ハニーポット観察日記(2019/02/05)

はじめに
WOWHoneypot

はじめに

こんにちは。cute_otterです。
昨日に引き続き、今日もCowrieのログを一部取得できていなかったため、ログの簡易分析をお休みします。すみません。

WOWHoneypot

ハニーポット「WOWHoneypot」で2019/02/05 (火) 00:00~23:59 UTC(運用33日目)に取得したログの簡易分析です。

特徴

Polycom製の製品の探査と思われるアクセスを初めて観測しました。
2019/02/03以来、1日ぶりにMASSCANによるスキャンを観測しました。
2日連続でZGrabによるスキャンを観測しました。

概況

集計期間 : 2019/02/05 (火) 00:00~23:59 UTC
総アクセス件数 : 22 件(前日比 -883 件)
- トップページへのアクセス : 21 件
- Polycom製の製品のコンフィグファイルの探査と思われるアクセス : 1 件
ユニークIPアドレス件数 : 22 件 (前日比 -3 件)
アクセス元の国数 : 12 カ国 (前日比 -5 カ国)

国別のアクセス件数

国別のアクセス件数は以下の通りです。

順位	国名	件数	前日の順位	前日の件数	件数差	備考
1.	Brazil	4	3.	3	+1	-
2.	India	3	5.	2	+1	-
3.	Ukraine	3	10.	1	+2	-
4.	United States	3	16.	1	+2	-
5.	Greece	2	11.	1	+1	-
6.	Lebanon	1	-	0	+1	-
7.	Austria	1	-	0	+1	-
8.	United Kingdom	1	12.	1	+-0	-
9.	Canada	1	-	0	+1	-
10.	Peru	1	-	0	+1	-
11.	Russia	1	6.	2	-1	-
12.	Japan	1	17.	1	+-0	-

アクセス先

Polycom製の製品の探査と思われるアクセスを初めて観測しました。
- URIに"Polycom"という文字列が含まれるため、Polycom製の製品の探査と思われます。
- 探査を行ったIPアドレスはInternet-Cosmos LLC(AS34300)に登録されていました。
2019/02/03以来、1日ぶりにMASSCANによるスキャンを観測しました。
- 件数は1件でした。
- User-Agentはmasscan/1.0 (https://github.com/robertdavidgraham/masscan)でした。
2日連続でZGrabによるスキャンを観測しました。
- 件数は1件でした。
- User-AgentはMozilla/5.0 zgrab/0.xでした。

アクセス先の一覧は以下の通りです。

順位	備考	アクセス先	件数	前日の順位	前日の件数	件数差
1.	トップページへのアクセス	GET / HTTP/1.1	18	2.	17	+1
2.	トップページへのアクセス	GET / HTTP/1.0	3	271.	2	+1
3.	Polycom製の製品のコンフィグファイルの探査と思われるアクセス(参照)	GET /devicecfg//polycom/000000000000.cfg HTTP/1.1	1	-	0	+1

Polycom製の製品のコンフィグファイルの探査と思われるアクセス

Polycom製の製品のコンフィグファイルの探査と思われるアクセスのHTTPリクエストは以下の通りです。

GET /devicecfg//polycom/000000000000.cfg HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0
Host: xxx.xxx.xxx.xxx
Connection: Keep-Alive

こちらのサイトで、今回の探査で対象になったURIに似たURIを狙ったアクセスのログが多数掲載されていました。
今回の探査と上記のログの共通点として、User-Agentが同じことが挙げられます。

また、S-Owlさん(id:Sec-Owl)の2018/11/03のハニーポットのログ分析にも、今回の探査で対象になったURIに似たURIを狙ったアクセスのログが掲載されていました。

WOWHoneypotで取得したログの簡易分析は以上です。

cute_otter’s blog

ハニーポットの観察日記を付けています