ハニーポット観察日記(2019/02/01)
はじめに
こんにちは。cute_otterです。
今日からCowrieのログの簡易分析を再開しました。
Cowrie
ハニーポット「Cowrie」で2019/02/01 (金) 00:00~23:59 UTC(運用80日目)に取得したログの簡易分析です。
概況
- 集計期間 : 2019/02/01 (金) 00:00~23:59 UTC
- 総アクセス件数 : 419,701 件 (前日比 - 件)
- ユニークIPアドレス : 588 件 (前日比 - 件)
- アクセス元の国 : 63 カ国 (前日比 - カ国)
- ログイン試行 : 9,093 件 (前日比 - 件)
- SSHコネクション : 4,532 件 (前日比 - 件)
- Telnetコネクション : 6,040 件 (前日比 - 件)
- ダウンロードされたファイル : 3,312 件 (前日比 - 件)
アクセス
全体及び国別のアクセス件数の遷移等は以下の通りです。
- 1時台にアメリカからのアクセス件数が急増し、54,527件となりました。
続いて、国別のアクセス件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 344,455 | - | - | - | - |
2. | Netherlands | 38,403 | - | - | - | - |
3. | United Kingdom | 17,009 | - | - | - | - |
4. | Ireland | 8,460 | - | - | - | - |
5. | Russia | 4,949 | - | - | - | - |
6. | China | 1,020 | - | - | - | - |
7. | Italy | 939 | - | - | - | - |
8. | Latvia | 658 | - | - | - | - |
9. | France | 479 | - | - | - | - |
10. | India | 428 | - | - | - | - |
11. | Ukraine | 399 | - | - | - | - |
12. | Canada | 310 | - | - | - | - |
13. | Brazil | 271 | - | - | - | - |
14. | Germany | 258 | - | - | - | - |
15. | Vietnam | 188 | - | - | - | - |
16. | Romania | 150 | - | - | - | - |
17. | Bulgaria | 126 | - | - | - | - |
18. | Turkey | 125 | - | - | - | - |
19. | South Korea | 113 | - | - | - | - |
20. | Greece | 89 | - | - | - | - |
ユニークIPアドレス
国別のユニークIPアドレスの件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | China | 135 | - | - | - | - |
2. | United States | 92 | - | - | - | - |
3. | France | 59 | - | - | - | - |
4. | Brazil | 25 | - | - | - | - |
5. | Russia | 23 | - | - | - | - |
6. | United Kingdom | 17 | - | - | - | - |
7. | India | 16 | - | - | - | - |
8. | South Korea | 15 | - | - | - | - |
9. | Netherlands | 14 | - | - | - | - |
10. | Germany | 14 | - | - | - | - |
11. | Singapore | 12 | - | - | - | - |
12. | Vietnam | 11 | - | - | - | - |
13. | Canada | 11 | - | - | - | - |
14. | Italy | 10 | - | - | - | - |
15. | Indonesia | 10 | - | - | - | - |
16. | Spain | 9 | - | - | - | - |
17. | Ireland | 8 | - | - | - | - |
18. | Japan | 8 | - | - | - | - |
19. | Greece | 7 | - | - | - | - |
20. | Hong Kong | 6 | - | - | - | - |
ログイン試行
全体及び国別のログイン試行件数の遷移等は以下の通りです。
続いて、国別のログイン試行の件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 3,341 | - | - | - | - |
2. | United Kingdom | 1,948 | - | - | - | - |
3. | Ireland | 1,300 | - | - | - | - |
4. | Netherlands | 851 | - | - | - | - |
5. | Russia | 818 | - | - | - | - |
6. | India | 202 | - | - | - | - |
7. | China | 167 | - | - | - | - |
8. | Italy | 86 | - | - | - | - |
9. | France | 75 | - | - | - | - |
10. | Canada | 29 | - | - | - | - |
11. | Brazil | 27 | - | - | - | - |
12. | Germany | 18 | - | - | - | - |
13. | Vietnam | 17 | - | - | - | - |
14. | South Korea | 16 | - | - | - | - |
