背景
定期的に大量アクセスが来る VNC アクセス。 最近、これを検知する Vnclowpot の検知件数が Cowrie よりも多くなっていた。 T-Pot にある Vnclowpot のログには John The Ripper 形式の VNC ハンドシェイクが記録されている。 前回と傾向に違いがあるか、Vnclowpot のログ(直近5日間)を解析してみた。
目次
解析結果
復元できたハッシュ値とパスワード
以前の記事と 同様 Cracker を使って vnclowpot.log からパスワードを復元した。 ハッシュ値で集計して件数が多かったもの上位30件を復元したところ、 29件のパスワード復元に成功した。
結果は以下の表の通り。前回とはだいぶ違う結果となった。 前回の順位を「#(2018/08/25)」に記載している。「n/a」はランキング外だったもの。
| # | #(2018/08/25) | Hash | Password | Count |
|---|---|---|---|---|
| 1 | 4 | D29F6E7F0456F8DED29F6E7F0456F8DE |
12345678 | 55 |
| 2 | n/a | 02D69B1FA973833F02D69B1FA973833F |
alexandr | 39 |
| 3 | n/a | 9E7A18F0EFEFB5E19E7A18F0EFEFB5E1 |
babygirl | 37 |
| 4 | 2 | D94BB74798A107C7D94BB74798A107C7 |
Password | 36 |
| 5 | n/a | 645138C9B5AEBAFD645138C9B5AEBAFD |
ihateyou | 34 |
| 6 | 3 | FF97502E9422F089FF97502E9422F089 |
password | 29 |
| 7 | n/a | 2C347FE13D0F1BF02C347FE13D0F1BF0 |
garfield | 29 |
| 8 | n/a | D7FB0D5C28FE3CCED7FB0D5C28FE3CCE |
Alexandr | 29 |
| 9 | n/a | AC253AC0891ACF84AC253AC0891ACF84 |
gangster | 26 |
| 10 | 8 | 3D237A19965ABE973D237A19965ABE97 |
123456 | 24 |
| 11 | 10 | DB6C002A7CCA479FDB6C002A7CCA479F |
1 | 23 |
| 12 | 16 | 6770889C612E9F276770889C612E9F27 |
1234 | 20 |
| 13 | 6 | 587029A8254FAA2B587029A8254FAA2B |
administ | 20 |
| 14 | n/a | F78A9CF20ECF699EF78A9CF20ECF699E |
gonzales | 18 |
| 15 | n/a | 86F16B896726564386F16B8967265643 |
goodluck | 18 |
| 16 | n/a | E858CA0DDCB6F265E858CA0DDCB6F265 |
handsome | 17 |
| 17 | n/a | B9C2499850FEAE8BB9C2499850FEAE8B |
goodgirl | 16 |
| 18 | n/a | 13EFE8633F2EFE0F13EFE8633F2EFE0F |
Jan-00 | 16 |
| 19 | n/a | CAB6C66B0E17D737CAB6C66B0E17D737 |
1234567 | 15 |
| 20 | n/a | 941F898D0171F768941F898D0171F768 |
hardcore | 15 |
| 21 | n/a | 6F7D1258959538FC6F7D1258959538FC |
godbless | 15 |
| 22 | n/a | CB593B6D3FEB63ADCB593B6D3FEB63AD |
1-Jan | 15 |
| 23 | 20 | 8BD03CDB308F55258BD03CDB308F5525 |
princess | 14 |
| 24 | n/a | 4980B356D467F16F4980B356D467F16F |
baseball | 14 |
| 25 | n/a | 9402A1586010BA349402A1586010BA34 |
isabella | 14 |
| 26 | n/a | EC7AA2777C38381EEC7AA2777C38381E |
hamilton | 14 |
| 27 | n/a | 9E7992E4FE82ED179E7992E4FE82ED17 |
godslove | 14 |
| 28 | 5 | E56458A7B0DC568AE56458A7B0DC568A |
P@ssw0rd | 14 |
| 29 | n/a | A84F414DC044E3A0A84F414DC044E3A0 |
janelle0 | 14 |
前回と比べると、30個のうち21個が前回の一覧には含まれていないパスワードだった、 一方、よくあるパスワードの代表「Password」や「12345678」などは共通していた。 「princess」も残っていた。 今回初めて得られたパスワードには名前や単語として意味のあるものが多い印象。
復元できなかったハッシュ値
復元できなかったハッシュ値は以下通り。
| Hash | Count |
|---|---|
7AB4A1ABB0F70DC67AB4A1ABB0F70DC6 |
20 |
