cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/01/07) 「アメリカからのアクセス件数が再び過去最大に」

ハニーポット観察日記(2019/01/07) 「アメリカからのアクセス件数が再び過去最大に」

ハニーポット観察日記

はじめに

こんにちは。cute_otterです。
時間が無かったため、WOWHoneypotのログの簡易分析は概況のみとなります。申し訳ございません。

Cowrie

ハニーポット「Cowrie」で2019/01/07 (月) 00:00~23:59 UTC(運用56日目)に取得したログの簡易分析です。

概況

  • 集計期間 : 2019/01/07 (月) 00:00~23:59 UTC
  • 総イベント件数 : 1,290,184 件 (前日比 +225,789 件)
    • コマンド実行成功 : 577,558 件 (前日比 +106,007 件)
    • コマンド入力 : 447,347 件 (前日比 +75,460 件)
    • ファイルダウンロード成功 : 89,331 件 (前日比 +16,808 件)
    • 新しいコネクション : 35,342 件 (前日比 +2,931 件)
    • セッションクローズ : 35,341 件 (前日比 +2,927 件)
    • コマンド実行失敗 : 34,069 件 (前日比 +14,288 件)
    • ログイン成功 : 16,568 件 (前日比 +2,588 件)
    • TTYログ取得終了 : 12,064 件 (前日比 +2,367 件)
    • Cowrieによってエミュレートされたアーキテクチャ : 12,064 件 (前日比 +2,368 件)
    • 外部へのTCP/IPリクエストの送出 : 9,925 件 (前日比 -820 件)
    • ファイルダウンロード失敗 : 7,821 件 (前日比 -276 件)
    • クライアントのSSHバージョン : 4,846 件 (前日比 +334 件)
    • SSH鍵交換 : 4,823 件 (前日比 +319 件)
    • ログイン失敗 : 1,635 件 (前日比 +1,157 件)
    • 外部へのTCP/IPデータの送出 : 1,441 件 (前日比 -666 件)
    • クライアントの環境設定 : 8 件 (前日比 +-0 件)
    • ターミナルサイズ : 1 件 (前日比 -3 件)
  • ログイン試行件数 : 18,203 件 (前日比 +3,745 件)
  • SSHコネクション件数 : 13,493 件 (前日比 +329 件)
  • Telnetコネクション件数 : 21,849 件 (前日比 +2,602 件)
  • ユニークIPアドレス件数 : 658 件 (前日比 +384 件)
  • アクセス元の国数 : 73 カ国 (前日比 +23 カ国)
  • TTY件数 : 12,064 件 (前日比 +2,367 件)

特徴

  • 総イベント件数が大幅に増加
    • 前日(2019/01/06)より22万5,000件ほど増加
  • ログイン試行件数が増加
    • 前日(2019/01/06)より3,700件ほど増加
  • Telnetコネクション件数の増加
    • 前日(2019/01/06)より2,600件ほど増加
    • 21時~22時にかけて件数が増加しました。
  • アメリカからのアクセス件数が増加
    • 前日(2019/01/06)より13万件ほど増加
    • 過去最大の件数です。

ダッシュボード

2019/01/07のダッシュボードは以下の通りです。

2019/01/07のダッシュボード
2019/01/07のダッシュボード

国別のアクセス件数

国別のアクセス件数の変遷(2019/01/07)は以下の通りです。

国別のアクセス件数の変遷(2019/01/07)
国別のアクセス件数の変遷(2019/01/07)

続いて、国別のアクセス件数(上位20位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 617,785 2. 483,630 +134,155 -
2. Italy 419,002 1. 525,601 -106,599 -
3. United Kingdom 46,134 3. 19,032 +27,102 -
4. China 28,190 12. 582 +27,608 -
5. Vietnam 21,960 13. 381 +21,579 -
6. Russia 21,617 9. 1,474 +20,143 -
7. Republic of Korea 19,956 17. 191 +19,765 -
8. Hong Kong 19,665 41. 5 +19,660 -
9. Czechia 19,333 - 0 +19,333 -
10. France 18,333 18. 130 +18,203 -
11. Ireland 13,850 4. 15,488 -1,638 -
12. Spain 9,207 15. 284 +8,923 -
13. South Africa 8,300 28. 19 +8,281 -
14. Singapore 4,884 6. 4,333 +551 -
15. Netherlands 2,780 10. 733 +2,047 -
16. Japan 2,695 32. 17 +2,678 -
17. Germany 2,639 7. 4,014 -1,375 -
18. United Arab Emirates 1,926 - 0 +1,926 -
19. India 1,010 20. 60 +950 -
20. Latvia 1,003 5. 5,144 -4,141 -
  • 0時~14時はアメリカイタリアからのアクセスが大半を占めていました。
  • 21時~22時にかけて、世界各国からのアクセスが増大しました。
    • 普段アクセスが少ない日本チェコアラブ首長国連邦などの国からのアクセスが集中していました。
    • 詳細は下記の表をご覧ください。
  • アメリカからのアクセス件数が前日(2019/01/06)より13万件ほど増加し、617,785件となりました。
    • 過去最大の件数です。
  • イタリアからのアクセス件数が前日(2019/01/06)より10万件ほど減少し、419,002件となりました。
    • 0時~13時にかけてアクセスが集中していました。
21時台の国別のアクセス件数

