cute_otter’s blog

ハニーポットの観察日記を付けています

トップ > ハニーポット観察日記 > ハニーポット観察日記(2019/02/01)

ハニーポット観察日記(2019/02/01)

ハニーポット観察日記

はじめに

こんにちは。cute_otterです。
今日からCowrieのログの簡易分析を再開しました。

Cowrie

ハニーポット「Cowrie」で2019/02/01 (金) 00:00~23:59 UTC(運用80日目)に取得したログの簡易分析です。

概況

  • 集計期間 : 2019/02/01 (金) 00:00~23:59 UTC
  • 総アクセス件数 : 419,701 件 (前日比 - 件)
  • ユニークIPアドレス : 588 件 (前日比 - 件)
  • アクセス元の国 : 63 カ国 (前日比 - カ国)
  • ログイン試行 : 9,093 件 (前日比 - 件)
  • SSHコネクション : 4,532 件 (前日比 - 件)
  • Telnetコネクション : 6,040 件 (前日比 - 件)
  • ダウンロードされたファイル : 3,312 件 (前日比 - 件)

アクセス

全体及び国別のアクセス件数の遷移等は以下の通りです。

全体及び国別のアクセス件数の遷移等(2019/02/01)
全体及び国別のアクセス件数の遷移等(2019/02/01)

  • 1時台にアメリカからのアクセス件数が急増し、54,527件となりました。

続いて、国別のアクセス件数(上位20位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 344,455 - - - -
2. Netherlands 38,403 - - - -
3. United Kingdom 17,009 - - - -
4. Ireland 8,460 - - - -
5. Russia 4,949 - - - -
6. China 1,020 - - - -
7. Italy 939 - - - -
8. Latvia 658 - - - -
9. France 479 - - - -
10. India 428 - - - -
11. Ukraine 399 - - - -
12. Canada 310 - - - -
13. Brazil 271 - - - -
14. Germany 258 - - - -
15. Vietnam 188 - - - -
16. Romania 150 - - - -
17. Bulgaria 126 - - - -
18. Turkey 125 - - - -
19. South Korea 113 - - - -
20. Greece 89 - - - -

ユニークIPアドレス

国別のユニークIPアドレスの件数(上位20位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. China 135 - - - -
2. United States 92 - - - -
3. France 59 - - - -
4. Brazil 25 - - - -
5. Russia 23 - - - -
6. United Kingdom 17 - - - -
7. India 16 - - - -
8. South Korea 15 - - - -
9. Netherlands 14 - - - -
10. Germany 14 - - - -
11. Singapore 12 - - - -
12. Vietnam 11 - - - -
13. Canada 11 - - - -
14. Italy 10 - - - -
15. Indonesia 10 - - - -
16. Spain 9 - - - -
17. Ireland 8 - - - -
18. Japan 8 - - - -
19. Greece 7 - - - -
20. Hong Kong 6 - - - -

ログイン試行

全体及び国別のログイン試行件数の遷移等は以下の通りです。

全体及び国別のログイン試行件数の遷移等(2019/02/01)
全体及び国別のログイン試行件数の遷移等(2019/02/01)

続いて、国別のログイン試行の件数(上位20位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 3,341 - - - -
2. United Kingdom 1,948 - - - -
3. Ireland 1,300 - - - -
4. Netherlands 851 - - - -
5. Russia 818 - - - -
6. India 202 - - - -
7. China 167 - - - -
8. Italy 86 - - - -
9. France 75 - - - -
10. Canada 29 - - - -
11. Brazil 27 - - - -
12. Germany 18 - - - -
13. Vietnam 17 - - - -
14. South Korea 16 - - - -
15. Romania 15 - - - -
16. Latvia 14 - - - -
17. Turkey 12 - - - -
18. Ukraine 12 - - - -
19. Bulgaria 12 - - - -
20. Singapore 12 - - - -
ユーザ名とパスワード

