ハニーポット観察日記(2019/01/04) 「WOWHneypotの運用を開始」
はじめに
こんにちは。cute_otterです。
昨日から「WOWHoneypot」の運用を開始したので、今回からログの分析結果を掲載します。
github.com
Cowrie
まずは、ハニーポット「Cowrie」で2019/01/04 (金) 00:00~23:59 UTC(運用53日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/04 (金) 00:00~23:59 UTC
- 総イベント件数 : 736,974 件 (前日比 +288,016 件)
- コマンド実行成功 : 315,246 件 (前日比 +138,379 件)
- コマンド入力 : 250,423 件 (前日比 +106,874 件)
- ファイルダウンロード成功 : 48,248 件 (前日比 +21,584 件)
- 新しいコネクション : 29,477 件 (前日比 +2,586 件)
- セッションクローズ : 29,474 件 (前日比 +2,583 件)
- コマンド実行失敗 : 13,597 件 (前日比 +5,600 件)
- ログイン成功 : 10,959 件 (前日比 +2,874 件)
- 外部へのTCP/IPリクエストの送出 : 9,720 件 (前日比 +609 件)
- Cowrieによってエミュレートされたアーキテクチャ : 6,706 件 (前日比 +2,662 件)
- TTYログ取得終了 : 6,705 件 (前日比 +2,661 件)
- ファイルダウンロード失敗 : 5,322 件 (前日比 +2,616 件)
- クライアントのSSHバージョン : 4,470 件 (前日比 -211 件)
- SSH鍵交換 : 4,465 件 (前日比 -199 件)
- 外部へのTCP/IPデータの送出 : 2,006 件 (前日比 +794 件)
- ログイン失敗 : 129 件 (前日比 -1,421 件)
- ターミナルサイズ : 15 件 (前日比 +13 件)
- クライアントの環境設定 : 8 件 (前日比 +8 件)
- SSHフィンガープリント : 4 件 (前日比 +4 件)
- ログイン試行件数 : 11,088 件 (前日比 +1,453 件)
- SSHコネクション件数 : 13,133 件 (前日比 -209 件)
- Telnetコネクション件数 : 16,344 件 (前日比 +2,795 件)
- ユニークIPアドレス件数 : 227 件 (前日比 -452 件)
- アクセス元の国数 : 42 カ国 (前日比 -25 カ国)
- TTY件数 : 6,705 件 (前日比 +2,661 件)
特徴
- イベント件数の大幅な増加
- 前日(2019/01/03)より29万件ほど増加
- 特に「コマンド入力」、「コマンド実行成功」、「ファイルダウンロード」の件数が増加
- ログイン試行件数の増加
- 前日(2019/01/03)より1,400件ほど増加
- Telnetコネクション件数の増加
- 前日(2019/01/03)より2,800件ほど増加
- ユニークIPアドレス件数の大幅な減少
- 前日(2019/01/03)より450件ほど減少
- イタリアからのアクセス件数が大幅に増加
- 前日(2019/01/03)より33万件ほど増加
ダッシュボード
ダッシュボードは以下の通りです。
国別のアクセス件数
国別のアクセス件数(上位10位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 356,729 | 1. | 391,723 | -34,994 | - |
2. | Italy | 327,194 | 6. | 4,409 | +322,785 | - |
3. | United Kingdom | 17,998 | 2. | 16,581 | +1,417 | - |
4. | Ireland | 15,156 | 3. | 13,485 | +1,671 | - |
5. | Netherlands | 5,542 | 7. | 3,220 | +2,322 | - |
6. | Singapore | 4,072 | 5. | 4,677 | -605 | - |
7. | Germany | 2,528 | 4. | 4,880 | -2,352 | - |
8. | Russia | 2,015 | 8. | 1,521 | +494 | - |
9. | India | 1,607 | 12. | 873 | +734 | - |
10. | Canada | 718 | 9. | 1,206 | -488 | - |
- イタリアからのアクセス件数が前日(2019/01/03)の4,409件から32万件ほど増加し、327,194件となりました。
- アメリカからのアクセス件数が前日(2019/01/03)の391,723件から3万5000件ほど減少し、356,729件となりました。
イタリアからのアクセス件数の変遷
イタリアからのアクセス件数の変遷(2018/12/24~2019/01/04)は以下の通りです。
2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけてピークを迎え、毎日30万件以上のアクセスがありました。
2019/01/02には件数が大幅に減少し、430件となりましたが、2019/01/03から再び増加し始め、2019/01/04には327,194件となりました。
また、イタリアからの時間ごとのアクセス件数の変遷(2019/01/04)は以下の通りです。
毎時のアクセス件数を見てみると、波があることがわかりました。