21時台の国別のアクセス件数(上位20位)は以下の通りです。

順位 国名 件数 備考
1. United States 31,457 -
2. China 15,927 -
3. United Kingdom 8,278 -
4. Republic of Korea 8,160 -
5. Vietnam 7,144 -
6. France 5,272 -
7. Russia 5,185 -
8. Hong Kong 4,922 -
9. Czechia 4,473 -
10. Spain 4,252 -
11. South Africa 4,150 -
12. Italy 3,583 -
13. Netherlands 2,238 -
14. Japan 2,195 -
15. United Arab Emirates 1,631 -
16. India 699 -
17. Hashemite Kingdom of Jordan 680 -
18. Ireland 508 -
19. Romania 489 -
20. Germany 483 -
22時台の国別のアクセス件数

22時台の国別のアクセス件数は以下の通りです。

順位 国名 件数 備考
1. United States 41,629 -
2. United Kingdom 14,264 -
3. Russia 12,299 -
4. Czechia 12,059 -
5. Hong Kong 11,375 -
6. Vietnam 11,349 -
7. France 10,200 -
8. Republic of Korea 8,764 -
9. China 7,530 -
10. Spain 3,558 -
11. South Africa 2,950 -
12. Ireland 438 -
13. Singapore 209 -
14. Italy 124 -
15. Netherlands 116 -
16. Japan 80 -
17. Indonesia 20 -
18. Sweden 16 -
19. Hungary 5 -
20. Germany 4 -
イタリアからのアクセス件数の変遷

イタリアからのアクセス件数の変遷(2018/12/24~2019/01/07)は以下の通りです。

イタリアからのアクセス件数の変遷(2018/12/24~2019/01/07)
イタリアからのアクセス件数の変遷(2018/12/24~2019/01/07)

2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけて、毎日30万件以上のアクセスがありました。
2019/01/02には件数が大幅に減少し、430件となりましたが、2019/01/03から再び増加し始め、2019/01/04には327,194件となりました。
2019/01/05は8万件ほど減少しましたが、2019/01/06には525,601件となり、過去最大となりました。 2019/01/07には10万件ほど減少し、419,002件となりました。

プロトコル別のコネクション件数

プロトコル別のコネクション件数は以下の通りです。

プロトコル別のコネクション件数(2019/01/09)
プロトコル別のコネクション件数(2019/01/09)

  • 世界各国からのアクセスが増大した21時~22時にかけて、Telnetのコネクション件数が増大しました。
21時台の国別のTelnetコネクション件数

21時台の国別のTelnetコネクション件数(上位20位)は以下の通りです。

順位 国名 件数 備考
1. United States 572 -
2. China 139 -
3. Republic of Korea 91 -
4. United Kingdom 87 -
5. Vietnam 56 -
6. Hong Kong 48 -
7. France 47 -
8. Spain 46 -
9. Russia 44 -
10. South Africa 43 -
11. Czechia 38 -
12. Italy 31 -
13. Japan 21 -
14. Netherlands 19 -
15. United Arab Emirates 15 -
16. Hashemite Kingdom of Jordan 6 -
17. India 6 -
18. Australia 5 -
19. Brazil 5 -
20. Pakistan 4 -
22時台の国別のTelnetコネクション件数

22時台の国別のTelnetコネクション件数(全順位)は以下の通りです。

順位 国名 件数 備考
1. United States 662 -
2. United Kingdom 130 -
3. Russia 101 -
4. Hong Kong 97 -
5. France 93 -
6. Republic of Korea 89 -
7. Czechia 88 -
8. Vietnam 87 -
9. China 65 -
10. Spain 33 -
11. South Africa 29 -
12. Singapore 6 -
13. Netherlands 3 -
14. Japan 1 -
15. Italy 1 -