15. | Romania | 15 | - | - | - | - |
16. | Latvia | 14 | - | - | - | - |
17. | Turkey | 12 | - | - | - | - |
18. | Ukraine | 12 | - | - | - | - |
19. | Bulgaria | 12 | - | - | - | - |
20. | Singapore | 12 | - | - | - | - |
ユーザ名とパスワード
ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。
順位 | ユーザ名 | パスワード | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|---|
1. | admin | admin | 4,173 | - | - | - | - |
2. | root | admin | 279 | - | - | - | - |
3. | root | default | 263 | - | - | - | - |
4. | admin | password | 199 | - | - | - | - |
5. | admin | 123456 | 186 | - | - | - | - |
6. | root | 54321 | 185 | - | - | - | Packet8製のVOIP Phoneを狙ったものと思われる(参照) |
7. | root | anko | 171 | - | - | - | Shenzhen ANKO Tech製のDVRを狙ったものと思われる(参照) |
8. | root | 888888 | 153 | - | - | - | Dahua製のDVRを狙ったものと思われる(参照) |
9. | admin | 1111111 | 144 | - | - | - | Samsung製のIP Cameraを狙ったものと思われる(参照) |
10. | guest | 12345 | 136 | - | - | - | - |
11. | root | 1234 | 123 | - | - | - | - |
12. | root | xc3511 | 110 | - | - | - | HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照) |
13. | root | zlxx. | 102 | - | - | - | EV ZLX製のスピーカーを狙ったものと思われる(参照) |
14. | root | vertex25ektks123 | 96 | - | - | - | - |
15. | root | 00000000 | 90 | - | - | - | Panasonic製のプリンターを狙ったものと思われる(参照) |
16. | enable | system | 85 | - | - | - | - |
17. | root | root | 85 | - | - | - | - |
18. | root | xmhdipc | 83 | - | - | - | HiSilicon製のIPカメラまたはShenzhen Anran Security製のカメラを狙ったものと思われる(参照) |
19. | shell | sh | 83 | - | - | - | - |
20. | user | user | 80 | - | - | - | - |
admin/admin
の組み合わせのうち約94%がイギリス、アイルランド、ロシアからのログイン試行の際に使用されていました。
プロトコル別コネクション
全体及び国別のプロトコル別コネクション件数の遷移等は以下の通りです。
- SSHコネクション件数は4,532件、Telnetコネクション件数は6,040件でした。
- SSHコネクションを行ったユニークIPアドレスの件数は462件、Telnetコネクションを行ったユニークIPアドレスの件数は126件でした。
国別のSSHコネクション件数
国別のSSHコネクション件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United Kingdom | 1,972 | - | - | - | - |
2. | Ireland | 1,300 | - | - | - | - |
3. | Russia | 817 | - | - | - | - |
4. | China | 126 | - | - | - | - |
5. | United States | 68 | - | - | - | - |
6. | France | 58 | - | - | - | - |
7. | Brazil | 14 | - | - | - | - |
8. | Germany | 14 | - | - | - | - |
9. | Vietnam | 13 | - | - | - | - |
10. | Singapore | 12 | - | - | - | - |
11. | Spain | 12 | - | - | - | - |
12. | South Korea | 11 | - | - | - | - |
13. | India | 11 | - | - | - | - |
14. | Netherlands | 10 | - | - | - | - |
15. | Canada | 9 | - | - | - | - |
16. | Indonesia | 9 | - | - | - | - |
17. | Japan | 8 | - | - | - | - |
18. | Italy | 6 | - | - | - | - |
19. | Hong Kong | 5 | - | - | - | - |
20. | Mexico | 4 | - | - | - | - |
国別のTelnetコネクション件数
国別のTelnetコネクション件数(上位20位)は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 4,741 | - | - | - | - |
2. | Netherlands | 945 | - | - | - | - |
