ハニーポットの観測記録

ハニーポッターすぎたむちのぶろぐ

ハニーポット観察日記【6】

Cowrie運用14日目の簡易調査報告です。
Telnet接続の許可以降、アタック頻度が高まっており、
ログの出力量が平均して60倍ほどに膨らんでおりますので、
今後は直近7日分の報告ということで、進めていきます。

※本記事では、便宜上Mirai亜種についてもMiraiと表記しています。

ダッシュボードと集計結果

ダッシュボード
※集計期間:2018/08/18~2018/08/25
f:id:SugitaMuchi:20180825110752p:plain ※map(event),pie(country,city,ip),grahp(protocol),count(protocol)

f:id:SugitaMuchi:20180825110819p:plain ※tag cloud(username,password,command)


■ログイン試行回数( username )
※集計期間:2018/08/18~2018/08/25
※上位10件

試行回数 username
2579 root
664 admin
514 default
64 guest
58 support
44 pi
41 telnet
37 user
26 telecomadmin
26 e8telnet

※Miraiの実行コマンド、enableshellが含まれていたので、省いてます。


■ログイン試行回数( password )
※集計期間:2018/08/18~2018/08/25
※上位10件

試行回数 password
196 admin
159 Zte521
145 default
139 tlJwpbo6
125 vizxv
121 annie2012
120 S2fGqNFs
117 (non pass)
115 zlxx
113 klv123

※Miraiの実行コマンド、systemshが含まれていたので、省いてます。


■ログイン試行回数( username / password )
※集計期間:2018/08/18~2018/08/25
※上位10件

試行回数 username / password
159 root / Zte521
153 admin / admin
139 default / tlJwpbo6
121 root / annie2012
120 root / vizxv
120 default / S2fGqNFs
115 root / zlxx
113 root / klv123
112 root / 7ujMko0vizxv
112 admin / epicrouter


集計結果を確認する限りだと、上述した上位10件以外についても、
Miraiからのアタックが全体を占めておりました。
2016年に発見後、何度も大規模なDDoSが確認されていましたが、
現時点においてもこれだけの感染活動を確認するというのは、
なんとも恐怖しかないですね。。。

