ハニーポット観察日記(2019/01/01)
はじめに
こんにちは。cute_otterです。
Cowrie以外のハニーポットの運用と検体の分析をやってみたい...
ハニーポット「Cowrie」で2019/01/01 (火) 00:00~23:59 UTC(運用50日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/01 (火) 00:00~23:59 UTC
- 総イベント件数 : 985,738 件
- コマンド成功 : 415,854 件
- コマンド入力 : 331,278 件
- ファイルダウンロード : 63,460 件
- 新しいコネクション : 42,405 件
- セッションクローズ : 42,400 件
- コマンド失敗 : 20,254 件
- ログイン成功 : 15,408 件
- 外部へのTCP/IPリクエストの送出 : 12,350 件
- Cowrieによってエミュレートされたアーキテクチャ : 9,443 件
- TTYログクローズ : 9,440 件
- クライアントのSSHバージョン : 7,502 件
- SSH鍵交換 : 7,476 件
- ファイルダウンロード失敗 : 6,272 件
- ログイン失敗 : 1,667 件
- 外部へのTCP/IPデータの送出 : 520 件
- ターミナルサイズ : 9 件
- ログイン試行件数 : 17,075 件
- SSHコネクション件数 : 20,107 件
- Telnetコネクション件数 : 22,298 件
- ユニークIPアドレス件数 : 1,091 件
- アクセス元の国数 : 79 カ国
- TTY件数 : 9,440 件
特徴
- イベント件数の大幅な増加(前日より16万件ほど増加)
- ログイン試行件数の増加(前日より2,400件ほど増加)
- アメリカからのアクセス件数の増加(前日より9万件ほど増加)
- DVR「GM8182」を狙ったとみられる攻撃が5日連続で増加
ダッシュボード
ダッシュボードは以下の通りです。
国別のアクセス件数
国別のアクセス件数(上位10位)は以下の通りです。
| 順位 | 国名 | 件数 | 備考 |
|---|---|---|---|
| 1. | United States | 454,927 | - |
| 2. | Italy | 382,469 | - |
| 3. | United Kingdom | 25,037 | - |
| 4. | Netherlands | 21,415 | - |
| 5. | Israel | 18,832 | - |
| 6. | Ireland | 18,162 | - |
| 7. | Russia | 16,280 | - |
| 8. | Romania | 14,201 | - |
| 9. | Unknown | 8,455 | 識別不能 |
| 10. | Singapore | 6,842 | - |
普段のアクセス件数が10件台のイスラエルが5位にランクインしました。 また、アメリカからのアクセス件数が前日より9万件ほど増加しました。
国別のログイン試行
国別のログイン試行の件数(上位10位)は以下の通りです。
| 順位 | 国名 | 件数 | 備考 |
|---|---|---|---|
| 1. | United States | 4,495 | - |
| 2. | Italy | 3,535 | - |
| 3. | United Kingdom | 3,176 | - |
| 4. | Ireland | 2,801 | - |
| 5. | Netherlands | 567 | - |
| 6. | Russia | 501 | - |
| 7. | Israel | 282 | - |
| 8. | China | 279 | - |
| 9. | Germany | 209 | - |
| 10. | Singapore | 187 | - |
アメリカからのログイン試行件数が前日より750件増加しました。
また、普段のログイン試行件数が一桁のイスラエルが7位にランクインしました。
ログイン試行で使用されたユーザ名とパスワード
ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位10位)は以下の通りです。
| 順位 | ユーザ名 | パスワード | 件数 | 備考 |
|---|---|---|---|---|
| 1. | admin | admin | 6,081 | - |
| 2. | root | 88888888 | 1,341 | - |
| 3. | root | GM8182 | 692 | Grain Media製のDVR「GM8182」を狙ったものと思われる |
| 4. | guest | 123456 | 691 | - |
| 5. | admin | admin1 | 661 | - |
| 6. | support | 1234 | 657 | - |
| 7. | root | vizxv | 414 | - |
| 8. | support | support | 308 | - |
| 9. | root | xc3511 | 298 | Xiongmai製のDVRを狙ったものと思われる |
| 10. | root | 666666 | 295 | - |
ここ5日間ほど連続して「GM8182」を狙った攻撃の検知数が増加しています。
ダウンロードされたファイル
ダウンロードされたファイル(一部抜粋)は以下の通りです。
| SHA256 | 備考 |
|---|---|
| 0a0418aa474b3f17b4bad12bb6cb5fa0b8fdc1a23ff7f514767db3a894b80bf3 | Mirai |
| f919b9a88cd4aedf43145916d33f9ca10202735acec3b052b842cfdbaf5ba27b | Mirai |
| 42d7b24b548ab6acd90edc26d2d93cb8430e74f2cdac22797497de724b76b5ac | Mirai |
| b2a3064521afd19be22face46143d15895fff8ff525c293bd00d8655a3e885e5 | Gafgyt |
前日と同じく Mirai(亜種含む)やGafgyt(亜種含む)と思われるマルウェアのダウンロードが目立ちました。
以上です。