3. | Italy | 82 | - | - | - | - |
4. | India | 67 | - | - | - | - |
5. | China | 41 | - | - | - | - |
6. | Canada | 20 | - | - | - | - |
7. | France | 15 | - | - | - | - |
8. | Latvia | 14 | - | - | - | - |
9. | Vietnam | 12 | - | - | - | - |
10. | Brazil | 11 | - | - | - | - |
11. | Turkey | 11 | - | - | - | - |
12. | Romania | 11 | - | - | - | - |
13. | Ukraine | 10 | - | - | - | - |
14. | Bulgaria | 9 | - | - | - | - |
15. | Greece | 8 | - | - | - | - |
16. | South Korea | 5 | - | - | - | - |
17. | Russia | 4 | - | - | - | - |
18. | Egypt | 4 | - | - | - | - |
19. | Dominican Republic | 4 | - | - | - | - |
20. | Germany | 4 | - | - | - | - |
ダウンロードされたファイル
全体及び国別のダウンロードされたファイルの件数の遷移等は以下の通りです。
- ダウンロードに成功した件数が3,312件、失敗した件数が3,335件で、ほぼ同数でした。
続いて、ダウンロードされたファイルは以下の通りです。
※VT : VirusTotal
順位 | 備考 | ダウンロード元 | MD5 | 検出率(VT) | 件数 |
---|---|---|---|---|---|
1. | Mirai | hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 | 4147e375f325878fe3c3962c3d4ac411 | 37/59 | 1,831 |
2. | Mirai | hxxp://185[.]244[.]25[.]194:80/nicetryspecial/kowei[.]x86 | e310bb166f1ceccef9886842f5d14a8a | 25/58 | 668 |
3. | Mirai | hxxp://157[.]230[.]214[.]229:80/AB4g5/Josho[.]x86 | b43ef1498e292c63a638c0d1df9c67e1 | 35/59 | 498 |
4. | Mirai | hxxp://198[.]98[.]53[.]130:80/AB4g5/Josho[.]x86 | 7544f86f9a5906d26d1111519f9ad025 | 26/59 | 91 |
5. | Mirai | hxxp://185[.]244[.]25[.]203:80/blackc/blackc[.]x86 | 3e3908612aac65ba8b10ac6bcbf7d45c | 24/58 | 23 |
6. | Mirai | hxxp://168[.]235[.]81[.]176:80/bins/kowai[.]x86 | 4f32f05d7bc04deb91591b5ef4aa41f0 | 20/60 | 21 |
7. | Mirai(ダウンローダー) | hxxp://198[.]98[.]52[.]167/bins[.]sh | 2c4220ef8f88abddfbf231c531baa3bf | 28/58 | 19 |
8. | Mirai | hxxp://154[.]85[.]35[.]82:80/bins/hoho[.]x86 | 3cc859aebdeb3aafe4f6fc152a53ab71 | 28/59 | 16 |
9. | Mirai | hxxp://188[.]166[.]91[.]186:80/bins/hoho[.]x86 | 2dfb6ee4890628ebd93df4871504380e | 28/59 | 14 |
10. | Mirai | hxxp://168[.]235[.]98[.]135:80/bins/PhantomATM[.]x86 | c7e88dc72d987d7f535aaedd7ee11794 | 25/58 | 14 |
11. | Mirai | hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 | e68bd8a8712ce1788faa15c9813c00ab | 23/58 | 14 |
12. | Mirai | hxxp://185[.]244[.]25[.]241:80/bins/cock[.]x86 | 7cd9788dd9a5e97ca2e0a0480d4c377a | 21/59 | 13 |
13. | Mirai(ダウンローダー) | hxxp://51[.]77[.]210[.]97/TuDkwSbins[.]sh | d4e3f10fceff9be638ed2ec2931611ae | 26/58 | 11 |
14. | Mirai | hxxp://168[.]235[.]81[.]176:80/bins/hoho[.]x86 | 067eccb8cc2a5245fd2ea11a1250d52e | 21/58 | 10 |
15. | Mirai | hxxp://205[.]185[.]120[.]227:80/Binarys/Owari[.]x86 | 7dcf01249a47b6f3d823a550ffcd6a27 | 29/58 | 10 |
16. | Mirai or Gafgyt | hxxp://185[.]222[.]202[.]118:80/bins/x86 | 5ac4dea299a0dc62ea0541579aa36f37 | 23/59 | 7 |