ログイン試行の際に使用されたユーザ名とパスワードの組み合わせ(上位20位)は以下の通りです。

順位 ユーザ名 パスワード 件数 前日の順位 前日の件数 件数差 備考
1. admin admin 4,173 - - - -
2. root admin 279 - - - -
3. root default 263 - - - -
4. admin password 199 - - - -
5. admin 123456 186 - - - -
6. root 54321 185 - - - Packet8製のVOIP Phoneを狙ったものと思われる(参照)
7. root anko 171 - - - Shenzhen ANKO Tech製のDVRを狙ったものと思われる(参照)
8. root 888888 153 - - - Dahua製のDVRを狙ったものと思われる(参照)
9. admin 1111111 144 - - - Samsung製のIP Cameraを狙ったものと思われる(参照)
10. guest 12345 136 - - - -
11. root 1234 123 - - - -
12. root xc3511 110 - - - HiSilicon Technologies製のIPカメラを狙ったものと思われる(参照)
13. root zlxx. 102 - - - EV ZLX製のスピーカーを狙ったものと思われる(参照)
14. root vertex25ektks123 96 - - - -
15. root 00000000 90 - - - Panasonic製のプリンターを狙ったものと思われる(参照)
16. enable system 85 - - - -
17. root root 85 - - - -
18. root xmhdipc 83 - - - HiSilicon製のIPカメラまたはShenzhen Anran Security製のカメラを狙ったものと思われる(参照)
19. shell sh 83 - - - -
20. user user 80 - - - -
  • admin/adminの組み合わせのうち約94%がイギリス、アイルランド、ロシアからのログイン試行の際に使用されていました。
    • イギリスは1,937件でした。
      • 4つのIPアドレスから分散してログイン試行が行われていました。
      • IPアドレスから約400件ずつログイン試行が行われていました。
    • アイルランドは1,290件でした。
      • イギリスと同じく、4つのIPアドレスから分散してログイン試行が行われていました。
      • IPアドレスから約300件ずつログイン試行が行われていました。
    • ロシアは800件でした。
      • このうち約80%が一つのIPアドレスからのログイン試行で使用されていました。

プロトコル別コネクション

全体及び国別のプロトコル別コネクション件数の遷移等は以下の通りです。

プロトコル別及び国別のコネクション件数の遷移等(2019/02/01)
プロトコル別及び国別のコネクション件数の遷移等(2019/02/01)

  • SSHコネクション件数は4,532件、Telnetコネクション件数は6,040件でした。
  • SSHコネクションを行ったユニークIPアドレスの件数は462件、Telnetコネクションを行ったユニークIPアドレスの件数は126件でした。
国別のSSHコネクション件数

国別のSSHコネクション件数(上位20位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United Kingdom 1,972 - - - -
2. Ireland 1,300 - - - -
3. Russia 817 - - - -
4. China 126 - - - -
5. United States 68 - - - -
6. France 58 - - - -
7. Brazil 14 - - - -
8. Germany 14 - - - -
9. Vietnam 13 - - - -
10. Singapore 12 - - - -
11. Spain 12 - - - -
12. South Korea 11 - - - -
13. India 11 - - - -
14. Netherlands 10 - - - -
15. Canada 9 - - - -
16. Indonesia 9 - - - -
17. Japan 8 - - - -
18. Italy 6 - - - -
19. Hong Kong 5 - - - -
20. Mexico 4 - - - -
  • SSHコネクションの約90%がイギリス、アイルランド、ロシアから行われていました。
国別のTelnetコネクション件数

国別のTelnetコネクション件数(上位20位)は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 4,741 - - - -
2. Netherlands 945 - - - -
3. Italy 82 - - - -
4. India 67 - - - -
5. China 41 - - - -
6. Canada 20 - - - -
7. France 15 - - - -
8. Latvia 14 - - - -
9. Vietnam 12 - - - -
10. Brazil 11 - - - -
11. Turkey 11 - - - -
12. Romania 11 - - - -
13. Ukraine 10 - - - -
14. Bulgaria 9 - - - -
15. Greece 8 - - - -
16. South Korea 5 - - - -
17. Russia 4 - - - -
18. Egypt 4 - - - -
19. Dominican Republic 4 - - - -
20. Germany 4 - - - -
  • Telnetコネクションのうち約94%がアメリカ、オランダから行われていました。