4時~5時, 9時~10時, 23時には3万件以上のアクセス件数がありました。
一方、1時~2時, 16時~21時は0件でした。
国別のログイン試行
国別のログイン試行の件数(上位10位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 3,066 | 1. | 3,516 | -450 | - |
2. | Italy | 3,018 | 12. | 70 | +2948 | - |
3. | United Kingdom | 2,211 | 2. | 2,044 | +167 | - |
4. | Ireland | 1,925 | 3. | 1,918 | +7 | - |
5. | Russia | 187 | 8. | 160 | +27 | - |
6. | India | 143 | 4. | 452 | -309 | - |
7. | Brazil | 90 | 6. | 331 | -241 | - |
8. | Singapore | 89 | 10. | 114 | -25 | - |
9. | China | 88 | 7. | 176 | -88 | - |
10. | Germany | 63 | 9. | 131 | -68 | - |
- イタリアからのログイン試行件数が前日(2019/01/03)より3,000件ほど増加し、3,018件となりました。
ログイン試行で使用されたユーザ名とパスワード
ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位10位)は以下の通りです。
順位 | ユーザ名 | パスワード | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|---|
1. | admin | admin | 4,278 | 1. | 4,075 | +203 | - |
2. | root | 88888888 | 1,031 | 16. | 126 | +905 | - |
3. | guest | 123456 | 525 | 27. | 68 | 457 | - |
4. | root | GM8182 | 524 | 28. | 68 | 456 | Grain Media製のDVRを狙ったものと思われる(参照) |
5. | support | 1234 | 512 | 29. | 64 | 448 | - |
6. | admin | admin1 | 501 | 30. | 63 | 438 | - |
7. | root | (空欄) | 246 | 4. | 295 | -49 | - |
8. | root | 666666 | 228 | 5. | 242 | -14 | - |
9. | root | vizxv | 226 | 4. | 247 | -21 | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
10. | user | user | 177 | 19. | 99 | +78 | - |
root/88888888
、guest/123456
、root/GM8182
、support/1234
、admin/admin1
の組み合わせのほとんどがイタリアからのログイン試行の際に使用されていました。
ダウンロードされたファイル
ダウンロードされたファイルは以下の通りです。
※VT : VirusTotal
順位 | ダウンロード元 | MD5 | 検出率(VT) | 件数 | 備考 |
---|---|---|---|---|---|
1. | hxxp://195[.]231[.]0[.]52:80/AB4g5/Josho[.]x86 | edccb855814fc2f1aeeff40a90845464 | 20/60 | 2,854 | Mirai |
2. | hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 | 4147e375f325878fe3c3962c3d4ac411 | 37/57 | 1,914 | Mirai |
3. | hxxp://209[.]141[.]43[.]15:80/bins/x86 | d3f0f38a282c261ea2fea7068b9615e4 | 27/58 | 89 | Mirai |
4. | hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86 | 0f6fa2e22d9de3864e7d60ed6c0cb4b5 | 34/58 | 87 | Gafgyt |
5. | hxxp://167[.]99[.]229[.]112:80/8x868 | a65849fe667dcc5eadd920d427785642 | 21/57 | 61 | Gafgyt |
6. | hxxp://157[.]230[.]28[.]40:80/OwO/Tsunami[.]x86 | 02af7016b49dcbc186d6d5b4ec9beafb | 19/58 | 41 | Mirai |
7. | hxxp://199[.]38[.]243[.]9:80/33bi/mirai[.]x86 | 564e572d77a86ab7161b4b67b7f81981 | 24/58 | 38 | Mirai |
8. | hxxp://185[.]244[.]25[.]138:80/Trinity[.]x86 | 6ee78d4da701d1065e70ba136b2e901f | 6/59 | 24 | Mirai |
