cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/01/13) 「3日連続でイベント件数が減少」

ハニーポット観察日記(2019/01/13) 「3日連続でイベント件数が減少」

ハニーポット観察日記

はじめに

こんにちは。cute_otterです。
国別のダウンロードされたファイルを調べたところ、国ごとの違いが現れたので、今後も追っていきたいです。

Cowrie

ハニーポット「Cowrie」で2019/01/13 (日) 00:00~23:59 UTC(運用61日目)に取得したログの簡易分析です。

概況

  • 集計期間 : 2019/01/13 (日) 00:00~23:59 UTC
  • 総イベント件数 : 574,888 件 (前日比 -34,167 件)
    • コマンド実行成功 : 226,446 件 (前日比 -25,354 件)
    • コマンド入力 : 201,545 件 (前日比 -6,808 件)
    • ファイルダウンロード成功 : 34,314 件 (前日比 -3,870 件)
    • セッションクローズ : 28,225 件 (前日比 -280 件)
    • 新しいコネクション : 28,225 件 (前日比 -296 件)
    • コマンド実行失敗 : 15,726 件 (前日比 +3,115 件)
    • ログイン成功 : 9,064 件 (前日比 +181 件)
    • 外部へのTCP/IPリクエストの送出 : 7,521 件 (前日比 +346 件)
    • Cowrieによってエミュレートされたアーキテクチャ : 5,889 件 (前日比 +114 件)
    • TTYログ取得終了 : 5,889 件 (前日比 +128 件)
    • ファイルダウンロード失敗 : 4,512 件 (前日比 +248 件)
    • クライアントのSSHバージョン : 3,526 件 (前日比 +21 件)
    • SSH鍵交換 : 3,513 件 (前日比 +16 件)
    • ログイン失敗 : 323 件 (前日比 -1,285 件)
    • 外部へのTCP/IPデータの送出 : 158 件 (前日比 -451 件)
    • ターミナルサイズ : 6 件 (前日比 +2 件)
    • クライアントの環境設定 : 6 件 (前日比 +6 件)
  • ログイン試行 : 9,387 件 (前日比 -1,104 件)
  • SSHコネクション : 12,181 件 (前日比 +63 件)
  • Telnetコネクション : 16,044 件 (前日比 -359 件)
  • ユニークIPアドレス : 500 件 (前日比 +103 件)
  • アクセス元の国 : 60 件 (前日比 +3 件)
  • TTY : 5,889 件 (前日比 +128 件)
  • スキャンと思われるセッション : 17,475 件 (前日比 +44 件)

特徴

  • 総イベント件数が減少しました。
    • 前日より3万4,000件ほど減少しました。
    • 3日連続の減少となりました。
  • ログイン試行件数が減少しました。
    • 前日より1,100件ほど減少しました。
  • イタリアからのアクセス件数が大幅に減少しました。
    • 前日より10万件ほど減少しました。
  • オランダからのアクセス件数が増加しました。
    • 前日より3万6,000件ほど増加しました。
    • 12~16時、18時、20~21時にアクセスが集中していました。
  • ロシアからのアクセス件数が増加しました。
    • 前日より1万3,000件ほど増加しました。

ダッシュボード

ダッシュボードは以下の通りです。

ダッシュボード(2019/01/13)
ダッシュボード(2019/01/13)

国別のアクセス件数

国別のアクセス件数の変遷は以下の通りです。

国別のアクセス件数の変遷(2019/01/13)
国別のアクセス件数の変遷(2019/01/13)