ダウンロードされたファイル

全体及び国別のダウンロードされたファイルの件数の遷移等は以下の通りです。

全体及び国別のダウンロードされたファイルの件数の遷移等(2019/02/01)
全体及び国別のダウンロードされたファイルの件数の遷移等(2019/02/01)

  • ダウンロードに成功した件数が3,312件、失敗した件数が3,335件で、ほぼ同数でした。

続いて、ダウンロードされたファイルは以下の通りです。

※VT : VirusTotal

順位 備考 ダウンロード元 MD5 検出率(VT) 件数
1. Mirai hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 4147e375f325878fe3c3962c3d4ac411 37/59 1,831
2. Mirai hxxp://185[.]244[.]25[.]194:80/nicetryspecial/kowei[.]x86 e310bb166f1ceccef9886842f5d14a8a 25/58 668
3. Mirai hxxp://157[.]230[.]214[.]229:80/AB4g5/Josho[.]x86 b43ef1498e292c63a638c0d1df9c67e1 35/59 498
4. Mirai hxxp://198[.]98[.]53[.]130:80/AB4g5/Josho[.]x86 7544f86f9a5906d26d1111519f9ad025 26/59 91
5. Mirai hxxp://185[.]244[.]25[.]203:80/blackc/blackc[.]x86 3e3908612aac65ba8b10ac6bcbf7d45c 24/58 23
6. Mirai hxxp://168[.]235[.]81[.]176:80/bins/kowai[.]x86 4f32f05d7bc04deb91591b5ef4aa41f0 20/60 21
7. Mirai(ダウンローダー) hxxp://198[.]98[.]52[.]167/bins[.]sh 2c4220ef8f88abddfbf231c531baa3bf 28/58 19
8. Mirai hxxp://154[.]85[.]35[.]82:80/bins/hoho[.]x86 3cc859aebdeb3aafe4f6fc152a53ab71 28/59 16
9. Mirai hxxp://188[.]166[.]91[.]186:80/bins/hoho[.]x86 2dfb6ee4890628ebd93df4871504380e 28/59 14
10. Mirai hxxp://168[.]235[.]98[.]135:80/bins/PhantomATM[.]x86 c7e88dc72d987d7f535aaedd7ee11794 25/58 14
11. Mirai hxxp://46[.]183[.]218[.]243:80/33bi/Ares[.]x86 e68bd8a8712ce1788faa15c9813c00ab 23/58 14
12. Mirai hxxp://185[.]244[.]25[.]241:80/bins/cock[.]x86 7cd9788dd9a5e97ca2e0a0480d4c377a 21/59 13
13. Mirai(ダウンローダー) hxxp://51[.]77[.]210[.]97/TuDkwSbins[.]sh d4e3f10fceff9be638ed2ec2931611ae 26/58 11
14. Mirai hxxp://168[.]235[.]81[.]176:80/bins/hoho[.]x86 067eccb8cc2a5245fd2ea11a1250d52e 21/58 10
15. Mirai hxxp://205[.]185[.]120[.]227:80/Binarys/Owari[.]x86 7dcf01249a47b6f3d823a550ffcd6a27 29/58 10
16. Mirai or Gafgyt hxxp://185[.]222[.]202[.]118:80/bins/x86 5ac4dea299a0dc62ea0541579aa36f37 23/59 7
17. Mirai hxxp://157[.]230[.]187[.]185:80/bins/furasshu[.]x86 c6433ff735f5e65d58202184c387a3eb 26/58 6
18. Mirai hxxp://198[.]98[.]53[.]130:80/AB4g5/Josho[.]x86 9c4c83cc615e4c1b38aa657a6dba7c6a 20/58 6
19. Mirai(ダウンローダー) hxxp://185[.]203[.]116[.]150/bins[.]sh 80f8975e0cb3d23f75cb863041a07320 25/57 6
20. Mirai hxxp://209[.]141[.]33[.]126:80/brother/x86[.]bot 591313719348cbe85190e20afb8c391c 26/58 6
21. Mirai hxxp://35[.]235[.]102[.]123:80/AB4g5/Josho[.]x86 8e4a0a4408c3351e132e56ca32e7c4d5 29/59 5
22. Mirai hxxp://34[.]73[.]197[.]36:80/AB4g5/Josho[.]x86 f0f2602c47d126bd64e02a6ef3ee6051 26/53 5
23. Mirai hxxp://217[.]61[.]105[.]126:80/miori[.]x86 beac08bb9f399a3a7e6414bb380c2288 23/58 4
24. Mirai hxxp://209[.]141[.]43[.]15:80/bins/mirai[.]x86 256e4d3c013fe49c6166da2d3ba0c524 24/57 3
25. Satori?(CVE-2017-17215を利用した攻撃を行うと思われる) hxxp://67[.]205[.]146[.]54:80/bins/Shine[.]x86 1448f398eccb101fd76570be90aa7983 23/58 3
26. Mirai(ダウンローダー) hxxp://185[.]203[.]116[.]150/lessie[.]sh 646cc28182ed4239d8048caba712e8cc 23/57 2
27. Shellbot(Perl製) hxxp://185[.]234[.]217[.]21/ssh1[.]txt 9952847353e18356f9b536fbb91915e6 40/58 2
28. Mirai(ダウンローダー) hxxp://80[.]211[.]8[.]182/Okami[.]sh 5c8eafa102b320e9cc196d44e7dda744 25/57 1
29. Mirai hxxp://168[.]235[.]81[.]176:80/AB4g5/Extendo[.]x86 a3ea5496921d5cdac28014f679eb2294 17/58 1
国別のダウンロードされたファイル

