ハニーポット観察日記(2019/01/11) 「アクセス件数が若干減少、Minecraftサーバー狙いと思われる攻撃を観測」
はじめに
こんにちは。cute_otterです。
WOWHoneypotですが、ログの取得に失敗したので、簡易分析はお休みします。すみません。
Cowrie
ハニーポット「Cowrie」で2019/01/11 (金) 00:00~23:59 UTC(運用59日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/11 (金) 00:00~23:59 UTC
- 総イベント件数 : 691,842 件 (前日比 -44,298 件)
- コマンド実行成功 : 299,451 件 (前日比 -15,649 件)
- コマンド入力 : 235,381 件 (前日比 -12,562 件)
- ファイルダウンロード成功 : 45,778 件 (前日比 -2,539 件)
- 新しいコネクション : 28,027 件 (前日比 -2,518 件)
- セッションクローズ : 28,001 件 (前日比 -2,516 件)
- コマンド実行失敗 : 12,847 件 (前日比 -1,250 件)
- ログイン成功 : 9,240 件 (前日比 -1,560 件)
- 外部へのTCP/IPリクエストの送出 : 7,871 件 (前日比 -1,563 件)
- Cowrieによってエミュレートされたアーキテクチャ : 6,070 件 (前日比 -543 件)
- TTYログ取得終了 : 6,056 件 (前日比 -530 件)
- ファイルダウンロード失敗 : 5,104 件 (前日比 -101 件)
- クライアントのSSHバージョン : 3,471 件 (前日比 -986 件)
- SSH鍵交換 : 3,468 件 (前日比 -973 件)
- 外部へのTCP/IPデータの送出 : 809 件 (前日比 -1,013 件)
- ログイン失敗 : 252 件 (前日比 +31 件)
- ターミナルサイズ : 8 件 (前日比 -6 件)
- クライアントの環境設定 : 8 件 (前日比 +4 件)
- ログイン試行件数 : 9,492 件 (前日比 -1,529 件)
- SSHコネクション件数 : 11,733 件 (前日比 -1,342 件)
- Telnetコネクション件数 : 16,294 件 (前日比 -1,176 件)
- ユニークIPアドレス件数 : 408 件 (前日比 -22 件)
- アクセス元の国数 : 64 カ国 (前日比 +9 カ国)
- TTY件数 : 6,056 件 (前日比 -530 件)
特徴
- 総イベント件数が減少
- 前日より4万4,000件ほど減少
- ログイン試行件数が減少
- 前日より1,500件ほど減少
- SSHコネクション件数が減少
- 前日より1,300件ほど減少
- Telnetコネクション件数が減少
- 前日より1,200件ほど減少
- 5日連続してRaspberry Piを狙ったと思われるIRCボットを観測
- Minecraftサーバーを狙ったと思われる攻撃を観測
ダッシュボード
ダッシュボードは以下の通りです。
国別のアクセス件数
国別のアクセス件数の変遷は以下の通りです。
続いて、国別のアクセス件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 373,447 | 1. | 374,283 | -836 | - |
2. | Italy | 276,857 | 2. | 308,545 | -31,688 | - |
3. | United Kingdom | 15,649 | 3. | 18,307 | -2,658 | - |
4. | Ireland | 8,751 | 4. | 14,062 | -5,311 | - |
5. | Unknown | 5,496 | 6. | 3,040 | +2,456 | 識別不能 |
6. | Singapore | 4,348 | 5. | 5,484 | -1,136 | - |
7. | Russia | 1,682 | 7. | 1,623 | +59 | - |
8. | China | 960 | 8. | 1,524 | -564 | - |
9. | France | 557 | 12. | 586 | -29 | - |
10. | Canada | 537 | 13. | 580 | -43 | - |
11. | Netherlands | 400 | 24. | 182 | +218 | - |
12. | Vietnam | 399 | 16. | 537 | -138 | - |
13. | Latvia | 282 | 14. | 564 | -282 | - |
14. | Sweden | 276 | 10. | 611 | -335 | - |
15. | Israel | 233 | 11. | 595 | -362 | - |
16. | Poland | 228 | - | 0 | +228 | - |
17. | Romania | 186 | 20. | 394 | -208 | - |
18. | Brazil | 185 | 17. | 472 | -287 | - |
19. | India | 144 | 25. | 178 | -34 | - |
20. | Republic of Korea | 140 | 9. | 634 | -494 | - |
- 2日連続でアクセス件数が減少しました。本日は特に
イタリア
、アイルランド
からのアクセスが減少しました。 イタリア
からのアクセス件数が前日より3万2,000件ほど減少し、276,857件となりました。- 0~9時、23時にアクセスが集中していました。
アイルランド
からのアクセス件数が前日より5,300件ほど減少し、8,751件となりました。- 普段アクセスが少ない
ポーランド
からのアクセスが230件ほどありました。
イタリアからのアクセス件数の変遷
イタリアからのアクセス件数の変遷(2018/12/24~2019/01/11)は以下の通りです。
2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が6万件台まで減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけて、連日30万件以上のアクセスがありました。
2019/01/02には件数が大幅に減少し、430件となりましたが、2019/01/03から再び増加し始め、2019/01/04には327,194件となりました。
2019/01/05は8万件ほど減少しましたが、2019/01/06には525,601件となり、過去最大となりました。
