ハニーポット観察日記(2019/01/09) 「再びイタリアからのアクセスが増加」
はじめに
こんにちは。cute_otterです。
低レイヤの知識を深めるため、「デバッガによるx86プログラム解析入門」を読み始めました。
いつかマルウェア解析などに生かしたい...
Cowrie
ハニーポット「Cowrie」で2019/01/09 (水) 00:00~23:59 UTC(運用58日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/09 (水) 00:00~23:59 UTC
- 総イベント件数 : 903,184 件 (前日比 +276,176 件)
- コマンド実行成功 : 397,238 件 (前日比 +135,837 件)
- コマンド入力 : 311,153 件 (前日比 +100,925 件)
- ファイルダウンロード成功 : 61,050 件 (前日比 +21,245 件)
- セッションクローズ : 31,201 件 (前日比 +2,252 件)
- 新しいコネクション : 31,198 件 (前日比 +2,245 件)
- コマンド実行失敗 : 17,082 件 (前日比 +4,650 件)
- ログイン成功 : 12,084 件 (前日比 +2,127 件)
- 外部へのTCP/IPリクエストの送出 : 8,471 件 (前日比 -765 件)
- Cowrieによってエミュレートされたアーキテクチャ : 8,039 件 (前日比 +2,373 件)
- TTYログ取得終了 : 8,027 件 (前日比 +2,361 件)
- ファイルダウンロード失敗 : 6,598 件 (前日比 +2,514 件)
- クライアントのSSHバージョン : 4,378 件 (前日比 -261 件)
- SSH鍵交換 : 4,366 件 (前日比 -266 件)
- 外部へのTCP/IPデータの送出 : 1,971 件 (前日比 +1,028 件)
- ログイン失敗 : 285 件 (前日比 -122 件)
- ターミナルサイズ : 39 件 (前日比 +33 件)
- クライアントの環境設定 : 4 件 (前日比 0 件)
- ログイン試行件数 : 12,369 件 (前日比 +2,005 件)
- SSHコネクション件数 : 13,041 件 (前日比 -259 件)
- Telnetコネクション件数 : 18,157 件 (前日比 +2,504 件)
- ユニークIPアドレス件数 : 405 件 (前日比 -35 件)
- アクセス元の国数 : 57 カ国 (前日比 +1 カ国)
- TTY件数 : 8,027 件 (前日比 +2,361 件)
特徴
- 総イベント件数が大幅に増加
- 前日より27万6,000件ほど増加
- ログイン試行件数が増加
- 前日より2,000件ほど増加
- Telnetコネクション件数が増加
- 前日より2,500件ほど増加
- イタリアからのアクセスが大幅に増加
- 前日より35万5,000件ほど増加
- 2019/01/07~08にかけてアクセスが減少していた
ダッシュボード
ダッシュボードは以下の通りです。
国別のアクセス件数
国別のアクセス件数の変遷は以下の通りです。
続いて、国別のアクセス件数(上位20位)は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | United States | 454,911 | 1. | 532,269 | -77,358 | - |
| 2. | Italy | 401,509 | 2. | 46,275 | +355,234 | - |
| 3. | United Kingdom | 17,555 | 3. | 18,609 | -1,054 | - |
| 4. | Ireland | 14,500 | 4. | 13,184 | +1,316 | - |
| 5. | Singapore | 4,029 | 5. | 4,958 | -929 | - |
| 6. | Unknown | 2,951 | 12. | 539 | +2,412 | 識別不能 |
| 7. | Russia | 1,182 | 8. | 1,129 | +53 | - |
| 8. | Canada | 1,095 | - | 0 | +1,095 | - |
| 9. | Latvia | 821 | 7. | 2,529 | -1,708 | - |
| 10. | Romania | 676 | 11. | 660 | +16 | - |
| 11. | China | 593 | 10. | 726 | -133 | - |
| 12. | India | 513 | 20. | 66 | +447 | - |
| 13. | Netherlands | 507 | 13. | 357 | +150 | - |
| 14. | Germany | 457 | 6. | 3,442 | -2,985 | - |
| 15. | Vietnam | 411 | 9. | 781 | -370 | - |
| 16. | France | 268 | 15. | 195 | +73 | - |
| 17. | Brazil | 162 | 14. | 202 | -40 | - |
| 18. | Hong Kong | 124 | - | 0 | +124 | - |
| 19. | Taiwan | 105 | 18. | 85 | +20 | - |
| 20. | Greece | 100 | - | 0 | +100 | - |
- 前日と比較してアクセス件数が増加しました。特に
