setodaNote

忘れる用のメモ書き for Cybersecurity

Vnclowpot のログ解析(2)

背景

定期的に大量アクセスが来る VNC アクセス。 最近、これを検知する Vnclowpot の検知件数が Cowrie よりも多くなっていた。 T-Pot にある Vnclowpot のログには John The Ripper 形式の VNC ハンドシェイクが記録されている。 前回と傾向に違いがあるか、Vnclowpot のログ(直近5日間)を解析してみた。

目次

解析結果

復元できたハッシュ値とパスワード

以前の記事と 同様 Cracker を使って vnclowpot.log からパスワードを復元した。 ハッシュ値で集計して件数が多かったもの上位30件を復元したところ、 29件のパスワード復元に成功した。

結果は以下の表の通り。前回とはだいぶ違う結果となった。 前回の順位を「#(2018/08/25)」に記載している。「n/a」はランキング外だったもの。

 

# #(2018/08/25) Hash Password Count
1 4 D29F6E7F0456F8DED29F6E7F0456F8DE 12345678 55
2 n/a 02D69B1FA973833F02D69B1FA973833F alexandr 39
3 n/a 9E7A18F0EFEFB5E19E7A18F0EFEFB5E1 babygirl 37
4 2 D94BB74798A107C7D94BB74798A107C7 Password 36
5 n/a 645138C9B5AEBAFD645138C9B5AEBAFD ihateyou 34
6 3 FF97502E9422F089FF97502E9422F089 password 29
7 n/a 2C347FE13D0F1BF02C347FE13D0F1BF0 garfield 29
8 n/a D7FB0D5C28FE3CCED7FB0D5C28FE3CCE Alexandr 29
9 n/a AC253AC0891ACF84AC253AC0891ACF84 gangster 26
10 8 3D237A19965ABE973D237A19965ABE97 123456 24
11 10 DB6C002A7CCA479FDB6C002A7CCA479F 1 23
12 16 6770889C612E9F276770889C612E9F27 1234 20
13 6 587029A8254FAA2B587029A8254FAA2B administ 20
14 n/a F78A9CF20ECF699EF78A9CF20ECF699E gonzales 18
15 n/a 86F16B896726564386F16B8967265643 goodluck 18
16 n/a E858CA0DDCB6F265E858CA0DDCB6F265 handsome 17
17 n/a B9C2499850FEAE8BB9C2499850FEAE8B goodgirl 16
18 n/a 13EFE8633F2EFE0F13EFE8633F2EFE0F Jan-00 16
19 n/a CAB6C66B0E17D737CAB6C66B0E17D737 1234567 15
20 n/a 941F898D0171F768941F898D0171F768 hardcore 15
21 n/a 6F7D1258959538FC6F7D1258959538FC godbless 15
22 n/a CB593B6D3FEB63ADCB593B6D3FEB63AD 1-Jan 15
23 20 8BD03CDB308F55258BD03CDB308F5525 princess 14
24 n/a 4980B356D467F16F4980B356D467F16F baseball 14
25 n/a 9402A1586010BA349402A1586010BA34 isabella 14
26 n/a EC7AA2777C38381EEC7AA2777C38381E hamilton 14
27 n/a 9E7992E4FE82ED179E7992E4FE82ED17 godslove 14
28 5 E56458A7B0DC568AE56458A7B0DC568A P@ssw0rd 14
29 n/a A84F414DC044E3A0A84F414DC044E3A0 janelle0 14

 

前回と比べると、30個のうち21個が前回の一覧には含まれていないパスワードだった、 一方、よくあるパスワードの代表「Password」や「12345678」などは共通していた。 「princess」も残っていた。 今回初めて得られたパスワードには名前や単語として意味のあるものが多い印象。

復元できなかったハッシュ値

復元できなかったハッシュ値は以下通り。

Hash Count
7AB4A1ABB0F70DC67AB4A1ABB0F70DC6 20

(参考)Cracker:Vnclowpot のパスワードを解析するプログラム

soji256.hatenablog.jp