ハニーポット観察日記(2019/01/02)
はじめに
こんにちは。cute_otterです。
VirusTotal APIを使って遊んでいたら、ハニーポット観察日記の投稿が遅れてしまいました。
すみません😓
ハニーポット「Cowrie」で2019/01/02 (水) 00:00~23:59 UTC(運用51日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/02 (水) 00:00~23:59 UTC
- 総イベント件数 : 410,985 件
- コマンド成功 : 153,559 件
- コマンド入力 : 130,122 件
- セッションクローズ : 27,203 件
- 新しいコネクション : 27,203 件
- ファイルダウンロード : 23,117 件
- コマンド失敗 : 9,557 件
- 外部へのTCP/IPリクエストの送出 : 8,637 件
- ログイン成功 : 8,462 件
- クライアントのSSHバージョン : 5,281 件
- SSH鍵交換 : 5,259 件
- Cowrieによってエミュレートされたアーキテクチャ : 4,231 件
- TTYログクローズ : 4,231 件
- ファイルダウンロード失敗 : 2,529 件
- ログイン失敗 : 1,381 件
- 外部へのTCP/IPデータの送出 : 204 件
- ターミナルサイズ : 9 件
- ログイン試行件数 : 9,843 件
- SSHコネクション件数 : 13,897 件
- Telnetコネクション件数 : 13,306 件
- ユニークIPアドレス件数 : 898 件
- アクセス元の国数 : 78 カ国
- TTY件数 : 4,231 件
特徴
- イベント件数の大幅な減少(前日(2019/01/01)より54万件ほど増加)
- 運用開始以来、最もイベント件数が少ない日でした。
- 後述するイタリアからのアクセスがピタリと止んだことが原因だと思われます。
- ログイン試行件数の減少(前日(2019/01/01)より7,000件ほど減少)
- イタリアからのアクセス件数の大幅な減少(前日(2019/01/01)より38万件ほど減少)
- 2018/12/26から2019/01/01まで、イタリアからのアクセスが増加していました。
ダッシュボード
ダッシュボードは以下の通りです。
国別のアクセス件数
国別のアクセス件数(上位10位)は以下の通りです。
| 順位 | 国名 | 件数 | 備考 |
|---|---|---|---|
| 1. | United States | 348,776 | - |
| 2. | United Kingdom | 18,235 | - |
| 3. | Ireland | 12,264 | - |
| 4. | Latvia | 5,742 | - |
| 5. | Germany | 4,743 | - |
| 6. | China | 4,219 | - |
| 7. | Singapore | 4,174 | - |
| 8. | Netherlands | 2,549 | - |
| 9. | Unknown | 2,473 | 識別不能 |
| 10. | Russia | 1,548 | - |
- 上述の通り、イタリアからのアクセスがピタリと止み、前日(2019/01/01)の382,469件から38万件ほど減少し、430件となりました。
- イスラエルからのアクセスも止み、前日(2019/01/01)の18,832件から0件に減少しました。
- アメリカからのアクセス件数が前日(2019/01/01)の454,927件から9万件ほど減少し、348,776件となりました。
イタリアからのアクセス件数の変遷
イタリアからのアクセス件数の変遷(2018/12/24~2019/01/02)は以下の通りです。
2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけてピークを迎え、毎日30万件以上のアクセスがありました。
そして、2019/01/02には件数が大幅に減少し、430件となりました。
国別のログイン試行
国別のログイン試行の件数(上位10位)は以下の通りです。
| 順位 | 国名 | 件数 | 備考 |
|---|---|---|---|
| 1. | United States | 3,387 | - |
| 2. | United Kingdom | 2,280 | - |
| 3. | Ireland | 1,926 | - |
| 4. | Brazil | 469 | - |
| 5. | China | 447 | - |
| 6. | Russia | 187 | - |
| 7. | Germany | 170 | - |
| 8. | India | 139 | - |
| 9. | Singapore | 125 | - |
| 10. | Latvia | 122 | - |
- イタリアからのアクセスがピタリと止んだことに伴い、イタリアからのログイン試行件数が前日(2019/01/01)の3,535件から56件に減少しました。
- イスラエルからのアクセスも止んだため、イスラエルからのログイン試行件数が前日(2019/01/01)の282件から0件に減少しました。
- アイルランドからのログイン試行件数が前日(2019/01/01)の2,801件から900件ほど減少し、1,926件となりました。
- イギリスからのログイン試行件数が前日(2019/01/01)の3,176件から900件ほど減少し、2,280件となりました。
- アメリカからのログイン試行件数が前日(2019/01/01)の4,495件から1,100件ほど減少し、3,387件となりました。
