cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/01/03) 「イタリアからのアクセス件数が再び増加」

ハニーポット観察日記(2019/01/03) 「イタリアからのアクセス件数が再び増加」

ハニーポット観察日記

はじめに

こんにちは。cute_otterです。
WOWHoneypotの敷設作業を行ったので、明日以降、ログの分析結果を公開したいと思います。 github.com

ハニーポット「Cowrie」で2019/01/03 (木) 00:00~23:59 UTC(運用52日目)に取得したログの簡易分析です。

概況

  • 集計期間 : 2019/01/03 (木) 00:00~23:59 UTC
  • 総イベント件数 : 448,958 件 (前日比 +37,973 件)
    • コマンド成功 : 176,867 件 (前日比 +23,308 件)
    • コマンド入力 : 143,549 件 (前日比 +13,427 件)
    • セッションクローズ : 26,891 件 (前日比 -312 件)
    • 新しいコネクション : 27,203 件 (前日比 -312 件)
    • ファイルダウンロード : 26,664 件 (前日比 +3,547 件)
    • 外部へのTCP/IPリクエストの送出 : 9,111 件 (前日比 +474 件)
    • ログイン成功 : 8,085 件 (前日比 -377 件)
    • コマンド失敗 : 7,997 件 (前日比 -1,560 件)
    • クライアントのSSHバージョン : 4,681 件 (前日比 -600 件)
    • SSH鍵交換 : 4,664 件 (前日比 -595 件)
    • Cowrieによってエミュレートされたアーキテクチャ : 4,044 件 (前日比 -187 件)
    • TTYログクローズ : 4044 件 (前日比 -187 件)
    • ファイルダウンロード失敗 : 2,706 件 (前日比 +177 件)
    • ログイン失敗 : 1,550 件 (前日比 +169 件)
    • 外部へのTCP/IPデータの送出 : 1,212 件 (前日比 +1,008 件)
    • ターミナルサイズ : 2 件 (前日比 -7 件)
  • ログイン試行件数 : 9,635 件 (前日比 -208 件)
  • SSHコネクション件数 : 13,342 件 (前日比 -555 件)
  • Telnetコネクション件数 : 13,549 件 (前日比 +243 件)
  • ユニークIPアドレス件数 : 679 件 (前日比 -219 件)
  • アクセス元の国数 : 67 カ国 (前日比 -11 カ国)
  • TTY件数 : 4,044 件 (前日比 -187 件)

特徴

  • イベント件数の増加
    • 前日(2019/01/02)より3万8000件ほど増加
    • ログイン成功後のイベントコマンド入力やコマンド成功など)が増加
  • ファイルのダウンロード件数が増加
    • 前日(2019/01/02)より3,500件ほど増加
  • ユニークIPアドレス件数の減少
    • 前日(2019/01/02)より200件ほど減少
  • イタリアからのアクセス件数が再び増加
    • 前日(2019/01/02)より4,000件ほど増加
  • 中国からのアクセス件数が減少
    • 前日(2019/01/02)より3,000件ほど減少

ダッシュボード

ダッシュボードは以下の通りです。

2019/01/03のダッシュボード
2019/01/03のダッシュボード

国別のアクセス件数

国別のアクセス件数(上位10位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 備考
1. United States 391,723 1. 348,776 -
2. United Kingdom 16,581 2. 18,235 -
3. Ireland 13,485 3. 12,264 -
4. Germany 4,880 5. 4,743 -
5. Singapore 4,677 7. 4,174 -
6. Italy 4,409 14. 430 -
7. Netherlands 3,220 8. 2,549 -
8. Russia 1,521 10. 1,548 -
9. Canada 1,206 16. 260 -
10. China 1,182 6. 4,219 -
  • イタリアからのアクセス件数が前日(2019/01/02)の430件から4,000件ほど増加し、4,409件となりました。
  • 中国からのアクセス件数が前日(2019/01/02)の4,219件から3,000件ほど減少し、1,182件となりました。
  • アメリカからのアクセス件数が前日(2019/01/02)の348,776件から4万件ほど増加し、391,723件となりました。

イタリアからのアクセス件数の変遷

イタリアからのアクセス件数の変遷(2018/12/24~2019/01/03)は以下の通りです。

イタリアからのアクセス件数の変遷(2018/12/24~2019/01/03)
イタリアからのアクセス件数の変遷(2018/12/24~2019/01/03)

2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけてピークを迎え、毎日30万件以上のアクセスがありました。
2019/01/02には件数が大幅に減少し、430件となりましたが、2019/01/03に再び増加し、4,409件となりました。

