ハニーポット観察日記(2018/12/31)
はじめに
あけましておめでとうございます。cute_otterです。
今年もCTFやハニーポットの運用・ログ分析を頑張っていきたいです。よろしくお願いします。
ハニーポット「Cowrie」で2018/12/31 (月) 00:00~23:59 UTC(運用49日目)に取得したログの簡易分析です。
概況
特徴
- イベント件数が大幅な増加(前日より20万件ほど増加)
- ログイン試行件数の増加(前日より2,500件ほど増加)
- アメリカからのアクセス件数の大幅な増加(前日より15万件ほど増加)
国別のアクセス件数
国別のアクセス件数(上位10位)は以下の通りです。
| 順位 | 国名 | 件数 | 備考 |
|---|---|---|---|
| 1. | Italy | 381,784 | - |
| 2. | United States | 364,722 | - |
| 3. | United Kingdom | 23,812 | - |
| 4. | Ireland | 17,652 | - |
| 5. | Unknown | 7,879 | 識別不能 |
| 6. | Singapore | 6,381 | - |
| 7. | Netherlands | 6,011 | - |
| 8. | Russia | 2,413 | - |
| 9. | Germany | 2,211 | - |
| 10. | Romania | 1,839 | - |
ルーマニアからのアクセス件数が前日より5,500件ほど減少しました。(前日は7,250件)
アメリカからのアクセス件数が前日より20万件ほど増加しました。
国別のログイン試行
国別のログイン試行の件数(上位10位)は以下の通りです。
| 順位 | 国名 | 件数 | 備考 |
|---|---|---|---|
| 1. | United States | 3,736 | - |
| 2. | Italy | 3,551 | - |
| 3. | United Kingdom | 3,035 | - |
| 4. | Ireland | 2,620 | - |
| 5. | Russia | 254 | - |
| 6. | Germany | 247 | - |
| 7. | China | 203 | - |
| 8. | Singapore | 163 | - |
| 9. | Netherlands | 131 | - |
| 10. | France | 114 | - |
ログイン試行で使用されたユーザ名とパスワード
ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位10位)は以下の通りです。
| 順位 | ユーザ名 | パスワード | 件数 | 備考 |
|---|---|---|---|---|
| 1. | admin | admin | 5,783 | - |
| 2. | root | 88888888 | 1,287 | - |
| 3. | root | GM8182 | 668 | Grain Media製のDVR「GM8182」を狙ったものと思われる |
| 4. | guest | 123456 | 666 | - |
| 5. | support | 1234 | 666 | - |
| 6. | admin | admin1 | 664 | - |
| 7. | support | support | 282 | - |
| 8. | root | vizxv | 267 | - |
| 9. | root | xc3511 | 255 | Xiongmai製のDVRを狙ったものと思われる |
| 10. | root | hi3518 | 198 | HiSilicon Technologies製のIPカメラ「Hi3518」を狙ったものと思われる |
ここ4日間ほど、「GM8182」を狙った攻撃の検知数が増加しています。
アメリカ
アメリカからのログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位10位)は以下の通りです。
| 順位 | ユーザ名 | パスワード | 件数 | 備考 |
|---|---|---|---|---|
| 1. | support | support | 273 | - |
| 2. | root | vizxv | 255 | - |
| 3. | root | xc3511 | 248 | Xiongmai製のDVRを狙ったものと思われる |
| 4. | root | hi3518 | 198 | HiSilicon Technologies製のIPカメラ「Hi3518」を狙ったものと思われる |
| 5. | admin | 4321 | 196 | - |
| 6. | root | 1234 | 196 | - |
| 7. | root | 666666 | 196 | - |
| 8. | root | system | 177- | |
| 9. | root | pass | 174 | - |
| 10. | admin | admin1234 | 171 | - |
どの組み合わせも満遍なく使用された印象があります。
イタリア
イタリアからのログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位10位)は以下の通りです。
| 順位 | ユーザ名 | パスワード | 件数 | 備考 |
|---|---|---|---|---|
| 1. | root | 88888888 | 1,132 | - |
| 2. | support | 1234 | 588 | - |
| 3. | admin | admin1 | 586 | - |
| 4. | guest | 123456 | 576 | - |
| 5. | root | GM8182 | 576 | Grain Media製のDVR「GM8182」を狙ったものと思われる |
| 6. | default | S2fGqNFs | 9 | - |
| 7. | root | 3ep5w2u | 7 | - |
| 8. | admin | 1234 | 7 | - |
| 9. | root | Zte521 | 7 | - |
| 10. | root | hunt5759 | 7 | - |
上位5位の組み合わせの件数が多く、使用された組み合わせが偏っていました。
ダウンロードされたファイル
ダウンロードされたファイル(一部抜粋)は以下の通りです。
| SHA256 | 備考 |
|---|---|
| 0a0418aa474b3f17b4bad12bb6cb5fa0b8fdc1a23ff7f514767db3a894b80bf3 | Mirai |
| f919b9a88cd4aedf43145916d33f9ca10202735acec3b052b842cfdbaf5ba27b | Mirai |
| cf3fca28fe9b95a3858e7d0398dec2cfef98ba58991d467b9280afc737e156f5 | Mirai |
| ed70659058fcd93577e64abe1bec674f2b698e1e626f4af1faa9ca4f6f648d11 | Mirai |
| 95cea5116aecad082c56ac6e4b8629471ef6efce6a0b7f15baa002d10040ff3b | Mirai |
| d7900836c91aed59bb491a22e7de040bdf5f64086c528ce6e4709a5054cf27db | Mirai |
| b4f01f01388f802543fbea17ec26e795b22c9b915118243c792d158f303f981a | Mirai |
| 067a3e542cf39d8df3b1c8fb12fbd55b896dbf4c0d914758107c8408c484b3c1 | Mirai |
| b85361424a4a8d0ad9dc62e417426349a007787c12ecb423278cfe35ac091b95 | Mirai |
| b99f9af7298181edef4d7e4fa54d9bcf9b6d217175ef04d5a4edcc0f1f18722c | Mirai |
| ef72947e6cd9d74b8fe7c3164912f4594f8b53464908c4c33240b4a8f5150d61 | Mirai |
| c4b3c1a5bc81d7406abf159a0a0a65afe33086c62d7558d4d213e2ca9bc0a065 | Mirai |
| 97da109b78e48bfc29955302bb37177ef58c62700ada0cf6d08c345e4c78d254 | Gafgyt |
| b2a3064521afd19be22face46143d15895fff8ff525c293bd00d8655a3e885e5 | Gafgyt |
前日と同じく Mirai(亜種含む)やGafgyt(亜種含む)と思われるマルウェアのダウンロードが目立ちました。
以上です。
