ハニーポットの観測記録

ハニーポッターすぎたむちのぶろぐ

ハニーポット観察記録【9】

Cowrie運用28日目の簡易報告です。

「毎日更新しないのに日記っておかしくない?」と言われたので、
今回からタイトルを変えます。


直近7日分の集計結果を公開します。

ダッシュボードと集計結果

ダッシュボード
※集計期間:2018/09/01~2018/09/08
f:id:SugitaMuchi:20180908150928p:plain f:id:SugitaMuchi:20180908150936p:plain ※map(event),pie(country,city,ip),grahp(protocol)
※grahp(username,password)


■ログイン試行回数( username )
※集計期間:2018/09/01~2018/09/08
※ログ集計分
※上位10件

試行回数 username
5103 root
1928 admin
1807 default
51 support
48 guest
42 e8telnet
42 telecomadmin
37 telnet
33 telnetadmin
32 pi

■ログイン試行回数( password )
※集計期間:2018/09/01~2018/09/08
※ログ集計分
※上位10件

試行回数 password
859 default
573 (non pass)
516 admin
468 taZz@23495859
431 vizxv
348 zte
298 3ep5w2u
273 OxhlwSG8
242 admin123
235 Zte521

■ログイン試行回数( username / password )
※集計期間:2018/09/01~2018/09/08
※ログ集計分
※上位10件

試行回数 username / password
587 default / default
450 admin / admin
433 root / taZz@23495859
403 root / vizxv
345 root / zte
314 root / (non pass)
275 root / 3ep5w2u
250 default / OxhlwSG8
234 root / Zte521
229 admin / admin123