続いて、国別のアクセス件数(上位20位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 481,246 1. 461,440 +19,806 -
2. Netherlands 35,907 31. 20 +35,887 -
3. United Kingdom 16,115 3. 16,172 -57 -
4. Russia 14,348 9. 1,400 +12,948 -
5. Ireland 8,409 4. 8,734 -325 -
6. Unknown 5,769 5. 5,754 +15 -
7. Singapore 4,217 6. 3,590 +627 -
8. Vietnam 1,393 12. 503 +890 -
9. Italy 1,153 2. 100,946 -99,793 -
10. Germany 1,153 7. 3,291 -2,138 -
11. China 987 11. 521 +466 -
12. Latvia 731 10. 1,211 -480 -
13. Romania 590 13. 476 +114 -
14. Poland 497 27. 35 +462 -
15. France 371 18. 185 +186 -
16. Egypt 284 33. 19 +265 -
17. Brazil 270 20. 125 +145 -
18. Sweden 264 16. 271 -7 -
19. India 250 8. 2,575 -2,325 -
20. Taiwan 117 25. 51 +66 -
  • 4日連続で全体的にアクセス件数が減少しました。本日もイタリアからのアクセス件数が大幅に減少しました。一方、アメリカオランダロシアからのアクセス件数が増加しました。
  • イタリアからのアクセス件数が前日より10万件ほど減少しました。
  • アメリカからのアクセス件数が前日より2万件ほど増加しました。
  • オランダからのアクセス件数が前日より3万6,000件ほど増加しました。
    • 12~16時、18時、20~21時にアクセスが集中していました。
  • ロシアからのアクセス件数が前日より1万3,000件ほど増加しました。
    • ロシアからのアクセスのうち約80%が13時に集中していました。
イタリアからのアクセス件数の変遷

イタリアからのアクセス件数の変遷(2018/12/24~2019/01/13)は以下の通りです。

イタリアからのアクセス件数の変遷(2018/12/24~2019/01/13)
イタリアからのアクセス件数の変遷(2018/12/24~2019/01/13)

2018/12/26から件数が増加し始め、2018/12/28に、一時的に件数が6万件台まで減少しました。
しかし、2018/12/29から再び件数が増加し始め、2018/12/30~2019/01/01にかけて、連日30万件以上のアクセスがありました。
2019/01/02には件数が大幅に減少し、430件となりましたが、2019/01/03から再び増加し始め、2019/01/04には327,194件となりました。
2019/01/05は8万件ほど減少しましたが、2019/01/06には525,601件となり、過去最大となりました。 2019/01/07~08にかけて件数が減少しましたが、2019/01/09~10にかけて30万件以上のアクセスがありました。 2019/01/11以降、3日連続で件数が減少しています。

国別のログイン試行

国別のログイン試行の件数(上位20位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 4,439 1. 4,381 +58 -
2. United Kingdom 1,807 2. 1,720 +87 -
3. Ireland 1,295 4. 1,295 +-0 -
4. Netherlands 793 25. 4 +789 -
5. Russia 305 6. 157 +148 -
6. China 149 9. 65 +84 -
7. Singapore 102 8. 85 +17 -
8. Vietnam 98 12. 31 +67 -
9. Germany 55 7. 141 -86 -
10. France 40 15. 25 +15 -
11. Romania 31 19. 12 +19 -
12. Egypt 27 34. 2 +25 -
13. India 26 3. 1,401 -1,375 -
14. Italy 26 5. 932 -906 -
15. Brazil 25 18. 12 +13 -
16. Sweden 23 14. 26 -3 -
17. Latvia 17 13. 26 -9 -
18. Republic of Korea 13 10. 38 -25 -
19. Poland 13 28. 3 +10 -
20. Taiwan 9 22. 6 +3 -
  • イタリアからのログイン試行件数が前日より900件ほど減少しました。
  • オランダからのログイン試行件数が前日より790件ほど増加しました。
  • ロシアからのログイン試行件数が前日より150件ほど増加しました。
  • インドからのログイン試行件数が前日より1,400件ほど減少しました。

