ハニーポット観察日記(2019/01/09) 「再びイタリアからのアクセスが増加」
はじめに
こんにちは。cute_otterです。
低レイヤの知識を深めるため、「デバッガによるx86プログラム解析入門」を読み始めました。
いつかマルウェア解析などに生かしたい...
Cowrie
ハニーポット「Cowrie」で2019/01/09 (水) 00:00~23:59 UTC(運用58日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/09 (水) 00:00~23:59 UTC
- 総イベント件数 : 903,184 件 (前日比 +276,176 件)
- コマンド実行成功 : 397,238 件 (前日比 +135,837 件)
- コマンド入力 : 311,153 件 (前日比 +100,925 件)
- ファイルダウンロード成功 : 61,050 件 (前日比 +21,245 件)
- セッションクローズ : 31,201 件 (前日比 +2,252 件)
- 新しいコネクション : 31,198 件 (前日比 +2,245 件)
- コマンド実行失敗 : 17,082 件 (前日比 +4,650 件)
- ログイン成功 : 12,084 件 (前日比 +2,127 件)
- 外部へのTCP/IPリクエストの送出 : 8,471 件 (前日比 -765 件)
- Cowrieによってエミュレートされたアーキテクチャ : 8,039 件 (前日比 +2,373 件)
- TTYログ取得終了 : 8,027 件 (前日比 +2,361 件)
- ファイルダウンロード失敗 : 6,598 件 (前日比 +2,514 件)
- クライアントのSSHバージョン : 4,378 件 (前日比 -261 件)
- SSH鍵交換 : 4,366 件 (前日比 -266 件)
- 外部へのTCP/IPデータの送出 : 1,971 件 (前日比 +1,028 件)
- ログイン失敗 : 285 件 (前日比 -122 件)
- ターミナルサイズ : 39 件 (前日比 +33 件)
- クライアントの環境設定 : 4 件 (前日比 0 件)
- ログイン試行件数 : 12,369 件 (前日比 +2,005 件)
- SSHコネクション件数 : 13,041 件 (前日比 -259 件)
- Telnetコネクション件数 : 18,157 件 (前日比 +2,504 件)
- ユニークIPアドレス件数 : 405 件 (前日比 -35 件)
- アクセス元の国数 : 57 カ国 (前日比 +1 カ国)
- TTY件数 : 8,027 件 (前日比 +2,361 件)
特徴
- 総イベント件数が大幅に増加
- 前日より27万6,000件ほど増加
- ログイン試行件数が増加
- 前日より2,000件ほど増加
- Telnetコネクション件数が増加
- 前日より2,500件ほど増加
- イタリアからのアクセスが大幅に増加
- 前日より35万5,000件ほど増加
- 2019/01/07~08にかけてアクセスが減少していた
ダッシュボード
ダッシュボードは以下の通りです。
国別のアクセス件数
国別のアクセス件数の変遷は以下の通りです。
続いて、国別のアクセス件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 454,911 | 1. | 532,269 | -77,358 | - |
2. | Italy | 401,509 | 2. | 46,275 | +355,234 | - |
3. | United Kingdom | 17,555 | 3. | 18,609 | -1,054 | - |
4. | Ireland | 14,500 | 4. | 13,184 | +1,316 | - |
5. | Singapore | 4,029 | 5. | 4,958 | -929 | - |
6. | Unknown | 2,951 | 12. | 539 | +2,412 | 識別不能 |
7. | Russia | 1,182 | 8. | 1,129 | +53 | - |
8. | Canada | 1,095 | - | 0 | +1,095 | - |
9. | Latvia | 821 | 7. | 2,529 | -1,708 | - |
10. | Romania | 676 | 11. | 660 | +16 | - |
11. | China | 593 | 10. | 726 | -133 | - |
12. | India | 513 | 20. | 66 | +447 | - |
13. | Netherlands | 507 | 13. | 357 | +150 | - |
14. | Germany | 457 | 6. | 3,442 | -2,985 | - |
15. | Vietnam | 411 | 9. | 781 | -370 | - |
16. | France | 268 | 15. | 195 | +73 | - |
17. | Brazil | 162 | 14. | 202 | -40 | - |
18. | Hong Kong | 124 | - | 0 | +124 | - |
19. | Taiwan | 105 | 18. | 85 | +20 | - |
20. | Greece | 100 | - | 0 | +100 | - |
- 前日と比較してアクセス件数が増加しました。特に
イタリア
