified: 2022-03-16T17:25:55Z
source: APNIC

 

person: Amjad Qasmi
address: A904, 9th Floor,Lakson Bldg 3,Sarwar Shaheed Rd,Karachi-74200
country: PK   → (パキスタン
phone: +92-021-38400654
e-mail: zhqasmi@cyber.net.pk
nic-hdl: AQ84-AP
abuse-mailbox: noc-abuse@cyber.net.pk
mnt-by: MAINT-PK-AQ
last-modified: 2021-08-31T07:15:27Z

 

source: APNIC % Information related to '175.107.197.0/24 (マスク範囲)AS24440'
route: 175.107.197.0/24 (マスク範囲)
origin: AS24440
descr: Cyber Internet Services Pakistan A - 904 9th Floor Lakson Square Building No. 3 No. 3, Sarwar Shaheed Road Karachi-74200 Pakistan mnt-by: MAINT-PK-CYBERNET
last-modified: 2016-10-18T11:44:18Z
source: APNIC % Information related to '175.107.197.0/24 (マスク範囲)AS9541'
route: 175.107.197.0/24 (マスク範囲)
origin: AS9541
descr: Cyber Internet Services Pakistan A - 904 9th Floor Lakson Square Building No. 3 No. 3, Sarwar Shaheed Road Karachi-74200 Pakistan mnt-by: MAINT-PK-CYBERNET last-modified: 2018-05-03T07:12:43Z
source: APNIC

ハニーポット参考書籍

ハニーポット構築する際に参考した書籍です。

WOWHoneypotの遊びかた “おもてなし”機能でサイバー攻撃を観察する! (技術の泉シリーズ(NextPublishing))

WOWHoneypotの遊びかた “おもてなし”機能でサイバー攻撃を観察する! (技術の泉シリーズ(NextPublishing))

Amazon

 

 

 

大量アクセスしてきたipアドレスを調べる#1

ログ分析 セキュリティ

 

honey-pot-report.hatenablog.com

先週のレポートでアクセスが多かったipアドレスを調べます。
ipアドレス31.45.240.114です。

2001アクセスありました。
このipアドレスを調べていきたいと思います。

 

ログ分析

ログの全ては割愛しますが、このipアドレスからのアクセスは全く同じアクセスの仕方によるものでした。

"GET /manager/html HTTP/1.1"

のリクエストで断続的にアクセスを仕掛けていました。
不正ログインを試みていますね。
また、managerに対して行なっていることから、管理者ページへのアクセスをしようとしていますね。
base64でデコードしてみると、下記結果となりました。

GET /manager/html HTTP/1.1

Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, application/x-ms-application, application/x-ms-xbap, application/vnd.ms-xpsdocument, application/xaml+xml, */*

Accept-Language: en-us

User-Agent: Mozilla/5.0 Gecko/20100101

Accept-Encoding: gzip, deflate

Host: XXX.XXX.XXX.XXX

Connection: Keep-Alive

Authorization: Basic bWFzdGVyOnVzZXI=

Accept欄をみるとさまざまな画像形式やらxml、アプリケーションが表示されています。
x-shockwave-flashは2019年にサポートが切れていますね。
サポート切れの脆弱性なども狙っているのでしょうか。

helpx.adobe.com


User-Agent欄はGecko/20100101と、古いですね。
次に、ipアドレスを知れべてみます。

ipアドレスクロアチアから

下記サイトからipアドレスがどこからのアクセスか調べます。

www.cman.jp

inetnum: 31.45.240.112 - 31.45.240.115
netname: ALFATEC_GROUP
descr: Alfatec Group d.o.o.
descr: Tuskanova 37
descr: 10000 Zagreb country: HR   → (クロアチア
admin-c: MK23531-RIPE
tech-c: MK23531-RIPE
status: ASSIGNED PA
mnt-by: AS12810-MNT
created: 2017-05-25T14:07:23Z
last-modified: 2020-06-04T14:35:13Z
source: RIPE # Filtered


person: Marko Kornfeld
address: Alfatec Group d.o.o.
address: Tuskanova 37
address: Zagreb
address: Croatia phone: +38598254935
nic-hdl: MK23531-RIPE
mnt-by: AS12810-MNT
created: 2020-06-04T14:33:53Z
last-modified: 2020-06-04T14:33:53Z
source: RIPE

# Filtered % Information related to '31.45.128.0/17 (マスク範囲)AS12810'

route: 31.45.128.0/17 (マスク範囲)
descr: Vipnet origin: AS12810
mnt-by: AS12810-MNT
created: 2011-03-11T10:14:06Z
last-modified: 2011-03-11T10:14:06Z
source: RIPE

クロアチアのアルファテックグループからのアクセスのようです。
名前も一応表記されていますね。
今回の攻撃は管理者サイトへの侵入を試みたアクセスと考えられるでしょう。