ログイン試行で使用されたユーザ名とパスワード

ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。

順位 ユーザ名 パスワード 件数 前日の順位 前日の件数 件数差 備考
1. admin admin 3,261 1. 3,175 +86 -
2. root (空欄) 332 5. 307 +25 -
3. root vizxv 295 6. 262 +33 Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)
4. root 666666 261 7. 253 +8 Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)
5. user user 242 12. 208 +34 -
6. root 888888 208 15. 179 +29 Zhejiang Dahua Technology製のDVRを狙ったものと思われる(参照)
7. root pass 205 13. 201 +4 Axis製のIPカメラを狙ったものと思われる(参照)
8. root system 203 16. 174 +29 IQinVision製のIPカメラを狙ったものと思われる(参照)
9. root 123456 201 14. 180 +21 -
10. support support 180 17. 168 +12 -
11. root xc3511 168 18. 163 +5 HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照)
12. root 1234 164 19. 153 +11 -
13. root default 163 24. 134 +29 -
14. root hi3518 163 21. 144 +19 Xiongmai製のDVRを狙ったものと思われる(参照)
15. root 12345 144 23. 138 +6 -
16. admin 4321 144 21. 144 +-0 -
17. admin admin1234 143 22. 144 -1 -
18. root taZz@23495859 143 36. 30 +113 -
19. root jvbzd 128 25. 104 +24 Xiongmai製のDVRを狙ったものと思われる(参照)
20. root admin 120 26. 99 +21 -
  • admin/adminの組み合わせのほとんどがイギリスアイルランドからのログイン試行の際に使用されていました。
    • イギリスが1,728件(3,261件中)、アイルランドが1,228件(3,261件中)でした。
オランダからのログイン試行で使用されたユーザ名とパスワード

オランダからのログイン試行で使用されたユーザ名とパスワードの組み合わせ(上位10位)は以下の通りです。

順位 ユーザ名 パスワード 件数 備考
1. root taZz@23495859 94 -
2. root solokey 77 ZKSoftware製の端末を狙ったものと思われる(参照)
3. root tsgoingon 51 -
4. telnetadmin telnetadmin 29 -
5. root default 22 -
6. root ROOT500 22 -
7. root system 22 IQinVision製のIPカメラを狙ったものと思われる(参照)
8. user user 21 -
9. root zlxx. 21 EV ZLX製のスピーカーを狙ったものと思われる(参照)
10. root antslq 21 -
  • root/taZz@23495859root/solokeyroot/tsgoingonの組み合わせが多く使用されていました。
ロシアからのログイン試行で使用されたユーザ名とパスワード

ロシアからのログイン試行で使用されたユーザ名とパスワードの組み合わせ(上位10位)は以下の通りです。

順位 ユーザ名 パスワード 件数 備考
1. admin admin 134 -
2. root 88888888 15 DVRを狙ったものと思われる(参照)
3. root solokey 12 ZKSoftware製の端末を狙ったものと思われる(参照)
4. root taZz@23495859 12 |-
5. root LSiuY7pOmZG2s 9 -
6. root tsgoingon 7 -
7. admin admin1 6 -
8. support 1234 6 -
9. root GM8182 6 Grain Media製のDVRを狙ったものと思われる(参照)
10. telnetadmin telnetadmin 4 -
  • ロシアからのログイン試行(305件)のうち1/3以上でadmin/adminの組み合わせが使用されていました。