17. | Mirai | hxxp://157[.]230[.]187[.]185:80/bins/furasshu[.]x86 | c6433ff735f5e65d58202184c387a3eb | 26/58 | 6 |
18. | Mirai | hxxp://198[.]98[.]53[.]130:80/AB4g5/Josho[.]x86 | 9c4c83cc615e4c1b38aa657a6dba7c6a | 20/58 | 6 |
19. | Mirai(ダウンローダー) | hxxp://185[.]203[.]116[.]150/bins[.]sh | 80f8975e0cb3d23f75cb863041a07320 | 25/57 | 6 |
20. | Mirai | hxxp://209[.]141[.]33[.]126:80/brother/x86[.]bot | 591313719348cbe85190e20afb8c391c | 26/58 | 6 |
21. | Mirai | hxxp://35[.]235[.]102[.]123:80/AB4g5/Josho[.]x86 | 8e4a0a4408c3351e132e56ca32e7c4d5 | 29/59 | 5 |
22. | Mirai | hxxp://34[.]73[.]197[.]36:80/AB4g5/Josho[.]x86 | f0f2602c47d126bd64e02a6ef3ee6051 | 26/53 | 5 |
23. | Mirai | hxxp://217[.]61[.]105[.]126:80/miori[.]x86 | beac08bb9f399a3a7e6414bb380c2288 | 23/58 | 4 |
24. | Mirai | hxxp://209[.]141[.]43[.]15:80/bins/mirai[.]x86 | 256e4d3c013fe49c6166da2d3ba0c524 | 24/57 | 3 |
25. | Satori?(CVE-2017-17215を利用した攻撃を行うと思われる) | hxxp://67[.]205[.]146[.]54:80/bins/Shine[.]x86 | 1448f398eccb101fd76570be90aa7983 | 23/58 | 3 |
26. | Mirai(ダウンローダー) | hxxp://185[.]203[.]116[.]150/lessie[.]sh | 646cc28182ed4239d8048caba712e8cc | 23/57 | 2 |
27. | Shellbot(Perl製) | hxxp://185[.]234[.]217[.]21/ssh1[.]txt | 9952847353e18356f9b536fbb91915e6 | 40/58 | 2 |
28. | Mirai(ダウンローダー) | hxxp://80[.]211[.]8[.]182/Okami[.]sh | 5c8eafa102b320e9cc196d44e7dda744 | 25/57 | 1 |
29. | Mirai | hxxp://168[.]235[.]81[.]176:80/AB4g5/Extendo[.]x86 | a3ea5496921d5cdac28014f679eb2294 | 17/58 | 1 |
国別のダウンロードされたファイル
国別のダウンロードされたファイルは以下の通りです。
アメリカ
アメリカからのアクセスによるセッション中にダウンロードされたファイル(上位5位)は以下の通りです。
順位 | 備考 | ダウンロード元 | MD5 | 検出率(VT) | 件数 |
---|---|---|---|---|---|
1. | Mirai | hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 | 4147e375f325878fe3c3962c3d4ac411 | 37/59 | 1,831 |
2. | Mirai | hxxp://157[.]230[.]214[.]229:80/AB4g5/Josho[.]x86 | b43ef1498e292c63a638c0d1df9c67e1 | 35/59 | 498 |
3. | Mirai | hxxp://198[.]98[.]53[.]130:80/AB4g5/Josho[.]x86 | 7544f86f9a5906d26d1111519f9ad025 | 26/59 | 91 |
4. | Mirai | hxxp://168[.]235[.]81[.]176:80/bins/kowai[.]x86 | 4f32f05d7bc04deb91591b5ef4aa41f0 | 20/60 | 21 |
5. | Mirai | hxxp://154[.]85[.]35[.]82:80/bins/hoho[.]x86 | 3cc859aebdeb3aafe4f6fc152a53ab71 | 28/59 | 16 |
- 上記のファイルは全てアメリカからのアクセスによるセッション中にダウンロードされていました。
オランダ
オランダからのアクセスによるセッション中にダウンロードされたファイルは以下の通りです。
順位 | 備考 | ダウンロード元 | MD5 | 検出率(VT) | 件数 |
---|---|---|---|---|---|
1. | Mirai | hxxp://185[.]244[.]25[.]194:80/nicetryspecial/kowei[.]x86 | e310bb166f1ceccef9886842f5d14a8a | 25/58 | 668 |
2. | Mirai | hxxp://185[.]244[.]25[.]203:80/blackc/blackc[.]x86 | 3e3908612aac65ba8b10ac6bcbf7d45c | 24/58 | 23 |
3. | Mirai | hxxp://188[.]166[.]91[.]186:80/bins/hoho[.]x86 | 2dfb6ee4890628ebd93df4871504380e | 28/59 | 14 |
4. | Mirai | hxxp://185[.]244[.]25[.]241:80/bins/cock[.]x86 | 7cd9788dd9a5e97ca2e0a0480d4c377a | 21/59 | 13 |