ダウンロードされたマルウェアについて

■ダウンロードされたファイル情報
※収集期間:2018/08/18~2018/08/25
全部で32ファイルとなりました。

.shinka.x86: 60473bc6178988f488b9e18563df7bd420fbb696701e8a4aeebcd69e96a09cfb: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
.shinka.x86: 7beddfa27dc69c37fe4d5be15fe0d5da2b9b544def33656682b34dfbb011a14f: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
8x868: 17eb5d0f8b3eb491cd5f3a5fbd7dfdf088dd61f21a26bc2a995ce24ff4212bd5: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, not stripped
8x868: 9ca9c2807d78f6bdb62804a418ffd0da3377219a78558e18e0375173c99fa324: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, not stripped
Josho.x86: 8fb9fb9275220aac9475bd98a30d3c9d3faa4006e603d91d1479e3d01f9592e2: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
KEIJI.sh: fb3f6a63ac78a7bb817c801c7e96b96de891b084e6b98f785a2f3bc7a89ac797: Bourne-Again shell script, ASCII text executable
bins.sh: 4a524e4da3c39cb2e7da5982a7752ed71d4de8daaa9f594e96e410131f673d15: Bourne-Again shell script, ASCII text executable
bins.sh: e4b34d68670c9d78d07f672cfcca76d16291c32c5eade8dba8919eb83c4e2b10: Bourne-Again shell script, ASCII text executable
chongfu.sh: 4f75eec50688856480316bb404ba90d33d5de43ded45066b5a3d9b3fb7cc8720: Bourne-Again shell script, ASCII text executable
gemini.x86: 33dbdfc373fb19891723842c468d8f3dc62f04573d63f3e9ebb9f7d2b93cb0bc: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
hoho.x86: 411e537501186c00c450d5c5941ecc7dc52bc9df90be7f7e1c8815a530a8a84d: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
miori.x86 7cff83dd63947e346c3604aa3074c637f7a955fee8132679605bf32c97a09183: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
miori.x86: 0c8d50766279f482f79b122835bee11e9ede47419979faee254ffa70735ae164: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
miori.x86: 12a4775fce7e59ce2a71e7f4de07debeba6e534e1c256870ca576cabbb35affd: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
miori.x86: 136e4ab752568c05fb227a13ff071a2670217b67d217a7e7213aa8b2d97df7bb: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
miori.x86: 28614e5ef19381d902c8c059ea3737c3a4830dc4c08f3d1cf78caab0a6bccc16: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
miori.x86: 721ea9d9a2cba6b9c47d2d3d3d325c9abb5b43eedb166ce333c3baaf55e9112e: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
miori.x86: 7e050c31f82673ea2787e0728191574911363071cdc6a36c06e1db8c9ab7a581: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
miori.x86: 885fdc6be061dae3a95501f636924c1e7305684a468cd382ed8246e8bf84a5ff: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped
miori.x86: 8965bd154e0d8dea80994f4b9f3730f82ab34affc95a0342b58a3409855dfd0b: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
miori.x86: b436a03280c61161490c21ee68ae9000df4f35499abfb923aa9f5b4b8220de73: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
miori.x86: dc1cc5d63165cbeed14e91eeaabd2f56a65c77274078e0007a12a665dff43368: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
miori.x86: f4aabd808ac2b7e9b5aa41fe714581f2dbe970ad961940813abf4d7ab39b64d9: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
miori.x86: f66aa0c2b8ae5d1b077309a38dc70928ecb41e544d322978185cd7c84678f81e: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
mirai.x86: c6dc274df80ebdb8a10cf0b7abd2dadf0c76c7262848f5bc7b2609e5f904dcaf: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
ssh1.txt: 0d6da4db11d48df8e7f6036a16a4f8271e92a8450fe701fcb4473d23870c7a31: Perl script, ASCII text executable
x86.nigger: f8c14502a52b94683d983f2f48459fd1106bd7ed6d14029b0bfd2c82ffc35628: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
yakuza.x86: 20ff0694269091c6122481a844f1b2dc7b3a0d3952675454890d8151fbc4d3e6: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
yakuza.x86: 7db8e515c0c169dd16b5fc0a22b8e65a294419868217c89d3c717fb5a00799e3: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
yakuza.x86: a4c9233a65690c4b036713f5b3a43bf6c6cfe91adc62d4bc398c2691c8e646ef: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
yakuza.x86: e5719a5cb667386d6afc87e509415b462ebb2aad1b0ea1d737e9e94d973c7713: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
yakuza.x86: fe34980dee464f619c8ada8b1310b1eafbc4aa905207f58128e95eb508878840: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, strippe