からのアクセス件数が増加しました。 イタリア
からのアクセス件数が前日より35万5,000件ほど増加し、401,509件となりました。- 0時~10時、22時~23時にアクセスが集中していました。
- イタリアからのアクセスのうち99%が一つのIPアドレスからのものでした。
- アメリカからのアクセス件数が前日より7万7,000件ほど減少し、454,911件となりました。
イタリアからのアクセス件数の変遷
イタリアからのアクセス件数の変遷(2018/12/24~2019/01/09)は以下の通りです。
2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけて、毎日30万件以上のアクセスがありました。
2019/01/02には件数が大幅に減少し、430件となりましたが、2019/01/03から再び増加し始め、2019/01/04には327,194件となりました。
2019/01/05は8万件ほど減少しましたが、2019/01/06には525,601件となり、過去最大となりました。
2019/01/07~08にかけて件数が減少しましたが、2019/01/09には再び件数が増加し、401,509件となりました。
国別のログイン試行
国別のログイン試行の件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 3,940 | 1. | 4,836 | -896 | - |
2. | Italy | 3,665 | 4. | 434 | +3,231 | - |
3. | United Kingdom | 2,091 | 2. | 2,276 | -185 | - |
4. | Ireland | 1,927 | 3. | 1,908 | +19 | - |
5. | Russia | 170 | 5. | 148 | +22 | - |
6. | Singapore | 99 | 7. | 117 | -18 | - |
7. | China | 73 | 8. | 94 | -21 | - |
8. | Germany | 51 | 6. | 120 | -69 | - |
9. | France | 43 | 13. | 35 | +8 | - |
10. | Vietnam | 42 | 9. | 67 | -25 | - |
11. | Taiwan | 35 | 14. | 33 | +2 | - |
12. | India | 33 | 20. | 8 | +25 | - |
13. | Canada | 30 | 21. | 7 | +23 | - |
14. | Latvia | 18 | 10. | 56 | -38 | - |
15. | Romania | 17 | 15. | 19 | -2 | - |
16. | Netherlands | 16 | 11. | 53 | -37 | - |
17. | Brazil | 15 | 17. | 13 | +2 | - |
18. | Hong Kong | 12 | 24. | 5 | +7 | - |
19. | Greece | 10 | 29. | 3 | +7 | - |
20. | Republic of Korea | 8 | 12. | 37 | -29 | - |
イタリア
からのログイン試行件数が前日より3,200件ほど増加し、3,665件となりましたアメリカ
からのログイン試行件数が前日より896件ほど減少し、3,940件となりました。
ログイン試行で使用されたユーザ名とパスワード
ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。
順位 | ユーザ名 | パスワード | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|---|
1. | admin | admin | 4,151 | 1. | 4,374 | -223 | - |
2. | root | 88888888 | 1,230 | 6. | 210 | +1,020 | - |
3. | root | GM8182 | 621 | 22. | 105 | +516 | Grain Media製のDVRを狙ったものと思われる(参照) |
4. | guest | 123456 | 618 | 23. | 101 | +517 | - |
5. | admin | admin1 | 614 | 25. | 97 | +517 | - |
6. | support | 1234 | 613 | 26. | 96 | +517 | - |
7. | root | (空欄) | 300 | 2. | 347 | -47 | - |
8. | root | 666666 | 262 | 5. | 245 | +17 | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
9. | root | vizxv | 255 | 3. | 277 | -22 | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
10. | root | pass | 192 | 9. | 203 | -11 | - |
11. | root | 888888 | 187 | 7. | 207 | -20 | Zhejiang Dahua Technology製のDVRを狙ったものと思われる(参照) |