- こちらもアメリカと同じく、上記のファイルは全てオランダからのアクセスによるセッション中にダウンロードされていました。
カナダ
カナダからのアクセスによるセッション中にダウンロードされたファイルは以下の通りです。
順位 | 備考 | ダウンロード元 | MD5 | 検出率(VT) | 件数 |
---|---|---|---|---|---|
1. | Mirai(ダウンローダー) | hxxp://198[.]98[.]52[.]167/bins[.]sh | 2c4220ef8f88abddfbf231c531baa3bf | 28/58 | 19 |
- こちらもアメリカやオランダと同じく、上記のファイルは全てカナダからのアクセスによるセッション中にダウンロードされていました。
Cowrieで取得したログの簡易分析は以上です。
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/02/01 (金) 00:00~23:59 UTC(運用29日目)に取得したログの簡易分析です。
特徴
- 2019/01/29以来、3日ぶりにZGrabによるスキャンを観測しました。
- 2019/01/29以来、3日ぶりにMASSCANによるスキャンを観測しました。
概況
- 集計期間 : 2019/02/01 (金) 00:00~23:59 UTC
- 総アクセス件数 : 26 件(前日比 -359 件)
- トップページへのアクセス : 23 件
- phpMyAdminの探査 : 1 件
- 使用可能なメソッドの調査 : 1 件
- 不明 : 1 件
- ユニークIPアドレス件数 : 25 件 (前日比 +9 件)
- アクセス元の国数 : 13 カ国 (前日比 +6 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | United States | 6 | 3. | 5 | +1 | - |
2. | Brazil | 6 | 2. | 10 | -4 | - |
3. | China | 3 | - | 0 | +3 | - |
4. | Turkey | 2 | - | 0 | +2 | - |
5. | Hong Kong | 1 | - | 0 | +1 | - |
6. | Taiwan | 1 | - | 0 | +1 | - |
7. | Mexico | 1 | - | 0 | +1 | - |
8. | Ukraine | 1 | - | 0 | +1 | - |
9. | South Africa | 1 | 7. | 1 | +-0 | - |
10. | India | 1 | 4. | 1 | +-0 | - |
11. | Czechia | 1 | - | 0 | +1 | - |
12. | Canada | 1 | - | 0 | +1 | - |
13. | Spain | 1 | - | 0 | +1 | - |
アクセス先
アクセス先は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 | 20 | 1. | 15 | +5 |
2. | トップページへのアクセス | GET / HTTP/1.0 | 3 | - | 0 | +3 |
3. | phpMyAdminの探査 | GET /mysql/admin/index.php?lang=en HTTP/1.1 | 1 | - | 0 | +1 |
4. | 使用可能なメソッドの調査 | OPTIONS / HTTP/1.1 | 1 | - | 0 | +1 |
5. | 不明 | HEAD http://112.124.42.80:63435/ HTTP/1.1 | 1 | - | 0 | +1 |
- 2019/01/29以来、3日ぶりにZGrabによるスキャンを観測しました。
- 観測した件数は2件でした。
- User-Agentは
Mozilla/5.0 zgrab/0.x
でした。
- 2019/01/29以来、3日ぶりにMASSCANによるスキャンを観測しました。
- 観測した件数は1件でした。
- User-Agentは
masscan/1.0 (https://github.com/robertdavidgraham/masscan)
でした。
意図が不明なアクセス(初観測)
意図が不明なアクセス(初観測)のHTTPリクエストは以下の通りです。
HEAD hxxp://112[.]124[.]42[.]80:63435/ HTTP/1.1 Accept-Encoding: gzip User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36 BS_REAL_IP: TmpBdU1Ua3hMalV5TGpJMU5Dd3hNVEl1TVRjdU1USTFMakU0TUE9PQ== Host: 112[.]124[.]42[.]80:63435 Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2 Proxy-Connection: keep-alive
BS_REAL_IPヘッダにBase64でエンコードされた文字列がセットされていました。
TmpBdU1Ua3hMalV5TGpJMU5Dd3hNVEl1TVRjdU1USTFMakU0TUE9PQ==
をデコードした結果は以下の通りです。
NjAuMTkxLjUyLjI1NCwxMTIuMTcuMTI1LjE4MA==
デコードした文字列もBase64でエンコードされていました。
もう一度、デコードした結果は以下の通りです。
60[.]191[.]52[.]254,112[.]17[.]125[.]180
以上より、BS_REAL_IPヘッダには、上記の2つのIPアドレスがBase64で2重にエンコードされた文字列がセットされていたことが分かりました。
しかし、BS_REAL_IPなどのワードで検索をしても、これといった情報が出てこなかったので、このアクセスの詳細は分かりませんでした。
WOWHoneypotで取得したログの簡易分析は以上です。