国別のログイン試行

国別のログイン試行の件数(上位20位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 6,063 2. 4,373 +1,690 -
2. Italy 3,848 1. 4,826 -978 -
3. United Kingdom 2,911 3. 2,274 +637 -
4. Ireland 1,909 4. 1,930 -21 -
5. China 473 9. 70 +403 -
6. Russia 457 6. 164 +293 -
7. Republic of Korea 364 12. 35 +329 -
8. France 334 17. 10 +324 -
9. Vietnam 334 16. 12 +322 -
10. Hong Kong 307 40. 1 +306 -
11. Czechia 286 - 0 +286 -
12. Spain 153 13. 25 +128 -
13. South Africa 144 30. 2 +142 -
14. Singapore 114 8. 98 +16 -
15. Germany 64 10. 61 +3 -
16. Japan 52 23. 4 +48 -
17. Netherlands 47 15. 21 +26 -
18. India 40 19. 6 +34 -
19. Brazil 34 14. 21 +13 -
20. United Arab Emirates 32 - 0 +32 -
  • アメリカからのログイン試行件数が前日(2019/01/06)より1,700件ほど増加し、6,063件となりました。
  • イタリアからのログイン試行件数が前日(2019/01/06)より980件ほど減少し、3,848件となりました

ログイン試行で使用されたユーザ名とパスワード

ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。

順位 ユーザ名 パスワード 件数 前日の順位 前日の件数 件数差 備考
1. admin admin 4,610 1. 4,365 +245 -
2. root 88888888 1,565 2. 1,702 -137 -
3. root GM8182 780 4. 861 -81 Grain Media製のDVRを狙ったものと思われる(参照)
4. guest 123456 779 3. 862 -83 -
5. support 1234 778 5. 849 -71 -
6. admin admin1 774 6. 848 -74 -
7. root (空欄) 354 7. 312 +42 -
8. root vizxv 287 8. 279 +8 Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)
9. user user 286 10. 244 +42 -
10. root 666666 265 9. 255 +10 Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)
11. root 888888 253 11. 238 +15 Zhejiang Dahua Technology製のDVRを狙ったものと思われる(参照)
12. root pass 229 12. 204 +25 -
13. root system 211 16. 159 +52 -
14. root 123456 210 13. 191 +19 -
15. root 12345 195 15. 168 +27 -
16. root default 192 17. 155 +37 -
17. support support 174 14. 170 +4 -
18. root admin 168 26. 102 +66 -
19. root hi3518 165 19. 149 +16 Xiongmai製のDVRを狙ったものと思われる(参照)
20. root xc3511 158 18. 154 +4 HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照)
  • admin/adminの組み合わせのほとんどがイギリスアイルランドからのログイン試行の際に使用されていました。
    • イギリスが2,445件(4,610件中)、アイルランドが1,907件(4,610件中)でした。
  • root/88888888root/GM8182guest/123456support/1234admin/admin1の組み合わせのほとんどがイタリアからのログイン試行の際に使用されていました。
    • root/88888888は1,256件(1,565件中)でした。
    • root/GM8182は629件(780件中)でした。
    • guest/123456は632件(779件中)でした。
    • support/1234は635件(778件中)でした。
    • admin/admin1は628件(774件中)でした。