ハニーポット参考書籍

 

WOWHoneypotの遊びかた “おもてなし”機能でサイバー攻撃を観察する! (技術の泉シリーズ(NextPublishing))

WOWHoneypotの遊びかた “おもてなし”機能でサイバー攻撃を観察する! (技術の泉シリーズ(NextPublishing))

Amazon

 

 

 

 

 

週刊ハニーレポート4月10日号

セキュリティ ハニーポットレポート

4月3日〜4月10日までのハニーポットへのアクセスログをレポートします。

 

アクセス数

4月8日、4月9日に2000を超えるアクセスが来ています。
その他のアクセス数は100〜200程度と少なめです。

2022-04-03    

46

2022-04-04    

113

2022-04-05    

143

2022-04-06    

263

2022-04-07    

113

2022-04-08    

2085

2022-04-09    

2102

2022-04-10    

63

f:id:darjring:20220411223326p:plain

IPアドレス別アクセス数

31.45.240.114、175.107.197.123からのアクセスが2000近く来ています。
大量のアクセスはこいつらの仕業のようですね。

 

from_ip_adress

31.45.240.114

2001

175.107.197.123

2001

85.113.44.207

183

45.155.204.146

65

109.237.103.123

54

92.205.56.212

41

95.182.120.39

31

143.198.30.100

29

143.110.241.250

23

109.237.103.9

20

f:id:darjring:20220411223329p:plain

HTTPリクエストメソッド集計

GETが5000近く来ています。

 

status_code

401

4187

200

740

201

1

f:id:darjring:20220411230114p:plain

HTTPステータスコード集計

401が4000を超えています。
認証失敗系がほとんどですね。

 

401    4187
200     740
201       1

f:id:darjring:20220411230249p:plain


ハニーポット構築参考書籍

 

WOWHoneypotの遊びかた “おもてなし”機能でサイバー攻撃を観察する! (技術の泉シリーズ(NextPublishing))

WOWHoneypotの遊びかた “おもてなし”機能でサイバー攻撃を観察する! (技術の泉シリーズ(NextPublishing))

Amazon

 

 

週刊ハニーレポート4月3日号

ハニーポットレポート セキュリティ

3月27日から4月3日のハニーポットへのアクセスをレポートします。

 

週刊アクセス数

3月29日、30日、4月3日にアクセスが2000を超えています。

f:id:darjring:20220403185951p:plain

ipアドレスアクセス数

今週アクセスしてきたipアドレス別のアクセス数です。
下記3つのipアドレスからのアクセスが約2000です。
この3ipアドレスについては、別の記事で調べていこうと思います。

f:id:darjring:20220403185954p:plain

HTTPリクエスト数

GETメソッドが圧倒的に多いです。
7000を超えていますね。

f:id:darjring:20220403185957p:plain

ステータスコード

401と200のみですね。
401が7000を超えるアクセスです。
権限掌握による攻撃、秘密領域へのアクセスを試みがやはり多いといったところでしょうか。

f:id:darjring:20220403190003p:plain

 

 

ホンダキーレスシステムの脆弱性についてまとめてみた

セキュリティ 脆弱性

ホンダの乗用車シビックのキーレスシステムに脆弱性が発見された記事をまとめた記事になります。

 

脆弱性の種類

キーレスシステムの脆弱性

CVSS

CVE-2022-27254 Score: 未定

https://nvd.nist.gov/vuln/detail/CVE-2022-27254

関連CVSS

過去にも類似の脆弱性が存在。

CVE-2019-20626 Score:6.5(Medium)

https://nvd.nist.gov/vuln/detail/CVE-2019-20626

対象車

Civic LX、EX、EX-L、Touring、Si、TypeR(2016〜2020)

可能な悪用

キーレスシステムへの不正アクセス

車のドアの開閉

エンジンスタート、ストップ

攻撃方法

リプレイ攻撃

ユーザがログインするときのネットワークに流れる情報を盗聴してコピーし、コピーしたデータを認証サーバに送ることで不正ログインを試みる攻撃。

暗号化通信を行なっても暗号化されたまま認証サーバにログイン情報を送ってログインが可能な点は注意。

リプレイ攻撃に対する対策はチャレンジ・レスポンス認証方式を使用する。

 

対策

ホンダは BleepingComputer に旧モデルの修正予定はないと述べており、近くにいる攻撃者はハイテクな方法を使わなくても車にアクセス可能だとも述べているという。発見者は緩和策として、ファラデーポーチにキーフォブを入れる、RKE (remote keyless entry) の代わりに PKE (passive keyless entry) を使うなどの方法を紹介している。なお、既に攻撃者が信号を読み取って車へのアクセスが可能になっている場合、ディーラーに持ち込んでキーフォブをリセットしてもらうしかないとのこと[2]

 

関連記事

[1]

thehackernews.com

[2]

news.mynavi.jp