ログイン試行で使用されたユーザ名とパスワード
ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位10位)は以下の通りです。
| 順位 | ユーザ名 | パスワード | 件数 | 備考 |
|---|---|---|---|---|
| 1. | admin | admin | 4,347 | - |
| 2. | root | vizxv | 255 | - |
| 3. | root | (空欄) | 253 | - |
| 4. | root | 666666 | 239 | - |
| 5. | enable | system | 172 | - |
| 6. | support | support | 171 | - |
| 7. | root | xc3511 | 164 | Xiongmai製のDVRを狙ったものと思われる |
| 8. | shell | sh | 150 | - |
| 9. | root | hi3518 | 147 | HiSilicon Technologies製のIPカメラ「Hi3518」を狙ったものと思われる |
| 10. | root | 1234 | 144 | - |
- Grain Media製のDVR「GM8182」を狙ったと思われるユーザ名とパスワードの組み合わせが前日(2019/01/01)の692件から650件ほど減少し、46件となりました。
- 減少の原因は、このユーザ名とパスワードの組み合わせが、アクセスがピタリと止んだイタリアからのログイン試行の際に、頻繁に使用されていたためだと思われます。
ダウンロードされたファイル
ダウンロードされたファイル(一部抜粋)は以下の通りです。
| SHA256 | 備考 |
|---|---|
| f919b9a88cd4aedf43145916d33f9ca10202735acec3b052b842cfdbaf5ba27b | Mirai |
| ed70659058fcd93577e64abe1bec674f2b698e1e626f4af1faa9ca4f6f648d11 | Mirai |
| 8d5348efa4100eeda21b3df15cd2523ca01a9458c9da64788c0d289e0137e98f | Mirai |
| c0a7ef03b9dfeef1fbbc664a8119d70a9b11d7e6433f5a9441a97cb98f6d9ab0 | Mirai |
| c65b2eff181f8a95e8a756d24f71d14bf81340c82ec788ec73cad467f186f9ea | Mirai |
| 878a4ef69163f23c6444cbff852736765f444418438733a7228d848db08853d8 | Mirai |
| 982d31bc3076712d7231694e2db4d4c0cb1442ae63d451bf65ffe2108c709a79 | Mirai |
| ef72947e6cd9d74b8fe7c3164912f4594f8b53464908c4c33240b4a8f5150d61 | Mirai |
| aab6f4b118b30355d0783a1f0c35a35dfd36587305b5cc582985265303ff5fa4 | Mirai |
| e8e55bf7dab6443de1750a29b2bf91532528171565bcc6a85c46f981df6bc54c | Mirai |
| 694963ed38882af9ce867c62d46944788e690ffc2d5a7a6ab9c3f00877e79ea8 | Mirai |
| 25d26c251c13043baca8eb8d2c980406ff083eed936bb459b09af398c2feae92 | Mirai |
| 01767e9f2a438c5b4f2b97269174517dacd5968b8e366f5d0d7d6c824415ed2a | Mirai |
| 52c059fad796b51bfcce37eefb49c1faa3f3733653b2b5f80cfe748afbabc7d6 | Mirai |
| 1dc7e88b4bca0d5ae3dfa53104b15e972331549816a020e3ae82f9069abeaca4 | Mirai |
| 6978f8ce31f315935a635ebe352e5f3d68aeb3c4d565bf008cbee7a858958e13 | Mirai |
| 98d089f2db5a77c9196dafcd66b81903f4ce08e7fa9e63a1aaac91f8bdbfaa9a | Mirai |
| b2a3064521afd19be22face46143d15895fff8ff525c293bd00d8655a3e885e5 | Gafgyt |
| 270cf4104c74dc754aff4ddd538357558f164da3818c240e7605a9a168cd0c28 | Gafgyt |
| 42337c523fba1c6d2c972422dd3ff5b5c08bafc3bc1625bcb7d9f195f8165a89 | Gafgyt |
| c54bfc113dcbf32aa038c9f8bd8323f27f392ec3ae7baf3a3afd9ff7d256bb9c | ダウンローダ |
| 3a5bc7a82e894b479accd306418ff744b2549788e226c7a7226a2414c8e07c85 | ダウンローダ |
以上です。