2019/01/07~08にかけて件数が減少しましたが、2019/01/09~10にかけて30万件以上のアクセスがありました。
2019/01/11には約27万件となりました。
国別のログイン試行
国別のログイン試行の件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 3,315 | 1. | 3,351 | -36 | - |
2. | Italy | 2,530 | 2. | 2,826 | -296 | - |
3. | United Kingdom | 1,798 | 3. | 2,151 | -353 | - |
4. | Ireland | 1,240 | 4. | 1,920 | -680 | - |
5. | Russia | 161 | 5. | 155 | +6 | - |
6. | Singapore | 99 | 6. | 148 | -49 | - |
7. | China | 92 | 7. | 76 | +16 | - |
8. | Vietnam | 28 | 12. | 24 | +4 | - |
9. | France | 23 | 10. | 27 | -4 | - |
10. | Sweden | 23 | 8. | 51 | -28 | - |
11. | Brazil | 18 | 11. | 26 | -8 | - |
12. | India | 18 | 26. | 8 | +10 | - |
13. | Canada | 17 | 13. | 15 | +2 | - |
14. | Germany | 11 | 15. | 13 | -2 | - |
15. | Netherlands | 10 | 23. | 9 | +1 | - |
16. | Israel | 8 | 19. | 10 | -2 | - |
17. | Poland | 8 | - | 0 | +8 | - |
18. | Latvia | 6 | 18. | 12 | -6 | - |
19. | Republic of Korea | 6 | 9. | 42 | -36 | - |
20. | Romania | 6 | - | 0 | +6 | - |
アイルランド
からのログイン試行件数が前日より700件ほど減少し、1,240件となりました。イタリア
からのログイン試行件数が前日より300件ほど減少し、2,530件となりました。イギリス
からのログイン試行件数が前日より350件ほど減少し、1,798件となりました。
ログイン試行で使用されたユーザ名とパスワード
ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。
順位 | ユーザ名 | パスワード | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|---|
1. | admin | admin | 3,207 | 1. | 4,233 | -1,026 | - |
2. | root | 88888888 | 882 | 2. | 1,056 | -174 | DVRを狙ったものと思われる(参照) |
3. | root | GM8182 | 441 | 3. | 538 | -97 | Grain Media製のDVRを狙ったものと思われる(参照) |
4. | guest | 123456 | 440 | 4. | 537 | -97 | - |
5. | support | 1234 | 438 | 5. | 514 | -76 | - |
6. | admin | admin1 | 433 | 6. | 513 | -80 | - |
7. | root | 666666 | 214 | 7. | 214 | 0 | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
8. | root | (空欄) | 199 | 9. | 171 | +28 | - |
9. | root | vizxv | 193 | 8. | 205 | -12 | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
10. | root | pass | 171 | 10. | 157 | +14 | Axis製のIPカメラを狙ったものと思われる(参照) |
11. | user | user | 169 | 15. | 143 | +26 | - |
12. | root | 1234 | 157 | 11. | 156 | +1 | - |
13. | root | system | 147 | 13. | 146 | +1 | IQinVision製のIPカメラを狙ったものと思われる(参照) |
14. | support | support | 143 | 12. | 154 | -11 | - |
15. | root | 888888 | 139 | 18. | 108 | +31 | Zhejiang Dahua Technology製のDVRを狙ったものと思われる(参照) |
16. | root | xc3511 | 139 | 17. | 136 | +3 | HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照) |
17. | root | hi3518 | 137 | 14. | 146 | -9 | Xiongmai製のDVRを狙ったものと思われる(参照) |
18. | admin | 4321 | 137 | 16. | 143 | -6 | - |
19. | root | 123456 | 114 | 22. | 91 | +23 | - |
20. | root | 12345 | 101 | 21. | 94 | +7 | - |
admin/admin
の組み合わせのほとんどがイギリス
とアイルランド
からのログイン試行の際に使用されていました。イギリス
が1,744件(3,207件中)、アイルランド
が1,232件(3,207件中)でした。
root/88888888
、root/GM8182
、guest/123456
、support/1234
、admin/admin1
の組み合わせのほとんどがイタリア
からのログイン試行の際に使用されていました。root/88888888
は843件(882件中)でした。root/GM8182
は422件(441件中)でした。guest/123456
は421件(440件中)でした。support/1234
は420件(438件中)でした。admin/admin1
は415件(433件中)でした。
Mincraftサーバー狙いの攻撃?