12. | root | system | 185 | 8. | 204 | -19 | - |
13. | root | 1234 | 173 | 12. | 172 | +1 | - |
14. | user | user | 169 | 4. | 246 | -77 | - |
15. | root | 123456 | 166 | 10. | 192 | -26 | - |
16. | root | xc3511 | 156 | 15. | 156 | 0 | HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照) |
17. | support | support | 156 | 14. | 159 | -3 | - |
18. | root | hi3518 | 147 | 16. | 154 | -7 | Xiongmai製のDVRを狙ったものと思われる(参照) |
19. | admin | 4321 | 144 | 17. | 145 | -1 | - |
20. | root | 12345 | 134 | 13. | 166 | -32 | - |
admin/admin
の組み合わせのほとんどがイギリス
とアイルランド
からのログイン試行の際に使用されていました。- イギリスが1,989件(4,151件中)、アイルランドが1,917件(4,151件中)でした。
root/88888888
、root/GM8182
、guest/123456
、admin/admin1
、support/1234
の組み合わせのほとんどがイタリア
からのログイン試行の際に使用されていました。root/88888888
は1,219件(1,230件中)でした。root/GM8182
は615件(621件中)でした。guest/123456
は608件(618件中)でした。admin/admin1
は608件(614件中)でした。support/1234
は608件(613件中)でした。
ダウンロードされたファイル
ダウンロードされたファイルは以下の通りです。
※VT : VirusTotal
順位 | ダウンロード元 | MD5 | 検出率(VT) | 件数 | 備考 |
---|---|---|---|---|---|
1. | hxxp://195[.]231[.]0[.]185:80/AB4g5/Josho[.]x86 | aa496313be71695fda7e415999233aa9 | 19/55 | 3,562 | Mirai |
2. | hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 | 4147e375f325878fe3c3962c3d4ac411 | 37/57 | 2,481 | Mirai |
3. | hxxp://209[.]141[.]43[.]15:80/bins/mirai[.]x86 | 256e4d3c013fe49c6166da2d3ba0c524 | 18/58 | 344 | Mirai |
4. | hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86 | 0f6fa2e22d9de3864e7d60ed6c0cb4b5 | 32/56 | 83 | Gafgyt or Mirai |
5. | hxxp://149[.]248[.]56[.]218:80/OwO/Tsunami[.]x86 | 23425d830ec98cc0322e91bc5935ac81 | 9/60 | 22 | Mirai |
6. | hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 | e68bd8a8712ce1788faa15c9813c00ab | 21/60 | 15 | Mirai |
7. | hxxp://193[.]148[.]69[.]33:80/bins/telnet[.]x86 | f81cb52b13c0ad74247db720ffe5fa36 | 20/58 | 9 | Mirai |
8. | hxxp://80[.]211[.]132[.]63:80/bins/dark[.]x86 | f3423e96829efd9324a6112fd55f994c | 21/59 | 7 | Mirai |
9. | hxxp://193[.]148[.]69[.]34:80/bins/apep[.]x86 | 5ffc21f166ff80bc034158f507a3baba | 19/60 | 6 | Mirai or Gafgyt |
10. | hxxp://209[.]97[.]185[.]168:80/bins/kirai[.]x86 | 3906a2f9b3192664762e3f6eb84f4c18 | 25/59 | 6 | Mirai |
11. | hxxp://185[.]234[.]217[.]21/ssh1[.]txt | 9952847353e18356f9b536fbb91915e6 | 40/59 | 6 | IRCボット |
12. | hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido | 236cc078eb84e9e14f1112a52e74abc9 | 35/59 | 6 | Mirai |
13. | hxxp://159[.]65[.]190[.]9:80/Binarys/Owari[.]x86 | e01733ef09a20256ada587920dc8de5f | 24/59 | 5 | Mirai |
14. | hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 | e4ae3f23bbdbcb67b52be4616ffe280b | 21/57 | 5 | Mirai |
15. | hxxp://167[.]99[.]219[.]142:80/bins/dark[.]x86 | 5f579b8d2ad96c3219865f0a30cf3178 | 21/58 | 3 | Mirai |
IRCボット
3日連続して同じIRCボットと思われるマルウェアを観測しています。
MD5ハッシュ値は以下の通りです。
MD5 : 742f247c9ff393f8daf2e1609f0d9506
詳細は過去記事を参照ください。
Cowrieで取得したログの簡易分析は以上です。
WOWHoneypot
続いて、ハニーポット「WOWHoneypot」で2019/01/09 (水) 00:00~23:59 UTC(運用6日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/09 (水) 00:00~23:59 UTC
- 総アクセス件数 : 375 件 (前日比 -495 件)
- ユニークIPアドレス件数 : 16 件 (前日比 -17 件)
- アクセス元の国数 : 13 カ国 (前日比 -3 件)
特徴
- アクセス件数が減少
- 前日より500件ほど減少
- アクセスの大半はWebShellやphpMyAdminの探査が目的と思われるものだった
国別のアクセス件数
国別のアクセス件数(上位5位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | China | 361 | 1. | 502 | -141 | - |
2. | India | 2 | - | 0 | +2 | - |
3. | United States | 2 | 4. | 3 | -1 | - |
4. | France | 1 | 8. | 1 | +-0 | - |
5. | Japan | 1 | 5. | 1 | +-0 | - |
- 大半が
中国
からのアクセスでした。
メソッド
メソッドの件数は以下の通りです。
順位 | メソッド | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | GET | 238 | 2. | 394 | -156 | - |
2. | POST | 135 | 1. | 467 | -332 | - |
3. | PROPFIND | 2 | 4. | 3 | -1 | - |
- 2019/01/07~08にかけて観測した
CONNECT
メソッドは観測できませんでした。
HTTPバージョン
HTTPバージョンの件数は以下の通りです。
順位 | HTTPバージョン | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | HTTP/1.1 | 375 | 1. | 867 | -492 | - |
アクセス先
アクセス先(上位10位+気になったもの)は以下の通りです。
順位 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | GET / HTTP/1.1 | 12 | 2. | 16 | -4 | トップページへのアクセス |
2. | GET /manager/html HTTP/1.1 | 10 | 1. | 29 | -19 | Tomcatの管理ページに対するログイン試行 |
3. | POST /qq.php HTTP/1.1 | 5 | 3. | 9 | -4 | WebShellの探査 |
4. | GET /shell.php HTTP/1.1 | 4 | 6. | 6 | -2 | WebShellの探査 |
5. | GET /cmd.php HTTP/1.1 | 4 | 7. | 6 | -2 | WebShellの探査 |
6. | POST /xx.php HTTP/1.1 | 4 | 18. | 4 | +-0 | WebShellの探査 |
7. | POST /q.php HTTP/1.1 | 4 | 19. | 4 | +-0 | WebShellの探査 |
8. | GET /web/phpMyAdmin/index.php HTTP/1.1 | 4 | 11. | 6 | -2 | phpMyAdminの探査 |
9. | GET /admin/phpMyAdmin/index.php HTTP/1.1 | 4 | 10. | 6 | -2 | phpMyAdminの探査 |
10. | GET /phpMyAdmin/phpMyAdmin/index.php HTTP/1.1 | 4 | 16. | 6 | -2 | phpMyAdminの探査 |
... | ... | ... | ... | ... | ... | ... |
14. | PROPFIND / HTTP/1.1 | 2 | 28. | 3 | -1 | Microsoft IIS 6.0の脆弱性CVE-2017-7269を狙った攻撃 |
15. | GET /webdav/ HTTP/1.1 | 2 | 29. | 3 | -1 | WebDAVの探査 |
WOWHoneypotで取得したログの簡易分析は以上です。