9. | hxxp://212[.]237[.]16[.]166:80/rbot[.]x86 | 9627f539ad290ee64872df826866dba8 | 15/56 | 23 | Mirai |
10. | hxxp://212[.]237[.]16[.]166:80/rbot[.]x86 | 1eb50aec1735f441472bf47051b73492 | 3/56 | 22 | Mirai |
11. | hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 | e4ae3f23bbdbcb67b52be4616ffe280b | 21/57 | 17 | Mirai |
12. | hxxp://149[.]248[.]56[.]218:80/bins/apep[.]x86 | 7b61c15e9a6ee35432913900a2ffae06 | 16/58 | 16 | Mirai |
13. | hxxp://185[.]244[.]25[.]138:80/Trinity[.]x86 | 96739e64815f4715dd7458de2922bcc6 | 10/56 | 11 | Mirai |
14. | hxxp://217[.]61[.]105[.]126:80/shiro[.]x86 | bfaf3d11d11b645c9a2002354248a024 | 17/58 | 9 | Mirai |
15. | hxxp://212[.]237[.]16[.]166:80/rbot[.]x86 | c14c1142e34c93241b6cfd9018fe6b92 | 7/59 | 9 | Mirai |
16. | hxxp://159[.]203[.]108[.]205:80/bins/penthouse[.]x86 | 13e1524dbb0a5ca54a154a7f133bcdeb | 21/57 | 7 | Mirai |
17. | hxxp://209[.]97[.]185[.]168:80/bins/kirai[.]x86 | 0e1f32f244ed072ce1597a7b59561877 | 19/58 | 6 | Mirai |
18. | hxxp://212[.]237[.]16[.]166:80/rbot[.]x86 | 61708334d912e960ac576a8de3d29fe7 | 6/60 | 6 | Mirai |
19. | hxxp://209[.]97[.]185[.]168:80/bins/kowai[.]x86 | cb9fc3cfc3bd194e780b4d38d9db8e45 | 23/59 | 6 | Mirai |
20. | hxxp://212[.]237[.]16[.]166:80/rbot[.]x86 | c50eac3bc09ac36dad1a140fea364117 | 6/59 | 5 | Mirai |
21. | hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido | 236cc078eb84e9e14f1112a52e74abc9 | 36/59 | 5 | Mirai |
22. | hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 | e68bd8a8712ce1788faa15c9813c00ab | 20/59 | 4 | Mirai |
23. | hxxp://167[.]99[.]219[.]142:80/bins/dark[.]x86 | afda653e8075f823b5a1a072ec152849 | 10/57 | 3 | Mirai |
24. | hxxp://35[.]235[.]102[.]123:80/bins/telnet[.]x86 | 12747042919cf473e147c0201773bed9 | 21/59 | 2 | Mirai |
25. | hxxp://138[.]197[.]2[.]42:80/AB4g5/Josho[.]x86 | aa32b1f8967c0fcbcf369f04209aca03 | 20/59 | 2 | Mirai |
26. | hxxp://185[.]244[.]25[.]138:80/Trinity[.]x86 | d680f80cc1e19db1b2a8033ef9f3d5a5 | 3/58 | 2 | Mirai |
27. | hxxp://162[.]248[.]225[.]114:80/Ofurain[.]x86 | 1e55549270a357a27f4546aadd8870be | 5/58 | 1 | Gafgyt |
28. | hxxp://205[.]185[.]126[.]185:80/AB4g5/Josho[.]x86 | a715e55dc5bb798fbf039dd9d4b66b63 | 23/57 | 1 | Mirai |
39. | hxxp://185[.]248[.]140[.]102/bins[.]sh | 9ea0ec890417c6391fc189feae1942ef | 20/57 | 1 | Mirai |
30. | hxxp://213[.]183[.]45[.]247:80/bins/unix[.]x86 | dc79fd963cb8f7259940910cd9f22dfa | 31/58 | 1 | Mirai |
- ダウンロードされたファイルは全てMirai(亜種含む)とGafgyt(亜種含む)と思われるマルウェアでした。
Cowrieで取得したログの簡易分析は以上です。
WOWHoneypot