イタリアからのアクセス件数が増加しました。 イタリアからのアクセス件数が前日より35万5,000件ほど増加し、401,509件となりました。- 0時~10時、22時~23時にアクセスが集中していました。
- イタリアからのアクセスのうち99%が一つのIPアドレスからのものでした。
- アメリカからのアクセス件数が前日より7万7,000件ほど減少し、454,911件となりました。
イタリアからのアクセス件数の変遷
イタリアからのアクセス件数の変遷(2018/12/24~2019/01/09)は以下の通りです。
2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけて、毎日30万件以上のアクセスがありました。
2019/01/02には件数が大幅に減少し、430件となりましたが、2019/01/03から再び増加し始め、2019/01/04には327,194件となりました。
2019/01/05は8万件ほど減少しましたが、2019/01/06には525,601件となり、過去最大となりました。
2019/01/07~08にかけて件数が減少しましたが、2019/01/09には再び件数が増加し、401,509件となりました。
国別のログイン試行
国別のログイン試行の件数(上位20位)は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | United States | 3,940 | 1. | 4,836 | -896 | - |
| 2. | Italy | 3,665 | 4. | 434 | +3,231 | - |
| 3. | United Kingdom | 2,091 | 2. | 2,276 | -185 | - |
| 4. | Ireland | 1,927 | 3. | 1,908 | +19 | - |
| 5. | Russia | 170 | 5. | 148 | +22 | - |
| 6. | Singapore | 99 | 7. | 117 | -18 | - |
| 7. | China | 73 | 8. | 94 | -21 | - |
| 8. | Germany | 51 | 6. | 120 | -69 | - |
| 9. | France | 43 | 13. | 35 | +8 | - |
| 10. | Vietnam | 42 | 9. | 67 | -25 | - |
| 11. | Taiwan | 35 | 14. | 33 | +2 | - |
| 12. | India | 33 | 20. | 8 | +25 | - |
| 13. | Canada | 30 | 21. | 7 | +23 | - |
| 14. | Latvia | 18 | 10. | 56 | -38 | - |
| 15. | Romania | 17 | 15. | 19 | -2 | - |
| 16. | Netherlands | 16 | 11. | 53 | -37 | - |
| 17. | Brazil | 15 | 17. | 13 | +2 | - |
| 18. | Hong Kong | 12 | 24. | 5 | +7 | - |
| 19. | Greece | 10 | 29. | 3 | +7 | - |
| 20. | Republic of Korea | 8 | 12. | 37 | -29 | - |
イタリアからのログイン試行件数が前日より3,200件ほど増加し、3,665件となりましたアメリカからのログイン試行件数が前日より896件ほど減少し、3,940件となりました。
ログイン試行で使用されたユーザ名とパスワード
ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。
| 順位 | ユーザ名 | パスワード | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|---|
| 1. | admin | admin | 4,151 | 1. | 4,374 | -223 | - |
| 2. | root | 88888888 | 1,230 | 6. | 210 | +1,020 | - |
| 3. | root | GM8182 | 621 | 22. | 105 | +516 | Grain Media製のDVRを狙ったものと思われる(参照) |
| 4. | guest | 123456 | 618 | 23. | 101 | +517 | - |
| 5. | admin | admin1 | 614 | 25. | 97 | +517 | - |
| 6. | support | 1234 | 613 | 26. | 96 | +517 | - |
| 7. | root | (空欄) | 300 | 2. | 347 | -47 | - |
| 8. | root | 666666 | 262 | 5. | 245 | +17 | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
| 9. | root | vizxv | 255 | 3. | 277 | -22 | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
| 10. | root | pass | 192 | 9. | 203 | -11 | - |
| 11. | root | 888888 | 187 | 7. | 207 | -20 | Zhejiang Dahua Technology製のDVRを狙ったものと思われる(参照) |
