cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/01/11) 「アクセス件数が若干減少、Minecraftサーバー狙いと思われる攻撃を観測」

ハニーポット観察日記(2019/01/11) 「アクセス件数が若干減少、Minecraftサーバー狙いと思われる攻撃を観測」

ハニーポット観察日記

はじめに

こんにちは。cute_otterです。
WOWHoneypotですが、ログの取得に失敗したので、簡易分析はお休みします。すみません。

Cowrie

ハニーポット「Cowrie」で2019/01/11 (金) 00:00~23:59 UTC(運用59日目)に取得したログの簡易分析です。

概況

  • 集計期間 : 2019/01/11 (金) 00:00~23:59 UTC
  • 総イベント件数 : 691,842 件 (前日比 -44,298 件)
    • コマンド実行成功 : 299,451 件 (前日比 -15,649 件)
    • コマンド入力 : 235,381 件 (前日比 -12,562 件)
    • ファイルダウンロード成功 : 45,778 件 (前日比 -2,539 件)
    • 新しいコネクション : 28,027 件 (前日比 -2,518 件)
    • セッションクローズ : 28,001 件 (前日比 -2,516 件)
    • コマンド実行失敗 : 12,847 件 (前日比 -1,250 件)
    • ログイン成功 : 9,240 件 (前日比 -1,560 件)
    • 外部へのTCP/IPリクエストの送出 : 7,871 件 (前日比 -1,563 件)
    • Cowrieによってエミュレートされたアーキテクチャ : 6,070 件 (前日比 -543 件)
    • TTYログ取得終了 : 6,056 件 (前日比 -530 件)
    • ファイルダウンロード失敗 : 5,104 件 (前日比 -101 件)
    • クライアントのSSHバージョン : 3,471 件 (前日比 -986 件)
    • SSH鍵交換 : 3,468 件 (前日比 -973 件)
    • 外部へのTCP/IPデータの送出 : 809 件 (前日比 -1,013 件)
    • ログイン失敗 : 252 件 (前日比 +31 件)
    • ターミナルサイズ : 8 件 (前日比 -6 件)
    • クライアントの環境設定 : 8 件 (前日比 +4 件)
  • ログイン試行件数 : 9,492 件 (前日比 -1,529 件)
  • SSHコネクション件数 : 11,733 件 (前日比 -1,342 件)
  • Telnetコネクション件数 : 16,294 件 (前日比 -1,176 件)
  • ユニークIPアドレス件数 : 408 件 (前日比 -22 件)
  • アクセス元の国数 : 64 カ国 (前日比 +9 カ国)
  • TTY件数 : 6,056 件 (前日比 -530 件)

特徴

  • 総イベント件数が減少
    • 前日より4万4,000件ほど減少
  • ログイン試行件数が減少
    • 前日より1,500件ほど減少
  • SSHコネクション件数が減少
    • 前日より1,300件ほど減少
  • Telnetコネクション件数が減少
    • 前日より1,200件ほど減少
  • 5日連続してRaspberry Piを狙ったと思われるIRCボットを観測
  • Minecraftサーバーを狙ったと思われる攻撃を観測

ダッシュボード

ダッシュボードは以下の通りです。

ダッシュボード(2019/01/11)
ダッシュボード(2019/01/11)

国別のアクセス件数

国別のアクセス件数の変遷は以下の通りです。

国別のアクセス件数の変遷(2019/01/11)
国別のアクセス件数の変遷(2019/01/11)

続いて、国別のアクセス件数(上位20位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 373,447 1. 374,283 -836 -
2. Italy 276,857 2. 308,545 -31,688 -
3. United Kingdom 15,649 3. 18,307 -2,658 -
4. Ireland 8,751 4. 14,062 -5,311 -
5. Unknown 5,496 6. 3,040 +2,456 識別不能
6. Singapore 4,348 5. 5,484 -1,136 -
7. Russia 1,682 7. 1,623 +59 -
8. China 960 8. 1,524 -564 -
9. France 557 12. 586 -29 -
10. Canada 537 13. 580 -43 -
11. Netherlands 400 24. 182 +218 -
12. Vietnam 399 16. 537 -138 -
13. Latvia 282 14. 564 -282 -
14. Sweden 276 10. 611 -335 -
15. Israel 233 11. 595 -362 -
16. Poland 228 - 0 +228 -
17. Romania 186 20. 394 -208 -
18. Brazil 185 17. 472 -287 -
19. India 144 25. 178 -34 -
20. Republic of Korea 140 9. 634 -494 -
  • 2日連続でアクセス件数が減少しました。本日は特にイタリアアイルランドからのアクセスが減少しました。
  • イタリアからのアクセス件数が前日より3万2,000件ほど減少し、276,857件となりました。
    • 0~9時、23時にアクセスが集中していました。
  • アイルランドからのアクセス件数が前日より5,300件ほど減少し、8,751件となりました。
  • 普段アクセスが少ないポーランドからのアクセスが230件ほどありました。
イタリアからのアクセス件数の変遷