ダウンロードされたファイル

ダウンロードされたファイルは以下の通りです。

※VT : VirusTotal

順位 ダウンロード元 MD5 検出率(VT) 件数 備考
1. hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 4147e375f325878fe3c3962c3d4ac411 37/57 2,993 Mirai
2. hxxp://185[.]244[.]25[.]221:80/bins/Yowai[.]x86 040e062132964bcb4e1cdbd2667ac735 20/60 745 Mirai
3. hxxp://209[.]141[.]43[.]15:80/bins/mirai[.]x86 256e4d3c013fe49c6166da2d3ba0c524 20/58 359 Mirai
4. hxxp://213[.]183[.]45[.]247:80/bins/trojan[.]x86 74d8721a3a457ad92e91896415e35e0f 13/58 90 Mirai or Gafgyt
5. hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86 0f6fa2e22d9de3864e7d60ed6c0cb4b5 33/56 90 Mirai or Gafgyt
6. hxxp://89[.]46[.]223[.]247/8UsA[.]sh 3dae78adf9f4a8520afb9ff9d701d3ab 23/57 40 Mirai(ダウンローダー)
7. hxxp://194[.]147[.]35[.]54:80/ankit/os[.]x86 6d34fc59a4c754dcf970244689ec5ac0 20/59 34 Mirai
8. hxxp://199[.]38[.]243[.]9:80/bins/yakuza[.]x86 fabad08996e58068d363312168d9fa33 21/60 27 Mirai
9. hxxp://209[.]141[.]46[.]133/bins[.]sh 5682bddae3a2946670a044e9e5d83e09 24/59 19 Mirai(ダウンローダー)
10. hxxp://185[.]172[.]110[.]213/bins[.]sh c3d5df1e99c83f3c5fa42371e2091121 24/59 14 Mirai(ダウンローダー)
11. hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 e68bd8a8712ce1788faa15c9813c00ab 22/59 13 Mirai
12. hxxp://185[.]244[.]25[.]233/8UsA[.]sh 9a75838c7c303d7946dda48f41c72717 25/58 12 Mirai(ダウンローダー)
13. hxxp://209[.]97[.]185[.]168:80/bins/kirai[.]x86 3906a2f9b3192664762e3f6eb84f4c18 27/59 12 Mirai
14. hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 e4ae3f23bbdbcb67b52be4616ffe280b 21/57 9 Mirai
15. hxxp://35[.]235[.]102[.]123:80/bins/telnet[.]x86 12747042919cf473e147c0201773bed9 22/59 9 Mirai
16. hxxp://40[.]121[.]158[.]163/bins[.]sh 004ab252790013630f865cf6eee5a74b 17/58 8 Mirai(ダウンローダー)
17. hxxp://80[.]211[.]4[.]5/update[.]sh d680ab3adb5ca2f90d147196dd6088e5 16/57 6 Mirai(ダウンローダー)
18. hxxp://193[.]148[.]69[.]33:80/bins/telnet[.]x86 f81cb52b13c0ad74247db720ffe5fa36 24/59 5 Mirai
19. hxxp://80[.]211[.]132[.]63:80/bins/dark[.]x86 4483f543a9d8ae8c8e27fd43780e13d4 16/59 5 Mirai
20. hxxp://207[.]154[.]193[.]227:80/bins/Damien[.]x86 aaa0378aaec2443251eae0c9049fb177 8/59 5 Mirai
21. hxxp://80[.]211[.]250[.]29:80/AB4g5/Josho[.]x86 320807a392163205c2982d0fba817521 26/58 4 Mirai
22. hxxp://104[.]248[.]114[.]222:80/bins/penthouse[.]x86 c0bdcfb11515c1de5e3be7c0a417fb05 23/59 4 Mirai
23. hxxp://40[.]121[.]158[.]163/bins[.]sh 52ce6883e3951f3a08d95fe2838f0d85 5/58 4 Mirai(ダウンローダー)
24. hxxp://80[.]211[.]250[.]29:80/AB4g5/Josho[.]x86 320807a392163205c2982d0fba817521 26/58 4 Mirai
25. hxxp://209[.]141[.]57[.]94/8UsA[.]sh 4533dca3b256c67eb1bd4aff8ea480a0 26/57 4 Mirai(ダウンローダー)
26. hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido 236cc078eb84e9e14f1112a52e74abc9 35/60 2 Mirai
27. hxxp://80[.]211[.]132[.]63:80/bins/dark[.]x86 fd4132ae2240bf805fa66de0e751067d 23/57 2 Mirai
29. hxxp://40[.]121[.]158[.]163/8UsA[.]sh 6d030d72590043917304a1257fd823ce 23/59 2 Mirai(ダウンローダー)
29. hxxp://205[.]185[.]119[.]253:80/AB4g5/Josho[.]x86 1e0fdb2538703f442770206f5c101e28 19/57 2 Mirai
30. hxxp://207[.]154[.]193[.]227:80/bins/Damien[.]x86 2157957e9c0823644602c33a114097e0 11/60 1 Mirai
31. hxxp://185[.]246[.]154[.]139:80/bins/sora[.]x86 323d0579ad995588018de2717fa3e476 19/59 1 Mirai
  • Miraiのダウンローダーが普段より多くダウンロードされていました。

