cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/01/04) 「WOWHneypotの運用を開始」

ハニーポット観察日記(2019/01/04) 「WOWHneypotの運用を開始」

ハニーポット観察日記

はじめに

こんにちは。cute_otterです。
昨日から「WOWHoneypot」の運用を開始したので、今回からログの分析結果を掲載します。 github.com

Cowrie

まずは、ハニーポット「Cowrie」で2019/01/04 (金) 00:00~23:59 UTC(運用53日目)に取得したログの簡易分析です。

概況

  • 集計期間 : 2019/01/04 (金) 00:00~23:59 UTC
  • 総イベント件数 : 736,974 件 (前日比 +288,016 件)
    • コマンド実行成功 : 315,246 件 (前日比 +138,379 件)
    • コマンド入力 : 250,423 件 (前日比 +106,874 件)
    • ファイルダウンロード成功 : 48,248 件 (前日比 +21,584 件)
    • 新しいコネクション : 29,477 件 (前日比 +2,586 件)
    • セッションクローズ : 29,474 件 (前日比 +2,583 件)
    • コマンド実行失敗 : 13,597 件 (前日比 +5,600 件)
    • ログイン成功 : 10,959 件 (前日比 +2,874 件)
    • 外部へのTCP/IPリクエストの送出 : 9,720 件 (前日比 +609 件)
    • Cowrieによってエミュレートされたアーキテクチャ : 6,706 件 (前日比 +2,662 件)
    • TTYログ取得終了 : 6,705 件 (前日比 +2,661 件)
    • ファイルダウンロード失敗 : 5,322 件 (前日比 +2,616 件)
    • クライアントのSSHバージョン : 4,470 件 (前日比 -211 件)
    • SSH鍵交換 : 4,465 件 (前日比 -199 件)
    • 外部へのTCP/IPデータの送出 : 2,006 件 (前日比 +794 件)
    • ログイン失敗 : 129 件 (前日比 -1,421 件)
    • ターミナルサイズ : 15 件 (前日比 +13 件)
    • クライアントの環境設定 : 8 件 (前日比 +8 件)
    • SSHフィンガープリント : 4 件 (前日比 +4 件)
  • ログイン試行件数 : 11,088 件 (前日比 +1,453 件)
  • SSHコネクション件数 : 13,133 件 (前日比 -209 件)
  • Telnetコネクション件数 : 16,344 件 (前日比 +2,795 件)
  • ユニークIPアドレス件数 : 227 件 (前日比 -452 件)
  • アクセス元の国数 : 42 カ国 (前日比 -25 カ国)
  • TTY件数 : 6,705 件 (前日比 +2,661 件)

特徴

  • イベント件数の大幅な増加
    • 前日(2019/01/03)より29万件ほど増加
    • 特に「コマンド入力」、「コマンド実行成功」、「ファイルダウンロード」の件数が増加
  • ログイン試行件数の増加
    • 前日(2019/01/03)より1,400件ほど増加
  • Telnetコネクション件数の増加
    • 前日(2019/01/03)より2,800件ほど増加
  • ユニークIPアドレス件数の大幅な減少
    • 前日(2019/01/03)より450件ほど減少
  • イタリアからのアクセス件数が大幅に増加
    • 前日(2019/01/03)より33万件ほど増加

ダッシュボード

ダッシュボードは以下の通りです。

2019/01/04のダッシュボード
2019/01/04のダッシュボード

国別のアクセス件数

国別のアクセス件数(上位10位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 356,729 1. 391,723 -34,994 -
2. Italy 327,194 6. 4,409 +322,785 -
3. United Kingdom 17,998 2. 16,581 +1,417 -
4. Ireland 15,156 3. 13,485 +1,671 -
5. Netherlands 5,542 7. 3,220 +2,322 -
6. Singapore 4,072 5. 4,677 -605 -
7. Germany 2,528 4. 4,880 -2,352 -
8. Russia 2,015 8. 1,521 +494 -
9. India 1,607 12. 873 +734 -
10. Canada 718 9. 1,206 -488 -
  • イタリアからのアクセス件数が前日(2019/01/03)の4,409件から32万件ほど増加し、327,194件となりました。
  • アメリカからのアクセス件数が前日(2019/01/03)の391,723件から3万5000件ほど減少し、356,729件となりました。
イタリアからのアクセス件数の変遷

イタリアからのアクセス件数の変遷(2018/12/24~2019/01/04)は以下の通りです。

イタリアからのアクセス件数の変遷(2018/12/24~2019/01/04)
イタリアからのアクセス件数の変遷(2018/12/24~2019/01/04)

2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけてピークを迎え、毎日30万件以上のアクセスがありました。
2019/01/02には件数が大幅に減少し、430件となりましたが、2019/01/03から再び増加し始め、2019/01/04には327,194件となりました。

また、イタリアからの時間ごとのアクセス件数の変遷(2019/01/04)は以下の通りです。

イタリアからの時間ごとのアクセス件数の変遷(2019/01/04)
イタリアからの時間ごとのアクセス件数の変遷(2019/01/04)