国別のログイン試行

国別のログイン試行の件数(上位10位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 備考
1. United States 3,516 1. 3,387 -
2. United Kingdom 2,044 2. 2,280 -
3. Ireland 1,918 3. 1,926 -
4. India 452 8. 139 -
5. Canada 337 14. 44 -
6. Brazil 331 4. 469 -
7. China 176 5. 447 -
8. Russia 160 6. 187 -
9. Germany 131 7. 170 -
10. Singapore 114 9. 125 -
  • カナダからのログイン試行件数が前日(2019/01/02)より300件ほど増加し、337件となりました。

ログイン試行で使用されたユーザ名とパスワード

ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位10位)は以下の通りです。

順位 ユーザ名 パスワード 件数 前日の順位 前日の件数 備考
1. admin admin 4,075 1. 4,347 -
2. enable system 364 5. 172 -
3. shell sh 362 8. 150 -
4. root (空欄) 295 3. 253 -
5. root vizxv 247 2. 255 Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)
6. root 666666 242 4. 239 Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)
7. root 123456 224 15. 125 -
8. support support 154 6. 171 -
9. root hi3518 146 9. 147 HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照)
10. root xc3511 144 7. 164 Xiongmai製のDVRを狙ったものと思われる(参照)
  • いつも通りのデフォルトのユーザ名とパスワードの組み合わせやMiraiにハードコードされたと思われるユーザ名とパスワードの組み合わせが多かったです。

ダウンロードされたファイル

ダウンロードされたファイル(一部抜粋)は以下の通りです。

SHA256 備考
f919b9a88cd4aedf43145916d33f9ca10202735acec3b052b842cfdbaf5ba27b Mirai
e7473555ff4ad6946d17b932d754ccfb2842ac00dd6eed74cf0cdc307d9dbc3d Mirai
ed70659058fcd93577e64abe1bec674f2b698e1e626f4af1faa9ca4f6f648d11 Mirai
c0a7ef03b9dfeef1fbbc664a8119d70a9b11d7e6433f5a9441a97cb98f6d9ab0 Mirai
c4b3c1a5bc81d7406abf159a0a0a65afe33086c62d7558d4d213e2ca9bc0a065 Mirai
c65b2eff181f8a95e8a756d24f71d14bf81340c82ec788ec73cad467f186f9ea Mirai
6b6c8acb9bad70c183c6d44a17a27461d8fc7322c6e8694f2dc39cce5f7bebaf Mirai
835e9f8bef97604af246871175c4d7f71f1d9cebf9747476f2f8dd3e63d2895c Mirai
4b8306abec2d80b26131879d7de6ec024681311ebc7fbb879d32598db9c86a33 Mirai
2567fd08056da91882f32d4c6e06e72f278f355be708b9a076a36f264c966c93 Mirai
6978f8ce31f315935a635ebe352e5f3d68aeb3c4d565bf008cbee7a858958e13 Mirai
1a5f6c9e333b391dc12072ad838c31f13445b2d7cc0d360c56ebd3cbcff0699a Mirai
ef72947e6cd9d74b8fe7c3164912f4594f8b53464908c4c33240b4a8f5150d61 Mirai
8242ae368d99e54811239b642242392d0541d887fd38aa485cf09e46b80b2978 Mirai
aab6f4b118b30355d0783a1f0c35a35dfd36587305b5cc582985265303ff5fa4 Mirai
c3e7c0de6550bb9aacdf6c243682533fcd674001d2eb524318b868ce37f2d69b Mirai
52c059fad796b51bfcce37eefb49c1faa3f3733653b2b5f80cfe748afbabc7d6 Mirai
694963ed38882af9ce867c62d46944788e690ffc2d5a7a6ab9c3f00877e79ea8 Mirai
ed8dcc154dbe224d676f95c15faa3fd87c41ed586ad4e45fb593dd7ab1c5f9e5 Mirai
e8e55bf7dab6443de1750a29b2bf91532528171565bcc6a85c46f981df6bc54c Mirai
8d5348efa4100eeda21b3df15cd2523ca01a9458c9da64788c0d289e0137e98f Mirai
f136c82152780205a8c2710b71846b9a43f1c3c6a8036e60bd9d642e56024e94 Mirai
971a3fa3a4b31c8cf7d505167e1751296845eb875715d8b1c4e43800b78946ad Mirai
9609d597251570b3f0d0c839bd1166da1f9f202829aa7a98628cd74e1d97faee Mirai
48828b72c5b9784c4e8c1f3b41be87b4dc51d15fd7550a98304f5ddfc840fa77 Mirai
181e075899ea2c80e9a041df00fdac0b618f709c04c68f94635e0eff3c8746e3 Mirai
ff8dc3fe40b0bfd4ba0fc648313af1cdf69275e210be2d1d7af5923e896a3d11 Mirai
b2a3064521afd19be22face46143d15895fff8ff525c293bd00d8655a3e885e5 Gafgyt
270cf4104c74dc754aff4ddd538357558f164da3818c240e7605a9a168cd0c28 Gafgyt
96585710e9d3757e7cbcdd2eef07f8893cd72654b4d9ae61caa5d334879f977c ?

以上です。