cNotes 検索 一覧 カテゴリ

日本人っぽいアカウント狙いのブルートフォース

Published: 2013/06/25

sshへのブルートフォースについて、あるタイミングでそれまでとは違うID、パスワードの組み合わせでのブルートフォースが観測されます。

最も多いのはrootアカウントのパスワードを狙うものですが、sshの認証失敗時にIDだけではなく入力されたパスワードも記録できるようにした環境を作りそこで観測されたアカウント/パスワードの組み合わせの例はこのような感じになります。

 root/password
 root/1q2w3e
 root/abc123
 root/abcd1234
 root/redhat
 root/qwertyuiop
 root/qazwsxedc
 root/qsxesz
 root/q1w2e3r4
 root/q2w3e4r5
 root/2wsx3edc
 root/1qwe23

そのような中で、root以外のアカウントを狙うものも観測されますが、さらにあるタイミングで以下のような日本人の名前っぽいアカウント/パスワードの組み合わせを利用した攻撃が観測されます。(そうじゃないのも混ざって観測されますが。。)

 hikari/hikari
 hilmar/hilmar
 himiko/himiko
 hirata/hirata
 hirosen/hirosen
 hirosi/hirosi
 hisshiki/hisshiki
 hiwada/hiwada
 honsya/honsya
 horai/horai
 hori/hori
 kaz/kaz
 kazushi/kazushi
 kddi/kddi
 kenta/kenta
 kikuchi/kikuchi
 kimura/kimura
 kimuray/kimuray
 kingdom/kingdom
 kingu/kingu
 kingyo/kingyo
 kinkuma/kinkuma
 kinnwrt/kinnwrt
 kinoken/kinoken
 kinoko/kinoko
 kinosita/kinosita
 kinta/kinta
 kintaf/kintaf
 kintani/kintani
 kintaroy/kintaroy
 kinugawa/kinugawa
 nakano/nakano
 nakata/nakata
 nana/nana
 naoe/naoe
 naokoa/naokoa
 narushima/narushima
 natnapang/natnapang
 nayuki/nayuki
 nesn/nesn
 niranu/niranu
 nishi/nishi

たまたま攻撃に使っている辞書の周期ということなのかもしれませんが

とりあえず各サーバーへの一日あたりの全攻撃数の推移に前述の日本人っぽいアカウントへの攻撃が観測された時期を示してみました。

線が4本なのは4箇所での観測状況ということ。

だいたい各月の7日前後と14日前後であって、世間を騒がすアカウント窃用系の攻撃もだいたい同じようなタイミングで発生してるんじゃないかなぁ関連あるかなぁと思いましたが、単なる辞書攻撃のループ周期に当たっているだけじゃないかとも思えるわけで、見たまま以上のことは何も。。。

また、rootやadminのような特別なアカウント以外はIDとパスワードが同一であるパターン狙いなのですが、やはりそういうアカウントがみつかるのでこの攻撃が成立しているんでしょうねと。

ということで、結局は基本的なことではありますが、本運用は当然、テンポラリIDや仮ID、新規アカウントの初期パスワードだとしても、IDに使われた文字列はパスワードには利用しない、数字記号をまぜるなどの基本ルールを作りそれを守りましょうということしかないですね。

[カテゴリ:もろもろ]

by jyake