イタリアからのアクセス件数の変遷(2018/12/24~2019/01/11)は以下の通りです。

イタリアからのアクセス件数の変遷(2018/12/24~2019/01/11)
イタリアからのアクセス件数の変遷(2018/12/24~2019/01/11)

2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が6万件台まで減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけて、連日30万件以上のアクセスがありました。
2019/01/02には件数が大幅に減少し、430件となりましたが、2019/01/03から再び増加し始め、2019/01/04には327,194件となりました。
2019/01/05は8万件ほど減少しましたが、2019/01/06には525,601件となり、過去最大となりました。 2019/01/07~08にかけて件数が減少しましたが、2019/01/09~10にかけて30万件以上のアクセスがありました。 2019/01/11には約27万件となりました。

国別のログイン試行

国別のログイン試行の件数(上位20位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 3,315 1. 3,351 -36 -
2. Italy 2,530 2. 2,826 -296 -
3. United Kingdom 1,798 3. 2,151 -353 -
4. Ireland 1,240 4. 1,920 -680 -
5. Russia 161 5. 155 +6 -
6. Singapore 99 6. 148 -49 -
7. China 92 7. 76 +16 -
8. Vietnam 28 12. 24 +4 -
9. France 23 10. 27 -4 -
10. Sweden 23 8. 51 -28 -
11. Brazil 18 11. 26 -8 -
12. India 18 26. 8 +10 -
13. Canada 17 13. 15 +2 -
14. Germany 11 15. 13 -2 -
15. Netherlands 10 23. 9 +1 -
16. Israel 8 19. 10 -2 -
17. Poland 8 - 0 +8 -
18. Latvia 6 18. 12 -6 -
19. Republic of Korea 6 9. 42 -36 -
20. Romania 6 - 0 +6 -
  • アイルランドからのログイン試行件数が前日より700件ほど減少し、1,240件となりました。
  • イタリアからのログイン試行件数が前日より300件ほど減少し、2,530件となりました。
  • イギリスからのログイン試行件数が前日より350件ほど減少し、1,798件となりました。

ログイン試行で使用されたユーザ名とパスワード

ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。

順位 ユーザ名 パスワード 件数 前日の順位 前日の件数 件数差 備考
1. admin admin 3,207 1. 4,233 -1,026 -
2. root 88888888 882 2. 1,056 -174 DVRを狙ったものと思われる(参照)
3. root GM8182 441 3. 538 -97 Grain Media製のDVRを狙ったものと思われる(参照)
4. guest 123456 440 4. 537 -97 -
5. support 1234 438 5. 514 -76 -
6. admin admin1 433 6. 513 -80 -
7. root 666666 214 7. 214 0 Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)
8. root (空欄) 199 9. 171 +28 -
9. root vizxv 193 8. 205 -12 Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)
10. root pass 171 10. 157 +14 Axis製のIPカメラを狙ったものと思われる(参照)
11. user user 169 15. 143 +26 -
12. root 1234 157 11. 156 +1 -
13. root system 147 13. 146 +1 IQinVision製のIPカメラを狙ったものと思われる(参照)
14. support support 143 12. 154 -11 -
15. root 888888 139 18. 108 +31 Zhejiang Dahua Technology製のDVRを狙ったものと思われる(参照)
16. root xc3511 139 17. 136 +3 HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照)
17. root hi3518 137 14. 146 -9 Xiongmai製のDVRを狙ったものと思われる(参照)
18. admin 4321 137 16. 143 -6 -
19. root 123456 114 22. 91 +23 -
20. root 12345 101 21. 94 +7 -
  • admin/adminの組み合わせのほとんどがイギリスアイルランドからのログイン試行の際に使用されていました。
    • イギリスが1,744件(3,207件中)、アイルランドが1,232件(3,207件中)でした。
  • root/88888888root/GM8182guest/123456support/1234admin/admin1の組み合わせのほとんどがイタリアからのログイン試行の際に使用されていました。
    • root/88888888は843件(882件中)でした。
    • root/GM8182は422件(441件中)でした。
    • guest/123456は421件(440件中)でした。
    • support/1234は420件(438件中)でした。
    • admin/admin1は415件(433件中)でした。
Mincraftサーバー狙いの攻撃?

