ハニーポット観察日記(2018/12/30)
はじめに
こんにちは。cute_otterです。
ハニーポット観察日記と題してハニーポットで取得したログの分析をやっていきたいと思います。
ログ分析の経験が浅いので、至らない点が多々あるかと思いますがよろしくお願いします。
ハニーポット「Cowrie」で2018/12/30 (日) 00:00~23:59 UTC(運用48日目)に取得したログの簡易分析です。
概況
特徴
- イベント件数の大幅な減少(普段より20万件ほど減少)
- アメリカからのアクセス件数の大幅な減少(普段より40万件ほど減少)
- イタリアからのアクセス件数の大幅な増加(普段より30万件ほど増加)
- Grain Media製のDVR「GM8182」を狙ったとみられる攻撃の増加(前日より150件ほど増加)
国別のアクセス件数
国別のアクセス件数(上位10位)は以下の通りです。
順位 | 国名 | 件数 | 備考 |
---|---|---|---|
1. | Italy | 379,399 | - |
2. | United States | 213,864 | - |
3. | United Kingdom | 19,256 | - |
4. | Ireland | 13,964 | - |
5. | Romania | 7,250 | - |
6. | Netherlands | 6,180 | - |
7. | Unknown | 5,825 | 識別不能 |
8. | Singapore | 4,640 | - |
9. | China | 3,859 | - |
10. | Russia | 2,186 | - |
普段はアメリカからのアクセス件数が60~70万件あるのですが、今日は40万件ほど減少しました。
一方、イタリアからのアクセス件数が普段と比べて30万件ほど増加しました。
ログイン試行
ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位10位)は以下の通りです。
順位 | ユーザ名 | パスワード | 件数 | 備考 |
---|---|---|---|---|
1. | admin | admin | 4,497 | - |
2. | root | 88888888 | 1,208 | - |
3. | guest | 123456 | 617 | - |
4. | root | GM8182 | 617 | Grain Media製のDVR「GM8182」を狙ったものと思われる |
5. | admin | admin1 | 593 | - |
6. | support | 1234 | 585 | - |
7. | enable | system | 212 | - |
8. | support | support | 211 | - |
9. | root | hi3518 | 156 | HiSilicon Technologies製のIPカメラ「Hi3518」を狙ったものと思われる |
10. | root | 1234 | 144 | - |
ここ3日間ほど、「GM8182」を狙った攻撃の検知数が増加しています。
ダウンロードされたファイル
ダウンロードされたファイル(一部抜粋)は以下の通りです。
SHA256 | 備考 |
---|---|
0a0418aa474b3f17b4bad12bb6cb5fa0b8fdc1a23ff7f514767db3a894b80bf3 | Mirai |
f919b9a88cd4aedf43145916d33f9ca10202735acec3b052b842cfdbaf5ba27b | Mirai |
b4f01f01388f802543fbea17ec26e795b22c9b915118243c792d158f303f981a | Mirai |
ed70659058fcd93577e64abe1bec674f2b698e1e626f4af1faa9ca4f6f648d11 | Mirai |
d7900836c91aed59bb491a22e7de040bdf5f64086c528ce6e4709a5054cf27db | Mirai |
b2a3064521afd19be22face46143d15895fff8ff525c293bd00d8655a3e885e5 | Gafgyt |
Mirai(亜種含む)やGafgyt(亜種含む)と思われるマルウェアのダウンロードが目立ちました。
以上です。