毎時のアクセス件数を見てみると、波があることがわかりました。
4時~5時, 9時~10時, 23時には3万件以上のアクセス件数がありました。
一方、1時~2時, 16時~21時は0件でした。

国別のログイン試行

国別のログイン試行の件数(上位10位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 3,066 1. 3,516 -450 -
2. Italy 3,018 12. 70 +2948 -
3. United Kingdom 2,211 2. 2,044 +167 -
4. Ireland 1,925 3. 1,918 +7 -
5. Russia 187 8. 160 +27 -
6. India 143 4. 452 -309 -
7. Brazil 90 6. 331 -241 -
8. Singapore 89 10. 114 -25 -
9. China 88 7. 176 -88 -
10. Germany 63 9. 131 -68 -
  • イタリアからのログイン試行件数が前日(2019/01/03)より3,000件ほど増加し、3,018件となりました。

ログイン試行で使用されたユーザ名とパスワード

ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位10位)は以下の通りです。

順位 ユーザ名 パスワード 件数 前日の順位 前日の件数 件数差 備考
1. admin admin 4,278 1. 4,075 +203 -
2. root 88888888 1,031 16. 126 +905 -
3. guest 123456 525 27. 68 457 -
4. root GM8182 524 28. 68 456 Grain Media製のDVRを狙ったものと思われる(参照)
5. support 1234 512 29. 64 448 -
6. admin admin1 501 30. 63 438 -
7. root (空欄) 246 4. 295 -49 -
8. root 666666 228 5. 242 -14 -
9. root vizxv 226 4. 247 -21 Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)
10. user user 177 19. 99 +78 -
  • root/88888888guest/123456root/GM8182support/1234admin/admin1の組み合わせのほとんどがイタリアからのログイン試行の際に使用されていました。

ダウンロードされたファイル

ダウンロードされたファイルは以下の通りです。

※VT : VirusTotal

順位 ダウンロード元 MD5 検出率(VT) 件数 備考
1. hxxp://195[.]231[.]0[.]52:80/AB4g5/Josho[.]x86 edccb855814fc2f1aeeff40a90845464 20/60 2,854 Mirai
2. hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 4147e375f325878fe3c3962c3d4ac411 37/57 1,914 Mirai
3. hxxp://209[.]141[.]43[.]15:80/bins/x86 d3f0f38a282c261ea2fea7068b9615e4 27/58 89 Mirai
4. hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86 0f6fa2e22d9de3864e7d60ed6c0cb4b5 34/58 87 Gafgyt
5. hxxp://167[.]99[.]229[.]112:80/8x868 a65849fe667dcc5eadd920d427785642 21/57 61 Gafgyt
6. hxxp://157[.]230[.]28[.]40:80/OwO/Tsunami[.]x86 02af7016b49dcbc186d6d5b4ec9beafb 19/58 41 Mirai
7. hxxp://199[.]38[.]243[.]9:80/33bi/mirai[.]x86 564e572d77a86ab7161b4b67b7f81981 24/58 38 Mirai
8. hxxp://185[.]244[.]25[.]138:80/Trinity[.]x86 6ee78d4da701d1065e70ba136b2e901f 6/59 24 Mirai
9. hxxp://212[.]237[.]16[.]166:80/rbot[.]x86 9627f539ad290ee64872df826866dba8 15/56 23 Mirai
10. hxxp://212[.]237[.]16[.]166:80/rbot[.]x86 1eb50aec1735f441472bf47051b73492 3/56 22 Mirai
11. hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 e4ae3f23bbdbcb67b52be4616ffe280b 21/57 17 Mirai
12. hxxp://149[.]248[.]56[.]218:80/bins/apep[.]x86 7b61c15e9a6ee35432913900a2ffae06 16/58 16 Mirai
13. hxxp://185[.]244[.]25[.]138:80/Trinity[.]x86 96739e64815f4715dd7458de2922bcc6 10/56 11 Mirai
14. hxxp://217[.]61[.]105[.]126:80/shiro[.]x86 bfaf3d11d11b645c9a2002354248a024 17/58 9 Mirai
15. hxxp://212[.]237[.]16[.]166:80/rbot[.]x86 c14c1142e34c93241b6cfd9018fe6b92 7/59 9 Mirai
16. hxxp://159[.]203[.]108[.]205:80/bins/penthouse[.]x86 13e1524dbb0a5ca54a154a7f133bcdeb 21/57 7 Mirai
17. hxxp://209[.]97[.]185[.]168:80/bins/kirai[.]x86 0e1f32f244ed072ce1597a7b59561877 19/58 6 Mirai
18. hxxp://212[.]237[.]16[.]166:80/rbot[.]x86 61708334d912e960ac576a8de3d29fe7 6/60 6 Mirai
19. hxxp://209[.]97[.]185[.]168:80/bins/kowai[.]x86 cb9fc3cfc3bd194e780b4d38d9db8e45 23/59 6 Mirai
20. hxxp://212[.]237[.]16[.]166:80/rbot[.]x86 c50eac3bc09ac36dad1a140fea364117 6/59 5 Mirai
21. hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido 236cc078eb84e9e14f1112a52e74abc9 36/59 5 Mirai
22. hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 e68bd8a8712ce1788faa15c9813c00ab 20/59 4 Mirai
23. hxxp://167[.]99[.]219[.]142:80/bins/dark[.]x86 afda653e8075f823b5a1a072ec152849 10/57 3 Mirai
24. hxxp://35[.]235[.]102[.]123:80/bins/telnet[.]x86 12747042919cf473e147c0201773bed9 21/59 2 Mirai
25. hxxp://138[.]197[.]2[.]42:80/AB4g5/Josho[.]x86 aa32b1f8967c0fcbcf369f04209aca03 20/59 2 Mirai
26. hxxp://185[.]244[.]25[.]138:80/Trinity[.]x86 d680f80cc1e19db1b2a8033ef9f3d5a5 3/58 2 Mirai
27. hxxp://162[.]248[.]225[.]114:80/Ofurain[.]x86 1e55549270a357a27f4546aadd8870be 5/58 1 Gafgyt
28. hxxp://205[.]185[.]126[.]185:80/AB4g5/Josho[.]x86 a715e55dc5bb798fbf039dd9d4b66b63 23/57 1 Mirai
39. hxxp://185[.]248[.]140[.]102/bins[.]sh 9ea0ec890417c6391fc189feae1942ef 20/57 1 Mirai
30. hxxp://213[.]183[.]45[.]247:80/bins/unix[.]x86 dc79fd963cb8f7259940910cd9f22dfa 31/58 1 Mirai
  • ダウンロードされたファイルは全てMirai(亜種含む)とGafgyt(亜種含む)と思われるマルウェアでした。