| 12. | root | system | 185 | 8. | 204 | -19 | - |
| 13. | root | 1234 | 173 | 12. | 172 | +1 | - |
| 14. | user | user | 169 | 4. | 246 | -77 | - |
| 15. | root | 123456 | 166 | 10. | 192 | -26 | - |
| 16. | root | xc3511 | 156 | 15. | 156 | 0 | HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照) |
| 17. | support | support | 156 | 14. | 159 | -3 | - |
| 18. | root | hi3518 | 147 | 16. | 154 | -7 | Xiongmai製のDVRを狙ったものと思われる(参照) |
| 19. | admin | 4321 | 144 | 17. | 145 | -1 | - |
| 20. | root | 12345 | 134 | 13. | 166 | -32 | - |
admin/adminの組み合わせのほとんどがイギリスとアイルランドからのログイン試行の際に使用されていました。- イギリスが1,989件(4,151件中)、アイルランドが1,917件(4,151件中)でした。
root/88888888、root/GM8182、guest/123456、admin/admin1、support/1234の組み合わせのほとんどがイタリアからのログイン試行の際に使用されていました。root/88888888は1,219件(1,230件中)でした。root/GM8182は615件(621件中)でした。guest/123456は608件(618件中)でした。admin/admin1は608件(614件中)でした。support/1234は608件(613件中)でした。
ダウンロードされたファイル
ダウンロードされたファイルは以下の通りです。
※VT : VirusTotal
| 順位 | ダウンロード元 | MD5 | 検出率(VT) | 件数 | 備考 |
|---|---|---|---|---|---|
| 1. | hxxp://195[.]231[.]0[.]185:80/AB4g5/Josho[.]x86 | aa496313be71695fda7e415999233aa9 | 19/55 | 3,562 | Mirai |
| 2. | hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 | 4147e375f325878fe3c3962c3d4ac411 | 37/57 | 2,481 | Mirai |
| 3. | hxxp://209[.]141[.]43[.]15:80/bins/mirai[.]x86 | 256e4d3c013fe49c6166da2d3ba0c524 | 18/58 | 344 | Mirai |
| 4. | hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86 | 0f6fa2e22d9de3864e7d60ed6c0cb4b5 | 32/56 | 83 | Gafgyt or Mirai |
| 5. | hxxp://149[.]248[.]56[.]218:80/OwO/Tsunami[.]x86 | 23425d830ec98cc0322e91bc5935ac81 | 9/60 | 22 | Mirai |
| 6. | hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 | e68bd8a8712ce1788faa15c9813c00ab | 21/60 | 15 | Mirai |
| 7. | hxxp://193[.]148[.]69[.]33:80/bins/telnet[.]x86 | f81cb52b13c0ad74247db720ffe5fa36 | 20/58 | 9 | Mirai |
| 8. | hxxp://80[.]211[.]132[.]63:80/bins/dark[.]x86 | f3423e96829efd9324a6112fd55f994c | 21/59 | 7 | Mirai |
| 9. | hxxp://193[.]148[.]69[.]34:80/bins/apep[.]x86 | 5ffc21f166ff80bc034158f507a3baba | 19/60 | 6 | Mirai or Gafgyt |
| 10. | hxxp://209[.]97[.]185[.]168:80/bins/kirai[.]x86 | 3906a2f9b3192664762e3f6eb84f4c18 | 25/59 | 6 | Mirai |
| 11. | hxxp://185[.]234[.]217[.]21/ssh1[.]txt | 9952847353e18356f9b536fbb91915e6 | 40/59 | 6 | IRCボット |
| 12. | hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido | 236cc078eb84e9e14f1112a52e74abc9 | 35/59 | 6 | Mirai |