国別のダウンロードされたファイルは以下の通りです。

アメリ

アメリカからのアクセスによるセッション中にダウンロードされたファイル(上位5位)は以下の通りです。

順位 備考 ダウンロード元 MD5 検出率(VT) 件数
1. Mirai hxxp://198[.]98[.]62[.]237:80/bins/mirai[.]x86 4147e375f325878fe3c3962c3d4ac411 37/59 1,831
2. Mirai hxxp://157[.]230[.]214[.]229:80/AB4g5/Josho[.]x86 b43ef1498e292c63a638c0d1df9c67e1 35/59 498
3. Mirai hxxp://198[.]98[.]53[.]130:80/AB4g5/Josho[.]x86 7544f86f9a5906d26d1111519f9ad025 26/59 91
4. Mirai hxxp://168[.]235[.]81[.]176:80/bins/kowai[.]x86 4f32f05d7bc04deb91591b5ef4aa41f0 20/60 21
5. Mirai hxxp://154[.]85[.]35[.]82:80/bins/hoho[.]x86 3cc859aebdeb3aafe4f6fc152a53ab71 28/59 16
  • 上記のファイルは全てアメリカからのアクセスによるセッション中にダウンロードされていました。
オランダ

オランダからのアクセスによるセッション中にダウンロードされたファイルは以下の通りです。

順位 備考 ダウンロード元 MD5 検出率(VT) 件数
1. Mirai hxxp://185[.]244[.]25[.]194:80/nicetryspecial/kowei[.]x86 e310bb166f1ceccef9886842f5d14a8a 25/58 668
2. Mirai hxxp://185[.]244[.]25[.]203:80/blackc/blackc[.]x86 3e3908612aac65ba8b10ac6bcbf7d45c 24/58 23
3. Mirai hxxp://188[.]166[.]91[.]186:80/bins/hoho[.]x86 2dfb6ee4890628ebd93df4871504380e 28/59 14
4. Mirai hxxp://185[.]244[.]25[.]241:80/bins/cock[.]x86 7cd9788dd9a5e97ca2e0a0480d4c377a 21/59 13
  • こちらもアメリカと同じく、上記のファイルは全てオランダからのアクセスによるセッション中にダウンロードされていました。
カナダ

カナダからのアクセスによるセッション中にダウンロードされたファイルは以下の通りです。

順位 備考 ダウンロード元 MD5 検出率(VT) 件数
1. Mirai(ダウンローダー) hxxp://198[.]98[.]52[.]167/bins[.]sh 2c4220ef8f88abddfbf231c531baa3bf 28/58 19
  • こちらもアメリカやオランダと同じく、上記のファイルは全てカナダからのアクセスによるセッション中にダウンロードされていました。

