日本人っぽいアカウント狙いのブルートフォース
Published: 2013/06/25
sshへのブルートフォースについて、あるタイミングでそれまでとは違うID、パスワードの組み合わせでのブルートフォースが観測されます。
最も多いのはrootアカウントのパスワードを狙うものですが、sshの認証失敗時にIDだけではなく入力されたパスワードも記録できるようにした環境を作りそこで観測されたアカウント/パスワードの組み合わせの例はこのような感じになります。
root/password root/1q2w3e root/abc123 root/abcd1234 root/redhat root/qwertyuiop root/qazwsxedc root/qsxesz root/q1w2e3r4 root/q2w3e4r5 root/2wsx3edc root/1qwe23
そのような中で、root以外のアカウントを狙うものも観測されますが、さらにあるタイミングで以下のような日本人の名前っぽいアカウント/パスワードの組み合わせを利用した攻撃が観測されます。(そうじゃないのも混ざって観測されますが。。)
hikari/hikari hilmar/hilmar himiko/himiko hirata/hirata hirosen/hirosen hirosi/hirosi hisshiki/hisshiki hiwada/hiwada honsya/honsya horai/horai hori/hori kaz/kaz kazushi/kazushi kddi/kddi kenta/kenta kikuchi/kikuchi kimura/kimura kimuray/kimuray kingdom/kingdom kingu/kingu kingyo/kingyo kinkuma/kinkuma kinnwrt/kinnwrt kinoken/kinoken kinoko/kinoko kinosita/kinosita kinta/kinta kintaf/kintaf kintani/kintani kintaroy/kintaroy kinugawa/kinugawa nakano/nakano nakata/nakata nana/nana naoe/naoe naokoa/naokoa narushima/narushima natnapang/natnapang nayuki/nayuki nesn/nesn niranu/niranu nishi/nishi
たまたま攻撃に使っている辞書の周期ということなのかもしれませんが
とりあえず各サーバーへの一日あたりの全攻撃数の推移に前述の日本人っぽいアカウントへの攻撃が観測された時期を示してみました。
線が4本なのは4箇所での観測状況ということ。
だいたい各月の7日前後と14日前後であって、世間を騒がすアカウント窃用系の攻撃もだいたい同じようなタイミングで発生してるんじゃないかなぁ関連あるかなぁと思いましたが、単なる辞書攻撃のループ周期に当たっているだけじゃないかとも思えるわけで、見たまま以上のことは何も。。。
また、rootやadminのような特別なアカウント以外はIDとパスワードが同一であるパターン狙いなのですが、やはりそういうアカウントがみつかるのでこの攻撃が成立しているんでしょうねと。
ということで、結局は基本的なことではありますが、本運用は当然、テンポラリIDや仮ID、新規アカウントの初期パスワードだとしても、IDに使われた文字列はパスワードには利用しない、数字記号をまぜるなどの基本ルールを作りそれを守りましょうということしかないですね。
by jyake