Minecraftサーバーを狙ったと思われる攻撃を4件観測しました。
SSHでのログイン時の認証情報として、次の組み合わせが使用されました。

ユーザ名 : minecraft
パスワード : adminminecraftpasswordqwerty123

以上のような推測されやすいパスワードの使用は避けましょう。

  • 4件の攻撃の送信元IPアドレスは全て異なるものでした。
  • ログイン後のコマンドの入力速度から、ボットによる攻撃と思われます。

ダウンロードされたファイル

ダウンロードされたファイルは以下の通りです。

※VT : VirusTotal

順位 ダウンロード元 MD5 検出率(VT) 件数 備考
1. hxxp://195[.]231[.]0[.]120:80/AB4g5/Josho[.]x86 d5f9953e5209ebe670208ff55155fa6e 20/59 2,456 Mirai
2. hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 4147e375f325878fe3c3962c3d4ac411 37/57 2,205 Mirai
3. hxxp://209[.]141[.]43[.]15:80/bins/mirai[.]x86 256e4d3c013fe49c6166da2d3ba0c524 18/55 177 Mirai
4. hxxp://185[.]244[.]25[.]233:80/AB4g5/Josho[.]x86 d39b137794544bfa8bc424c4abbf7c4b 27/58 95 Mirai
5. hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86 0f6fa2e22d9de3864e7d60ed6c0cb4b5 32/56 82 Gafgyt or Mirai
6. hxxp://199[.]38[.]243[.]9:80/bins/yakuza[.]x86 fabad08996e58068d363312168d9fa33 19/59 24 Mirai
7. hxxp://80[.]211[.]4[.]5/update[.]sh d680ab3adb5ca2f90d147196dd6088e5 16/57 8 Mirai(ダウンローダー)
8. hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 e4ae3f23bbdbcb67b52be4616ffe280b 21/57 7 Mirai
9. hxxp://209[.]97[.]185[.]168:80/bins/kirai[.]x86 3906a2f9b3192664762e3f6eb84f4c18 27/58 6 Mirai
10. hxxp://149[.]248[.]56[.]218:80/OwO/Tsunami[.]x86 23425d830ec98cc0322e91bc5935ac81 22/57 6 Mirai
11. hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 e68bd8a8712ce1788faa15c9813c00ab 20/58 6 Mirai
12. hxxp://80[.]211[.]132[.]63:80/bins/dark[.]x86 fd4132ae2240bf805fa66de0e751067d 20/55 6 Mirai
13. hxxp://104[.]248[.]114[.]222:80/bins/penthouse[.]x86 c0bdcfb11515c1de5e3be7c0a417fb05 20/58 4 Mirai
14. hxxp://193[.]148[.]69[.]33:80/bins/telnet[.]x86 f81cb52b13c0ad74247db720ffe5fa36 22/59 4 Mirai
15. hxxp://209[.]141[.]46[.]133/bins[.]sh 5682bddae3a2946670a044e9e5d83e09 24/59 4 Mirai(ダウンローダー)
16. hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido 236cc078eb84e9e14f1112a52e74abc9 35/59 4 Mirai
17. hxxp://80[.]211[.]132[.]63:80/bins/dark[.]x86 f3423e96829efd9324a6112fd55f994c 21/59 2 Mirai
18. hxxp://205[.]185[.]119[.]253:80/AB4g5/Josho[.]x86 1e0fdb2538703f442770206f5c101e28 19/57 1 Mirai
  • Mirai(亜種含む)やGafgyt(亜種含む)と思われるファイルがダウンロードされていました。
  • 前日まで2日連続して観測していたIRCボットと思われるマルウェアは観測されませんでした。

IRCボット

5日連続してRaspberry Piを狙ったと思われるIRCボットを観測しています。
本日の件数は4件で、全て同じハッシュ値でした。
IRCボットのMD5ハッシュ値は以下の通りです。

MD5 : 742f247c9ff393f8daf2e1609f0d9506

詳細は過去記事を参照ください。

Cowrieで取得したログの簡易分析は以上です。