続いて、ハニーポット「WOWHoneypot」で2019/01/04 (金) 10:00~23:59 UTC(運用1日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/04 (金) 01:00~23:59 UTC
- 総アクセス件数 : 439 件 (前日比 - 件)
- ユニークIPアドレス件数 : 28 件 (前日比 - 件)
- アクセス元の国数 : 13 カ国 (前日比 - 件)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | China | 386 | - | - | - | - |
2. | Canada | 34 | - | - | - | - |
3. | Brazil | 5 | - | - | - | - |
4. | United States | 3 | - | - | - | - |
5. | Honduras | 2 | - | - | - | - |
6. | Indonesia | 2 | - | - | - | - |
7. | India | 1 | - | - | - | - |
8. | Kenya | 1 | - | - | - | - |
9. | Romania | 1 | - | - | - | - |
10. | Cameroon | 1 | - | - | - | - |
11. | Thailand | 1 | - | - | - | - |
12. | Netherlands | 1 | - | - | - | - |
13. | Spain | 1 | - | - | - | - |
- 中国からのアクセスが目立ちました。
メソッド
メソッドの件数は以下の通りです。
順位 | メソッド | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | GET | 297 | - | - | - | - |
2. | POST | 140 | - | - | - | - |
3. | PROPFIND | 2 | - | - | - | - |
PROPFIND
メソッドは、同メソッドのリクエストヘッダの内容から、CVE-2017-7269を狙った際に使用されたと思われます。
HTTPバージョン
HTTPバージョンの件数は以下の通りです。
順位 | HTTPバージョン | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | HTTP/1.1 | 437 | - | - | - | - |
2. | HTTP/1.0 | 2 | - | - | - | - |
HTTP/1.0
は/
へのアクセスでした。
Tomcatの管理ページにおけるBasic認証
Tomcatの管理ページ(/manager/html)におけるBasic認証で使用されたユーザ名とパスワードの組み合わせは以下の通りです。
順位 | ユーザ名 | パスワード | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|---|
1. | admin | (空欄) | 2 | - | - | - | - |
2. | admin | admin | 2 | - | - | - | - |
3. | admin | 123456 | 2 | - | - | - | - |
4. | admin | tomcat | 2 | - | - | - | - |
5. | tomcat | tomcat | 2 | - | - | - | - |
6. | tomcat | admin | 2 | - | - | - | - |
7. | tomcat | s3cret | 2 | - | - | - | - |
8. | tomcat | (空欄) | 1 | - | - | - | - |
9. | tomcat | 123456 | 1 | - | - | - | - |
アクセス先
アクセス先(上位10位)は以下の通りです。
順位 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | GET / HTTP/1.1 | 18 | - | - | - | トップページへのアクセス |
2. | GET /manager/html HTTP/1.1 | 18 | - | - | - | Tomcatの管理ページに対するログイン試行 |
3. | POST /qq.php HTTP/1.1 | 6 | - | - | - | WebShellの探査 |
4. | GET /shell.php HTTP/1.1 | 4 | - | - | - | WebShellの探査 |
5. | GET /cmd.php HTTP/1.1 | 4 | - | - | - | WebShellの探査 |
6. | POST /xx.php HTTP/1.1 | 4 | - | - | - | WebShellの探査 |
7. | POST /q.php HTTP/1.1 | 4 | - | - | - | WebShellの探査 |
8. | GET /web/phpMyAdmin/index.php HTTP/1.1 | 4 | - | - | - | phpMyAdminの探査 |
9. | GET /admin/phpMyAdmin/index.php HTTP/1.1 | 4 | - | - | - | phpMyAdminの探査 |
10. | GET /tools/phpMyAdmin/index.php HTTP/1.1 | 4 | - | - | - | phpMyAdminの探査 |
- WebShellの探査が目立っていました。
WOWHoneypotで取得したログの簡易分析は以上です。
明日はアクセス先の分析をもっとやりたい...