| 13. | hxxp://159[.]65[.]190[.]9:80/Binarys/Owari[.]x86 | e01733ef09a20256ada587920dc8de5f | 24/59 | 5 | Mirai |
| 14. | hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 | e4ae3f23bbdbcb67b52be4616ffe280b | 21/57 | 5 | Mirai |
| 15. | hxxp://167[.]99[.]219[.]142:80/bins/dark[.]x86 | 5f579b8d2ad96c3219865f0a30cf3178 | 21/58 | 3 | Mirai |
IRCボット
3日連続して同じIRCボットと思われるマルウェアを観測しています。
MD5ハッシュ値は以下の通りです。
MD5 : 742f247c9ff393f8daf2e1609f0d9506
詳細は過去記事を参照ください。
Cowrieで取得したログの簡易分析は以上です。
WOWHoneypot
続いて、ハニーポット「WOWHoneypot」で2019/01/09 (水) 00:00~23:59 UTC(運用6日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/09 (水) 00:00~23:59 UTC
- 総アクセス件数 : 375 件 (前日比 -495 件)
- ユニークIPアドレス件数 : 16 件 (前日比 -17 件)
- アクセス元の国数 : 13 カ国 (前日比 -3 件)
特徴
- アクセス件数が減少
- 前日より500件ほど減少
- アクセスの大半はWebShellやphpMyAdminの探査が目的と思われるものだった
国別のアクセス件数
国別のアクセス件数(上位5位)は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | China | 361 | 1. | 502 | -141 | - |
| 2. | India | 2 | - | 0 | +2 | - |
| 3. | United States | 2 | 4. | 3 | -1 | - |
| 4. | France | 1 | 8. | 1 | +-0 | - |
| 5. | Japan | 1 | 5. | 1 | +-0 | - |
- 大半が
中国からのアクセスでした。
メソッド
メソッドの件数は以下の通りです。
| 順位 | メソッド | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | GET | 238 | 2. | 394 | -156 | - |
| 2. | POST | 135 | 1. | 467 | -332 | - |
| 3. | PROPFIND | 2 | 4. | 3 | -1 | - |
- 2019/01/07~08にかけて観測した
CONNECTメソッドは観測できませんでした。
HTTPバージョン
HTTPバージョンの件数は以下の通りです。
| 順位 | HTTPバージョン | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | HTTP/1.1 | 375 | 1. | 867 | -492 | - |
アクセス先
アクセス先(上位10位+気になったもの)は以下の通りです。
| 順位 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | GET / HTTP/1.1 | 12 | 2. | 16 | -4 | トップページへのアクセス |
| 2. | GET /manager/html HTTP/1.1 | 10 | 1. | 29 | -19 | Tomcatの管理ページに対するログイン試行 |
| 3. | POST /qq.php HTTP/1.1 | 5 | 3. | 9 | -4 | WebShellの探査 |
| 4. | GET /shell.php HTTP/1.1 | 4 | 6. | 6 | -2 | WebShellの探査 |
| 5. | GET /cmd.php HTTP/1.1 | 4 | 7. | 6 | -2 | WebShellの探査 |
| 6. | POST /xx.php HTTP/1.1 | 4 | 18. | 4 | +-0 | WebShellの探査 |
| 7. | POST /q.php HTTP/1.1 | 4 | 19. | 4 | +-0 | WebShellの探査 |
| 8. | GET /web/phpMyAdmin/index.php HTTP/1.1 | 4 | 11. | 6 | -2 | phpMyAdminの探査 |
| 9. | GET /admin/phpMyAdmin/index.php HTTP/1.1 | 4 | 10. | 6 | -2 | phpMyAdminの探査 |
| 10. | GET /phpMyAdmin/phpMyAdmin/index.php HTTP/1.1 | 4 | 16. | 6 | -2 | phpMyAdminの探査 |
| ... | ... | ... | ... | ... | ... | ... |
| 14. | PROPFIND / HTTP/1.1 | 2 | 28. | 3 | -1 | Microsoft IIS 6.0の脆弱性CVE-2017-7269を狙った攻撃 |
| 15. | GET /webdav/ HTTP/1.1 | 2 | 29. | 3 | -1 | WebDAVの探査 |
WOWHoneypotで取得したログの簡易分析は以上です。