ダウンロードされたマルウェアについて


■ダウンロードされたファイル
※集計期間:2018/09/01~2018/09/08

全部で39種類となりました。

.shinka.x86: 39a625c3ce3cbc5e1ebbe64503a6ddc8d82228dded08c91810ff3aca1cc37f54: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
.shinka.x86: 707accda0fc852274c50ead7429c7f473a7bbb6f78eb638840445e8fe4bf07bf: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
.shinka.x86: 7806213af32e618bfe09d43f7f128b61ade79c819320353aa42934762b81fa90: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
.shinka.x86: 948e0c2e9b5aa95462cad38593cee83b750d6774bb3aedd27bba9d9f7983bca0: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
.shinka.x86: e9f6a0ae36aeb12e6fbbb3426467ed7696f8cc3d7d445432e5dacdf4065e6dd4: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
8UsA.sh: 3cb2c646f12e57ceadfa5de4587cceccf17ad33c51e6f0942d2f3f59d7798ed8: Bourne-Again shell script, ASCII text executable
Gai.x86: 87b50279a210256c5f0c997a92f525eb878ca54cf97ae9ff3b18c35189b42055: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
Gai.x86: e84840499eb99d49f881ddd1df70ef83141775e663e18e64b03ec2a49f48733e: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
gemini.x86: 33dbdfc373fb19891723842c468d8f3dc62f04573d63f3e9ebb9f7d2b93cb0bc: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
Josho.x86: 84c0e7d05cd17a7a354ba870598dd799715801db93a465de2f2923f4caae7203: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
Josho.x86: 8a33d0be8144a57b9d6ca32752ff369c2eab8eba68afc47af5c120b21c7790e3: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
Josho.x86: a0491d78346f99686491d4157673869df29593528e16ed7ff7af27a814c5dd55: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
Josho.x86: a8845f60705134da044737b675c835c71cb5227f74133badf5fcf7a2e3f4d216: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
VPNFilter.x86: 8a08c8d2b145b4eb8a56ecfea87c7f558180c66eccab816700cde5c82a1332d4: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
apep.x86: acf3d93bd1ab28ed4a7974fc87f65cf957b397e481c46774c67d99c56bb25a74: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
bins.sh: 4c5cb346ab0ea3e5f094f0ed3bd7fde3af0994b4fb4a6984b20f1effaafcf460: Bourne-Again shell script, ASCII text executable
bins.sh: 24f266c7d28904e4f4f96c8c7d4e0b967c06783d252b4e78e28bf59af1ceda5a: Bourne-Again shell script, ASCII text executable
bins.sh: 849adc063d2523057fb105cb35120d2ac2f7bc0b42530a4e474273396ff289b3: Bourne-Again shell script, ASCII text executable
bins.sh: a209c37c29be1568247c5114003e35d8dac0fe3e35ef7f46f2b33fc4c7cf3163: Bourne-Again shell script, ASCII text executable
hoderi.x86: 53c483d059220ec81d41f3b2263813ebf6fc2720a28b6015547a8357e6abda0e: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
hoderi.x86: 69f78b6fadf5b94e999d2193ee9484c8f02718d3976c84534441e37c112f6026: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
hoderi.x86: b72252f224177cdf05247d29ebd9072f39e0ed82e3be4894a817378a0def56a6: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
hoderi.x86: eff1d2c690a500e07652209ace62b954a34f84dc26ae3b9ce142bfecadb81586: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
kohan.x86: ca692867fefd1f353954a3eb7667fe6119291abac053dfb604dd63abcc9b4d89: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
lod.sh: 607502a5bb4f5c1e121a45d8a721927502f345c3aa04d3fbce731df9576d0368: Bourne-Again shell script, ASCII text executable
miori.x86: 12a4775fce7e59ce2a71e7f4de07debeba6e534e1c256870ca576cabbb35affd: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
miori.x86: 2973359b48031ff0583b485e12349900b0bcb453194ead51f562c49a7dce1fd4: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
miori.x86: 57f56d978b7cfc6ded5bce6740d72748e578e3a5daf8916614e3705ae971f899: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
miori.x86: 91d819b442cb665506bb66e25823a3e74ddc1c97788d83cc399e257179b8c1ae: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
otaku.x86: ae22a797e03158079ed0dd0248741aa34ca875cf1c21d5bc2998523e1b9aefa3: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
owari.x86: c351ba21a04fc032368e0790449496b4157bb075dfdb54de832a9efe48659b6f: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
owari.x86: d6648a36f55d6b8ffd034df7d04156d31411719ce9bc28e6d30c8427feacb397: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
shit.x86: b3d2917900f7f452e3a2383caee17a076842282e6336b230d368896e18075674: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
shit.x86: f96ac2a6c2c1a272224af7ecfca342b50949b8fa7cd6a247b261c1a5e778709f: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
sora.x86: 5b4305bcd8cfe35e9b5025db94122b9f2738833edca60feca11134661460b9f9: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
sora.x86: cc94f400d19dd0f6b70783c2c4590286de731809f6444778a82b73e9fc382ba5: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
ssh1.txt: 0d6da4db11d48df8e7f6036a16a4f8271e92a8450fe701fcb4473d23870c7a31: Perl script, ASCII text executable
x86.nigger: 5f5963bb7bf41ea73d9fe310d4f12a9f59d263f108c0454d47ddee04d1911e88: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
xxx.x86: 8dabbab958d08798520186106e5b6ead267ded0c619a6adaa1eb584f3b78f568: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped

■検出状況
※テーブルにハッシュ値が収まらないので、省略してます。

filename sha256 VirusTotal 備考
.shinka.x86 39a625c3ce... 検出率: 19 / 59 Mirai亜種
.shinka.x86 707accda0f... 検出率: 5 / 59 Mirai亜種
.shinka.x86 7806213af3... 検出率: 6 / 59 Mirai亜種
.shinka.x86 948e0c2e9b... 検出率: 20 / 59 Mirai亜種
.shinka.x86 e9f6a0ae36... 検出率: 15 / 58 Mirai亜種
8UsA.sh 3cb2c646f1... 該当なし
Gai.x86 87b50279a2... 検出率: 5 / 59 Mirai亜種
Gai.x86 e84840499e... 検出率: 9 / 59 Mirai亜種
gemini.x86 33dbdfc373... 検出率: 23 / 59 Mirai亜種
Josho.x86 84c0e7d05c... 検出率: 27 / 59 Mirai亜種
Josho.x86 8a33d0be81... 検出率: 26 / 59 Mirai亜種
Josho.x86 a0491d7834... 検出率: 26 / 59 Mirai亜種
Josho.x86 a8845f6070... 検出率: 18 / 59 Mirai亜種
VPNFilter.x86 8a08c8d2b1... 検出率: 22 / 59 Mirai亜種
apep.x86 acf3d93bd1... 検出率: 9 / 59 Mirai亜種 or Hajime
bins.sh 4c5cb346ab... 検出率: 22 / 59 Mirai亜種
bins.sh 24f266c7d2... 検出率: 22 / 58 Mirai亜種
bins.sh 849adc063d... 該当なし
bins.sh a209c37c29... 検出率: 23 / 59 Mirai亜種
hoderi.x86 53c483d059... 検出率: 18 / 58 Mirai亜種 or Hajime
hoderi.x86 69f78b6fad... 検出率: 21 / 59 Mirai亜種 or Hajime
hoderi.x86 b72252f224... 検出率: 9 / 59 Mirai亜種 or Hajime
hoderi.x86 eff1d2c690... 検出率: 18 / 58 Mirai亜種 or Hajime
kohan.x86 ca692867fe... 検出率: 25 / 59 Mirai亜種
lod.sh 607502a5bb... 検出率: 10 / 60 Downloader
miori.x86 12a4775fce... 検出率: 19 / 59 Mirai亜種
miori.x86 2973359b48... 検出率: 0 / 58
miori.x86 57f56d978b... 検出率: 13 / 57 Mirai亜種
miori.x86 91d819b442... 検出率: 18 / 59 Mirai亜種
otaku.x86 ae22a797e0... 検出率: 24 / 59 Mirai亜種
owari.x86 c351ba21a0... 検出率: 24 / 59 Mirai亜種
owari.x86 d6648a36f5... 検出率: 14 / 59 Mirai亜種 or Hajime
shit.x86 b3d2917900... 検出率: 17 / 58 Mirai亜種
shit.x86 f96ac2a6c2... 検出率: 15 / 59 Mirai亜種
sora.x86 5b4305bcd8... 検出率: 19 / 58 Mirai亜種
sora.x86 cc94f400d1... 検出率: 24 / 59 Mirai亜種
ssh1.txt 0d6da4db11... 検出率: 39 / 58 Backdoor
x86.nigger 5f5963bb7b... 検出率: 23 / 59 Mirai亜種
xxx.x86 8dabbab958... 検出率: 14 / 59 Mirai亜種

※以下がhitしなかったので、VirusTotalにファイルをアップロードしました。

■アップロード前

filename sha256 VirusTotal 備考
8UsA.sh 3cb2c646f1... 該当なし
bins.sh 849adc063d... 該当なし


■アップロード後

filename sha256 VirusTotal 備考
8UsA.sh 3cb2c646f1... 検出率: 3 / 57 Downloader
bins.sh 849adc063d... 検出率: 22 / 58 Mirai亜種/Downloader


相変らずMiralが多いなぁ~という印象。
あとは、Hajimeという検出名がついてるものがありましたが、
ベンダによってはMiraiの検出名がついてたりと、ちょっと曖昧。