Minecraftサーバーを狙ったと思われる攻撃を4件観測しました。
SSHでのログイン時の認証情報として、次の組み合わせが使用されました。
ユーザ名 : minecraft
パスワード : admin
、minecraftpassword
、qwerty123
以上のような推測されやすいパスワードの使用は避けましょう。
- 4件の攻撃の送信元IPアドレスは全て異なるものでした。
- ログイン後のコマンドの入力速度から、ボットによる攻撃と思われます。
ダウンロードされたファイル
ダウンロードされたファイルは以下の通りです。
※VT : VirusTotal
順位 | ダウンロード元 | MD5 | 検出率(VT) | 件数 | 備考 |
---|---|---|---|---|---|
1. | hxxp://195[.]231[.]0[.]120:80/AB4g5/Josho[.]x86 | d5f9953e5209ebe670208ff55155fa6e | 20/59 | 2,456 | Mirai |
2. | hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 | 4147e375f325878fe3c3962c3d4ac411 | 37/57 | 2,205 | Mirai |
3. | hxxp://209[.]141[.]43[.]15:80/bins/mirai[.]x86 | 256e4d3c013fe49c6166da2d3ba0c524 | 18/55 | 177 | Mirai |
4. | hxxp://185[.]244[.]25[.]233:80/AB4g5/Josho[.]x86 | d39b137794544bfa8bc424c4abbf7c4b | 27/58 | 95 | Mirai |
5. | hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86 | 0f6fa2e22d9de3864e7d60ed6c0cb4b5 | 32/56 | 82 | Gafgyt or Mirai |
6. | hxxp://199[.]38[.]243[.]9:80/bins/yakuza[.]x86 | fabad08996e58068d363312168d9fa33 | 19/59 | 24 | Mirai |
7. | hxxp://80[.]211[.]4[.]5/update[.]sh | d680ab3adb5ca2f90d147196dd6088e5 | 16/57 | 8 | Mirai(ダウンローダー) |
8. | hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 | e4ae3f23bbdbcb67b52be4616ffe280b | 21/57 | 7 | Mirai |
9. | hxxp://209[.]97[.]185[.]168:80/bins/kirai[.]x86 | 3906a2f9b3192664762e3f6eb84f4c18 | 27/58 | 6 | Mirai |
10. | hxxp://149[.]248[.]56[.]218:80/OwO/Tsunami[.]x86 | 23425d830ec98cc0322e91bc5935ac81 | 22/57 | 6 | Mirai |
11. | hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 | e68bd8a8712ce1788faa15c9813c00ab | 20/58 | 6 | Mirai |
12. | hxxp://80[.]211[.]132[.]63:80/bins/dark[.]x86 | fd4132ae2240bf805fa66de0e751067d | 20/55 | 6 | Mirai |
13. | hxxp://104[.]248[.]114[.]222:80/bins/penthouse[.]x86 | c0bdcfb11515c1de5e3be7c0a417fb05 | 20/58 | 4 | Mirai |
14. | hxxp://193[.]148[.]69[.]33:80/bins/telnet[.]x86 | f81cb52b13c0ad74247db720ffe5fa36 | 22/59 | 4 | Mirai |
15. | hxxp://209[.]141[.]46[.]133/bins[.]sh | 5682bddae3a2946670a044e9e5d83e09 | 24/59 | 4 | Mirai(ダウンローダー) |
16. | hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido | 236cc078eb84e9e14f1112a52e74abc9 | 35/59 | 4 | Mirai |
17. | hxxp://80[.]211[.]132[.]63:80/bins/dark[.]x86 | f3423e96829efd9324a6112fd55f994c | 21/59 | 2 | Mirai |
18. | hxxp://205[.]185[.]119[.]253:80/AB4g5/Josho[.]x86 | 1e0fdb2538703f442770206f5c101e28 | 19/57 | 1 | Mirai |
IRCボット
5日連続してRaspberry Piを狙ったと思われるIRCボットを観測しています。
本日の件数は4件で、全て同じハッシュ値でした。
IRCボットのMD5ハッシュ値は以下の通りです。
MD5 : 742f247c9ff393f8daf2e1609f0d9506
詳細は過去記事を参照ください。
Cowrieで取得したログの簡易分析は以上です。