Cowrieで取得したログの簡易分析は以上です。

WOWHoneypot

続いて、ハニーポット「WOWHoneypot」で2019/01/04 (金) 10:00~23:59 UTC(運用1日目)に取得したログの簡易分析です。

概況

  • 集計期間 : 2019/01/04 (金) 01:00~23:59 UTC
  • 総アクセス件数 : 439 件 (前日比 - 件)
  • ユニークIPアドレス件数 : 28 件 (前日比 - 件)
  • アクセス元の国数 : 13 カ国 (前日比 - 件)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. China 386 - - - -
2. Canada 34 - - - -
3. Brazil 5 - - - -
4. United States 3 - - - -
5. Honduras 2 - - - -
6. Indonesia 2 - - - -
7. India 1 - - - -
8. Kenya 1 - - - -
9. Romania 1 - - - -
10. Cameroon 1 - - - -
11. Thailand 1 - - - -
12. Netherlands 1 - - - -
13. Spain 1 - - - -
  • 中国からのアクセスが目立ちました。

メソッド

メソッドの件数は以下の通りです。

順位 メソッド 件数 前日の順位 前日の件数 件数差 備考
1. GET 297 - - - -
2. POST 140 - - - -
3. PROPFIND 2 - - - -
  • PROPFINDメソッドは、同メソッドのリクエストヘッダの内容から、CVE-2017-7269を狙った際に使用されたと思われます。

HTTPバージョン

HTTPバージョンの件数は以下の通りです。

順位 HTTPバージョン 件数 前日の順位 前日の件数 件数差 備考
1. HTTP/1.1 437 - - - -
2. HTTP/1.0 2 - - - -
  • HTTP/1.0/へのアクセスでした。

Tomcatの管理ページにおけるBasic認証

Tomcatの管理ページ(/manager/html)におけるBasic認証で使用されたユーザ名とパスワードの組み合わせは以下の通りです。

順位 ユーザ名 パスワード 件数 前日の順位 前日の件数 件数差 備考
1. admin (空欄) 2 - - - -
2. admin admin 2 - - - -
3. admin 123456 2 - - - -
4. admin tomcat 2 - - - -
5. tomcat tomcat 2 - - - -
6. tomcat admin 2 - - - -
7. tomcat s3cret 2 - - - -
8. tomcat (空欄) 1 - - - -
9. tomcat 123456 1 - - - -

アクセス先

アクセス先(上位10位)は以下の通りです。

順位 アクセス先 件数 前日の順位 前日の件数 件数差 備考
1. GET / HTTP/1.1 18 - - - トップページへのアクセス
2. GET /manager/html HTTP/1.1 18 - - - Tomcatの管理ページに対するログイン試行
3. POST /qq.php HTTP/1.1 6 - - - WebShellの探査
4. GET /shell.php HTTP/1.1 4 - - - WebShellの探査
5. GET /cmd.php HTTP/1.1 4 - - - WebShellの探査
6. POST /xx.php HTTP/1.1 4 - - - WebShellの探査
7. POST /q.php HTTP/1.1 4 - - - WebShellの探査
8. GET /web/phpMyAdmin/index.php HTTP/1.1 4 - - - phpMyAdminの探査
9. GET /admin/phpMyAdmin/index.php HTTP/1.1 4 - - - phpMyAdminの探査
10. GET /tools/phpMyAdmin/index.php HTTP/1.1 4 - - - phpMyAdminの探査
  • WebShellの探査が目立っていました。

WOWHoneypotで取得したログの簡易分析は以上です。
明日はアクセス先の分析をもっとやりたい...