ダウンロードされたファイル

ダウンロードされたファイルは以下の通りです。

※VT : VirusTotal

順位 ダウンロード元 MD5 検出率(VT) 件数 備考
1. hxxp://195[.]231[.]0[.]185:80/AB4g5/Josho[.]x86 aa496313be71695fda7e415999233aa9 19/55 3,663 Mirai
2. hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 4147e375f325878fe3c3962c3d4ac411 37/57 2,629 Mirai
3. hxxp://206[.]189[.]188[.]228:80/bins/hoho[.]x86 2d46b69ac12c590f01eb65d7b987f365 28/59 377 Mirai
4. hxxp://209[.]141[.]43[.]15:80/bins/mirai[.]x86 256e4d3c013fe49c6166da2d3ba0c524 15/58 191 Mirai
5. hxxp://165[.]227[.]104[.]136:80/bins/kowai[.]x86 8d3306819d1382f4cdf64a146aafa0eb 26/58 149 Mirai
6. hxxp://159[.]65[.]190[.]9:80/Binarys/Owari[.]x86 e01733ef09a20256ada587920dc8de5f 24/59 145 Mirai
7. hxxp://138[.]197[.]98[.]242:80/Binarys/Owari[.]x86 30eaf115919371ec845d1f09fc40765c 20/58 130 Mirai
8. hxxp://167[.]99[.]229[.]112:80/8x868 a65849fe667dcc5eadd920d427785642 21/57 111 Gafgyt
9. hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86 0f6fa2e22d9de3864e7d60ed6c0cb4b5 32/58 97 Gafgyt
10. hxxp://209[.]141[.]43[.]15:80/bins/mirai[.]x86 f67ff967ae5fe71f1852689e713851c4 15/59 95 Mirai
11. hxxp://167[.]99[.]224[.]50:80/AB4g5/Josho[.]x86 a5381334416e082e697ee2b1ea07927b 17/56 79 Mirai
12. hxxp://167[.]99[.]224[.]50:80/bins/kalon[.]x86 a91e02fe0fb163bdb76e8c5caea88a4a 10/59 27 Mirai
13. hxxp://167[.]99[.]224[.]50:80/bins/gemini[.]x86 8112e50deee81b5eacfe93879690fa31 17/58 18 Mirai
14. hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 e68bd8a8712ce1788faa15c9813c00ab 21/59 12 Mirai
15. hxxp://142[.]93[.]97[.]91:80/OwO/Tsunami[.]x86 ac779f5b95b56eda2e147128852c08a1 19/59 11 Mirai
16. hxxp://103[.]195[.]7[.]162:80/bins/hoho[.]x86 63b9036b820e92e346da989f0656a198 36/57 10 Mirai
17. hxxp://217[.]61[.]105[.]126:80/shiro[.]x86 eb50a4263374adffbe9ee66c19c3473c 9/59 9 Mirai or Gafgyt
18. hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido 236cc078eb84e9e14f1112a52e74abc9 36/59 8 Mirai
19. hxxp://213[.]183[.]53[.]102/bins[.]sh 29690e8ac0f587157c2e9dabf004e3a0 24/59 6 Mirai(ダウンローダー?)
20. hxxp://149[.]248[.]56[.]218:80/OwO/Tsunami[.]x86 d05c641c291930c76abdb080c35179a0 11/57 6 Mirai
21. hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 e4ae3f23bbdbcb67b52be4616ffe280b 21/57 5 Mirai
22. hxxp://193[.]148[.]69[.]33:80/bins/telnet[.]x86 f81cb52b13c0ad74247db720ffe5fa36 21/59 3 Mirai
23. hxxp://209[.]141[.]57[.]94:80/AB4g5/Josho[.]x86 8cec8d31a7331a6c703a987ffd74f719 18/57 3 Mirai
24. hxxp://167[.]99[.]219[.]142:80/bins/dark[.]x86 5f579b8d2ad96c3219865f0a30cf3178 13/58 2 Mirai
25. hxxp://167[.]99[.]219[.]142:80/bins/dark[.]x86 c81e2c6cae869a1c5b59d0fda16f4794 19/59 2 Mirai
26. hxxp://185[.]248[.]140[.]102:80/bins/clean[.]x86 da1e9557562da98d098bed9e2ee0da3e 15/57 1 Mirai
27. hxxp://175[.]194[.]123[.]124:20757/fxBfqDaPTQrfdJdPQblx cc567027de6fb900fa5c429e24258c3c 18/55 1 Mirai
28. hxxp://211[.]143[.]198[.]118:61822/fxBfqDaPTQrfdJdPQblx cc567027de6fb900fa5c429e24258c3c 18/55 1 Mirai
29. hxxp://206[.]189[.]168[.]70/bins[.]sh 8be4e1c93366f30169867a371270417b 24/58 1 Mirai(ダウンローダー?)
30. hxxp://220[.]175[.]7[.]69:24851/fxBfqDaPTQrfdJdPQblx cc567027de6fb900fa5c429e24258c3c 18/55 1 Mirai
31. hxxp://218[.]25[.]111[.]185:32291/fxBfqDaPTQrfdJdPQblx cc567027de6fb900fa5c429e24258c3c 18/55 1 Mirai
32. hxxp://138[.]197[.]98[.]242:80/bins/sora[.]x86 9e83e87066c30c56aa4ab9945b46d2a8 17/58 1 Mirai
33. hxxp://bot[.]sunless[.]network:80/sunless[.]x86 06a8ac27ca066c417459186e4b3abf0a 12/59 1 Mirai
  • Mirai(亜種含む)やGafgyt(亜種含む)と思われるマルウェアがダウンロードされていました。

IRCボット

SSHでログイン後、以下のIRCボットと思われるファイルをSCPで転送し、一旦接続を切断。
その後再度ログインし、IRCボットと思われるファイルを実行しようとしていました。
ログイン時のユーザ名/パスワードがpi/raspberryだったため、Raspberry Piのデフォルトのユーザ名/パスワードを狙ったものと思われます。

MD5 : 742f247c9ff393f8daf2e1609f0d9506

Cowrieで取得したログの簡易分析は以上です。

WOWHoneypot

続いて、ハニーポット「WOWHoneypot」で2019/01/07 (月) 00:00~23:59 UTC(運用4日目)に取得したログの簡易分析です。
時間が無かったため、概況のみとなります。申し訳ございません。

概況

  • 集計期間 : 2019/01/07 (月) 00:00~23:59 UTC
  • 総アクセス件数 : 405 件 (前日比 +188 件)
  • ユニークIPアドレス件数 : 27 件 (前日比 -3 件)
  • アクセス元の国数 : 15 カ国 (前日比 -2 件)

WOWHoneypotで取得したログの簡易分析は以上です。