ハニーポット観察日記(2019/02/05)
はじめに
こんにちは。cute_otterです。
昨日に引き続き、今日もCowrieのログを一部取得できていなかったため、ログの簡易分析をお休みします。すみません。
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/02/05 (火) 00:00~23:59 UTC(運用33日目)に取得したログの簡易分析です。
特徴
- Polycom製の製品の探査と思われるアクセスを初めて観測しました。
- 2019/02/03以来、1日ぶりにMASSCANによるスキャンを観測しました。
- 2日連続でZGrabによるスキャンを観測しました。
概況
- 集計期間 : 2019/02/05 (火) 00:00~23:59 UTC
- 総アクセス件数 : 22 件(前日比 -883 件)
- トップページへのアクセス : 21 件
- Polycom製の製品のコンフィグファイルの探査と思われるアクセス : 1 件
- ユニークIPアドレス件数 : 22 件 (前日比 -3 件)
- アクセス元の国数 : 12 カ国 (前日比 -5 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
---|---|---|---|---|---|---|
1. | Brazil | 4 | 3. | 3 | +1 | - |
2. | India | 3 | 5. | 2 | +1 | - |
3. | Ukraine | 3 | 10. | 1 | +2 | - |
4. | United States | 3 | 16. | 1 | +2 | - |
5. | Greece | 2 | 11. | 1 | +1 | - |
6. | Lebanon | 1 | - | 0 | +1 | - |
7. | Austria | 1 | - | 0 | +1 | - |
8. | United Kingdom | 1 | 12. | 1 | +-0 | - |
9. | Canada | 1 | - | 0 | +1 | - |
10. | Peru | 1 | - | 0 | +1 | - |
11. | Russia | 1 | 6. | 2 | -1 | - |
12. | Japan | 1 | 17. | 1 | +-0 | - |
アクセス先
- Polycom製の製品の探査と思われるアクセスを初めて観測しました。
- 2019/02/03以来、1日ぶりにMASSCANによるスキャンを観測しました。
- 件数は1件でした。
- User-Agentは
masscan/1.0 (https://github.com/robertdavidgraham/masscan)
でした。
- 2日連続でZGrabによるスキャンを観測しました。
- 件数は1件でした。
- User-Agentは
Mozilla/5.0 zgrab/0.x
でした。
アクセス先の一覧は以下の通りです。
順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
---|---|---|---|---|---|---|
1. | トップページへのアクセス | GET / HTTP/1.1 | 18 | 2. | 17 | +1 |
2. | トップページへのアクセス | GET / HTTP/1.0 | 3 | 271. | 2 | +1 |
3. | Polycom製の製品のコンフィグファイルの探査と思われるアクセス(参照) | GET /devicecfg//polycom/000000000000.cfg HTTP/1.1 | 1 | - | 0 | +1 |
Polycom製の製品のコンフィグファイルの探査と思われるアクセス
Polycom製の製品のコンフィグファイルの探査と思われるアクセスのHTTPリクエストは以下の通りです。
GET /devicecfg//polycom/000000000000.cfg HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0 Host: xxx.xxx.xxx.xxx Connection: Keep-Alive
こちらのサイトで、今回の探査で対象になったURIに似たURIを狙ったアクセスのログが多数掲載されていました。
今回の探査と上記のログの共通点として、User-Agentが同じことが挙げられます。
また、S-Owlさん(id:Sec-Owl)の2018/11/03のハニーポットのログ分析にも、今回の探査で対象になったURIに似たURIを狙ったアクセスのログが掲載されていました。
WOWHoneypotで取得したログの簡易分析は以上です。