Cowrieで取得したログの簡易分析は以上です。

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/02/01 (金) 00:00~23:59 UTC(運用29日目)に取得したログの簡易分析です。

特徴

  • 2019/01/29以来、3日ぶりにZGrabによるスキャンを観測しました。
  • 2019/01/29以来、3日ぶりにMASSCANによるスキャンを観測しました。

概況

  • 集計期間 : 2019/02/01 (金) 00:00~23:59 UTC
  • 総アクセス件数 : 26 件(前日比 -359 件)
    • トップページへのアクセス : 23 件
    • phpMyAdminの探査 : 1 件
    • 使用可能なメソッドの調査 : 1 件
    • 不明 : 1 件
  • ユニークIPアドレス件数 : 25 件 (前日比 +9 件)
  • アクセス元の国数 : 13 カ国 (前日比 +6 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位 国名 件数 前日の順位 前日の件数 件数差 備考
1. United States 6 3. 5 +1 -
2. Brazil 6 2. 10 -4 -
3. China 3 - 0 +3 -
4. Turkey 2 - 0 +2 -
5. Hong Kong 1 - 0 +1 -
6. Taiwan 1 - 0 +1 -
7. Mexico 1 - 0 +1 -
8. Ukraine 1 - 0 +1 -
9. South Africa 1 7. 1 +-0 -
10. India 1 4. 1 +-0 -
11. Czechia 1 - 0 +1 -
12. Canada 1 - 0 +1 -
13. Spain 1 - 0 +1 -

アクセス先

アクセス先は以下の通りです。

順位 備考 アクセス先 件数 前日の順位 前日の件数 件数差
1. トップページへのアクセス GET / HTTP/1.1 20 1. 15 +5
2. トップページへのアクセス GET / HTTP/1.0 3 - 0 +3
3. phpMyAdminの探査 GET /mysql/admin/index.php?lang=en HTTP/1.1 1 - 0 +1
4. 使用可能なメソッドの調査 OPTIONS / HTTP/1.1 1 - 0 +1
5. 不明 HEAD http://112.124.42.80:63435/ HTTP/1.1 1 - 0 +1
  • 2019/01/29以来、3日ぶりにZGrabによるスキャンを観測しました。
    • 観測した件数は2件でした。
    • User-AgentはMozilla/5.0 zgrab/0.xでした。
  • 2019/01/29以来、3日ぶりにMASSCANによるスキャンを観測しました。
    • 観測した件数は1件でした。
    • User-Agentはmasscan/1.0 (https://github.com/robertdavidgraham/masscan)でした。

意図が不明なアクセス(初観測)

意図が不明なアクセス(初観測)のHTTPリクエストは以下の通りです。

HEAD hxxp://112[.]124[.]42[.]80:63435/ HTTP/1.1
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36
BS_REAL_IP: TmpBdU1Ua3hMalV5TGpJMU5Dd3hNVEl1TVRjdU1USTFMakU0TUE9PQ==
Host: 112[.]124[.]42[.]80:63435
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Proxy-Connection: keep-alive


BS_REAL_IPヘッダにBase64エンコードされた文字列がセットされていました。
TmpBdU1Ua3hMalV5TGpJMU5Dd3hNVEl1TVRjdU1USTFMakU0TUE9PQ==をデコードした結果は以下の通りです。

NjAuMTkxLjUyLjI1NCwxMTIuMTcuMTI1LjE4MA==


デコードした文字列もBase64エンコードされていました。
もう一度、デコードした結果は以下の通りです。

60[.]191[.]52[.]254,112[.]17[.]125[.]180


以上より、BS_REAL_IPヘッダには、上記の2つのIPアドレスBase64で2重にエンコードされた文字列がセットされていたことが分かりました。

しかし、BS_REAL_IPなどのワードで検索をしても、これといった情報が出てこなかったので、このアクセスの詳細は分かりませんでした。

WOWHoneypotで取得したログの簡易分析は以上です。