国別のダウンロードされたファイル

オランダ
順位 ダウンロード元 MD5 検出率(VT) 件数(当該/全体) 備考
1. hxxp://185[.]244[.]25[.]221:80/bins/Yowai[.]x86 040e062132964bcb4e1cdbd2667ac735 20/60 745/745 Mirai
2. hxxp://209[.]141[.]46[.]133/bins[.]sh 5682bddae3a2946670a044e9e5d83e09 24/59 10/19 Mirai(ダウンローダー)
3. hxxp://185[.]172[.]110[.]213/bins[.]sh c3d5df1e99c83f3c5fa42371e2091121 24/59 10/14 Mirai(ダウンローダー)
  • 040e062132964bcb4e1cdbd2667ac735は全てオランダからのアクセスによるセッション中にダウンロードされていました。
ロシア
順位 ダウンロード元 MD5 検出率(VT) 件数(当該/全体) 備考
1. hxxp://213[.]183[.]45[.]247:80/bins/trojan[.]x86 74d8721a3a457ad92e91896415e35e0f 13/58 90/90 Mirai or Gafgyt
2. hxxp://194[.]147[.]35[.]54:80/ankit/os[.]x86 6d34fc59a4c754dcf970244689ec5ac0 20/59 34/34 Mirai
3. hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 e4ae3f23bbdbcb67b52be4616ffe280b 21/57 9/9 Mirai
4. hxxp://185[.]246[.]154[.]139:80/bins/sora[.]x86 323d0579ad995588018de2717fa3e476 19/59 1/1 Mirai
  • 全てのファイルがロシアからのアクセスによるセッション中にダウンロードされていました。

IRCボット

2019/01/07~11にかけて観測したRaspberry Piを狙ったと思われるIRCボットを再び観測しました。
本日の件数は3件で、全て同じハッシュ値でした。
IRCボットのMD5ハッシュ値は以下の通りです。

MD5 : 742f247c9ff393f8daf2e1609f0d9506

詳細は過去記事を参照ください。

Cowrieで取得したログの簡易分析は以上です。

WOWHoneypot

続いて、ハニーポット「WOWHoneypot」で2019/01/13 (日) 00:00~23:59 UTC(運用10日目)に取得したログの簡易分析です。

概況

  • 集計期間 : 2019/01/13 (日) 00:00~23:59 UTC
  • 総アクセス件数 : 791 件 (前日比 +778 件)
  • ユニークIPアドレス件数 : 29 件 (前日比 +17 件)
  • アクセス元の国数 : 18 カ国 (前日比 +8 件)

特徴

  • コロンビア中国ブラジルからのアクセスが増加しました。
  • Network Weathermapの探査を初めて確認しました。
  • バックアップファイルの探査を初めて確認しました。