うーん
ヤクザyakuzaと刑事KEIJIがいました。

ちがうか!w


■検出状況
VirusTotalで検索した状況です。
※テーブルにハッシュ値が収まらないので、省略してます。

filename sha256 VirusTotal 備考
.shinka.x86 60473bc617... 検出率: 22 / 59 Mirai
.shinka.x86 7beddfa27d... 検出率: 13 / 59 Mirai
8x868 17eb5d0f8b... 検出率: 15 / 59 Gafgyt
8x868 9ca9c2807d... 検出率: 23 / 59 Gafgyt
Josho.x86 8fb9fb9275... 検出率: 25 / 59 Mirai
KEIJI.sh fb3f6a63ac... 検出率: 26 / 59 Mirai
bins.sh 4a524e4da3... 検出率: 24 / 60 Mirai
bins.sh e4b34d6867... 検出率: 21 / 60 Mirai
chongfu.sh 4f75eec506... 検出率: 25 / 59 OSX(Mac) Trojan
gemini.x86 33dbdfc373... 検出率: 20 / 59 Mirai
hoho.x86 411e537501... 検出率: 22 / 59 Mirai
miori.x86 7cff83dd63... 検出率: 12 / 59 Mirai
miori.x86 0c8d507662... 検出率: 6 / 58 Mirai
miori.x86 12a4775fce... 検出率: 16 / 60 Mirai
miori.x86 136e4ab752... 検出率: 16 / 57 Mirai
miori.x86 80555461c9... 検出率: 15 / 58 Mirai
miori.x86 721ea9d9a2... 検出率: 16 / 59 Mirai
miori.x86 7e050c31f8... 検出率: 6 / 58 Mirai
miori.x86 885fdc6be0... 検出率: 37 / 59 -
miori.x86 8965bd154e... 検出率: 0 / 59 -
miori.x86 b436a03280... 検出率: 14 / 59 Mirai
miori.x86 dc1cc5d631... 検出率: 6 / 59 Mirai
miori.x86 f66aa0c2b8... 検出率: 5 / 56 Mirai
mirai.x86 c6dc274df8... 検出率: 34 / 60 Mirai / Gafgyt
ssh1.txt 0d6da4db11... 検出率: 39 / 59 Backdoor / Bot
x86.nigger f8c14502a5... 検出率: 24 / 59 Mirai
yakuza.x86 20ff069426... 検出率: 5 / 59 Mirai
yakuza.x86 7db8e515c0... 検出率: 5 / 59 Mirai
yakuza.x86 a4c9233a65... 検出率: 16 / 59 Mirai
yakuza.x86 e5719a5cb6... 検出率: 9 / 58 Mirai
yakuza.x86 fe34980dee... 検出率: 11 / 59 Mirai


検出名から確認する限りだと、ほぼMiraiが占めています。
あとは、Miraiでも検出率が低いものや、
いくつかのベンダではGeneric検出となっているものもあって、
類似パターンのMiraiが多いのかなーという印象。
セキュリティベンダも大変ですね。。。


■ダウンロード元
マルウェアが落ちてくるので、絶対に接続しないでください。

    151 Downloaded URL (hxxp://80[.]211[.]57[.]80:80/miori[.]x86)
    135 Downloaded URL (hxxp://159[.]65[.]230[.]34:80/8x868)
    108 Downloaded URL (hxxp://165[.]227[.]147[.]27:80/AB4g5/Josho[.]x86)
     29 Downloaded URL (hxxp://142[.]93[.]177[.]115:80/gaybub/miori[.]x86)
     25 Downloaded URL (hxxp://138[.]197[.]74[.]100/bins[.]sh)
     16 Downloaded URL (hxxp://80[.]211[.]28[.]91/bins[.]sh)
     14 Downloaded URL (hxxp://178[.]62[.]82[.]151:80/bins/hoho[.]x86)
     13 Downloaded URL (hxxp://80[.]211[.]112[.]216:80/gaybub/miori[.]x86)
     13 Downloaded URL (hxxp://185[.]244[.]25[.]176:80/bins/gemini[.]x86)
     11 Downloaded URL (hxxp://195[.]22[.]126[.]16/ssh1[.]txt)
      8 Downloaded URL (hxxp://209[.]141[.]33[.]86:80/bins/yakuza[.]x86)
      8 Downloaded URL (hxxp://209[.]141[.]33[.]86:80/bins/[.]shinka[.]x86)
      6 Downloaded URL (hxxp://217[.]61[.]6[.]155:80/gaybub/miori[.]x86)
      5 Downloaded URL (hxxp://172[.]104[.]156[.]74/ssh1[.]txt)
      5 Downloaded URL (hxxp://142[.]93[.]241[.]145:80/bins/yakuza[.]x86)
      3 Downloaded URL (hxxp://178[.]128[.]83[.]166:80/bins/mirai[.]x86)
      2 Downloaded URL (hxxp://80[.]211[.]83[.]93:80/bins/x86[.]nigger)
      2 Downloaded URL (hxxp://222[.]186[.]139[.]216:9960/chongfu[.]sh)
      2 Downloaded URL (hxxp://176[.]56[.]236[.]64/KEIJI[.]sh)

以上です。

※余談
現時点でブログにはアップしませんが、
ブログを立ち上げたときの「これからやりたいこと」の
マルウェア解析や攻撃手法の勉強にも力を入れてますので、
そのうちアップしていこうと思います。

sugitamuchi.hatenablog.com