Hajimeは善玉マルウェアとかって言われているようですが、
Miraiとして検出されて隔離や削除されてしまうんだろうなぁ・・・w


■ファイルのダウンロード元
※絶対に接続しないでください。

1028 Downloaded URL (hxxp://159[.]65[.]232[.]56:80/bins/hoderi[.]x86)
852 Downloaded URL (hxxp://217[.]61[.]6[.]155:80/gaybub/miori[.]x86)
519 Downloaded URL (hxxp://159[.]89[.]226[.]151:80/bins/VPNFilter[.]x86)
449 Downloaded URL (hxxp://217[.]61[.]6[.]155:80/Gai[.]x86)
218 Downloaded URL (hxxp://178[.]62[.]82[.]151:80/bins/hoho[.]x86)
205 Downloaded URL (hxxp://185[.]244[.]25[.]185:80/AB4g5/Josho[.]x86)
141 Downloaded URL (hxxp://185[.]244[.]25[.]176:80/bins/gemini[.]x86)
132 Downloaded URL (hxxp://76[.]74[.]170[.]223:80/shit/shit[.]x86)
131 Downloaded URL (hxxp://104[.]248[.]56[.]235:80/AB4g5/Josho[.]x86)
122 Downloaded URL (hxxps://www[.]youtube.com/watch?v=yThf6_QP1tE)
105 Downloaded URL (hxxp://165[.]227[.]166[.]33:80/AB4g5/Josho[.]x86)
99 Downloaded URL (hxxp://80[.]211[.]57[.]80:80/miori[.]x86)
74 Downloaded URL (hxxp://185[.]244[.]25[.]165:80/AB4g5/Josho[.]x86)
31 Downloaded URL (hxxp://80[.]211[.]112[.]216:80/gaybub/miori[.]x86)
29 Downloaded URL (hxxp://159[.]65[.]233[.]89:80/AB4g5/Josho[.]x86)
28 Downloaded URL (hxxp://81[.]4[.]100[.]22/KEIJI[.]sh)
25 Downloaded URL (hxxp://142[.]93[.]196[.]48/lod[.]sh)
23 Downloaded URL (hxxp://209[.]97[.]169[.]225:80/bins/[.]shinka[.]x86)
22 Downloaded URL (hxxp://199[.]19[.]225[.]131:80/bins/sora[.]x86)
20 Downloaded URL (hxxp://80[.]211[.]5[.]4:80/gaybub/miori[.]x86)
17 Downloaded URL (hxxp://185[.]10[.]68[.]213:80/bins/xxx[.]x86)
12 Downloaded URL (hxxp://209[.]141[.]42[.]153:80/bins/sora[.]x86)
10 Downloaded URL (hxxp://46[.]29[.]163[.]28:80/kohan[.]x86)
9 Downloaded URL (hxxp://138[.]197[.]74[.]100/bins[.]sh)
8 Downloaded URL (hxxp://185[.]244[.]25[.]150:80/bins/otaku[.]x86)
7 Downloaded URL (hxxp://185[.]10[.]68[.]213:80/bins/owari[.]x86)
7 Downloaded URL (hxxp://167[.]99[.]34[.]197:80/bins/x86[.]nigger)
6 Downloaded URL (hxxp://89[.]203[.]249[.]183:80/bins/owari[.]x86)
4 Downloaded URL (hxxp://195[.]22[.]126[.]16/ssh1[.]txt)
4 Downloaded URL (hxxp://178[.]128[.]24[.]113:80/bins/[.]shinka[.]x86)
3 Downloaded URL (hxxp://178[.]128[.]85[.]106:80/bins/[.]shinka[.]x86)
2 Downloaded URL (hxxp://217[.]147[.]172[.]120/bins[.]sh)
2 Downloaded URL (hxxp://217[.]147[.]172[.]120/8UsA[.]sh)
1 Downloaded URL (hxxp://google[.]com)
1 Downloaded URL (hxxp://89[.]34[.]237[.]125/bins[.]sh)
1 Downloaded URL (hxxp://178[.]128[.]249[.]30/bins[.]sh)
1 Downloaded URL (hxxp://168[.]235[.]82[.]212/bins[.]sh)

なんか変なの混じってますが。。エーックス(X)

今回は、こんな感じでした。
以上