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. Colombia 354 - 0 +354 -
2. China 248 9. 1 +247 -
3. Brazil 169 1. 3 +166 -
4. Russia 3 - 0 +3 -
5. Hong Kong 2 - 0 +2 -
6. Singapore 2 - 0 +2 -
7. Sweden 2 - 0 +2 -
8. Bangladesh 1 - 0 +1 -
9. United States 1 - 0 +1 -
10. Slovakia 1 - 0 +1 -
11. Argentina 1 - 0 +1 -
12. Poland 1 - 0 +1 -
13. India 1 - 0 +1 -
14. Indonesia 1 3. 1 +-0 -
15. Spain 1 - 0 +1 -
16. Thailand 1 - 0 +1 -
17. Australia 1 - 0 +1 -
18. Ukraine 1 - 0 +1 -
  • コロンビアからのアクセス件数が前日より350件ほど増加しました。
    • 普段のアクセス件数は一桁台ですが、本日は354件となりました。
  • 中国からのアクセス件数が前日より250件ほど増加しました。
  • ブラジルからのアクセス件数が前日より170件ほど増加しました。

メソッド

メソッドの件数は以下の通りです。

順位 メソッド 件数 前日の順位 前日の件数 件数差 備考
1. GET 407 1. 13 +394 -
2. POST 381 - 0 +381 -
3. PROPFIND 3 - 0 +3 -

HTTPバージョン

HTTPバージョンの件数は以下の通りです。

順位 HTTPバージョン 件数 前日の順位 前日の件数 件数差 備考
1. HTTP/1.1 787 1. 12 +775 -
2. HTTP/1.0 4 2. 1 +3 -

アクセス先

アクセス先(上位10位+気になったもの)は以下の通りです。

順位 アクセス先 件数 前日の順位 前日の件数 件数差 備考
1. GET /manager/html HTTP/1.1 30 - 0 +30 Tomcatの管理ページに対するログイン試行
2. GET / HTTP/1.1 19 1. 9 +10 トップページへのアクセス
3. POST /confg.php HTTP/1.1 8 - 0 +8 WebShellの探査
4. POST /qq.php HTTP/1.1 7 - 0 +7 WebShellの探査
5. GET /cmd.php HTTP/1.1 6 - 0 +6 WebShellの探査
6. POST /conflg.php HTTP/1.1 6 - 0 +6 WebShellの探査
7. POST /1.php HTTP/1.1 6 - 0 +6 WebShellの探査
8. GET /web/phpMyAdmin/index.php HTTP/1.1 6 - 0 +6 phpMyAdminの探査
9. GET /admin/phpMyAdmin/index.php HTTP/1.1 6 - 0 +6 phpMyAdminの探査
10. GET /tools/phpMyAdmin/index.php HTTP/1.1 6 - 0 +6 phpMyAdminの探査
... ... ... ... ... ... ...
22. PROPFIND / HTTP/1.1 3 - 0 +3 Microsoft IIS 6.0の脆弱性CVE-2017-7269を狙った攻撃
23. GET /webdav/ HTTP/1.1 3 - 0 +3 WebDAVの探査
... ... ... ... ... ... ...
61. GET /plugins/weathermap/editor.php HTTP/1.1 3 - 0 +3 Network Weathermapの探査
... ... ... ... ... ... ...
151. GET /cacti/plugins/weathermap/editor.php HTTP/1.1 2 - 0 +2 Network Weathermapの探査
... ... ... ... ... ... ...
314. GET /upload/bank-icons/bank-gh.jpg HTTP/1.1 1 - 0 +1 何かしらの探査?
315. GET /upload/bank-icons/bank_16.png HTTP/1.1 1 - 0 +1 何かしらの探査?
316. GET hxxp://5[.]188[.]210[.]50/echo[.]php HTTP/1.1 1 - 0 +1 オープンプロキシの探査
... ... ... ... ... ... ...
318. GET /backup.tgz HTTP/1.1 1 - 0 +1 バックアップファイルの探査
  • Network Weathermapの探査を初めて確認しました。
  • /upload/bank-icons/以下に存在する画像ファイルの探査の意図は不明でした。
  • バックアップファイルの探査を初めて確認しました。
    • このような不要なファイルは削除したほうが良いと思われます。

WOWHoneypotで取得したログの簡易分析は以上です。