S-Owl

S(ecurity)Owl

ハニーポットのログ分析まとめ(2019年03月度)

2019年03月度のWOWHoneypotのログ分析まとめです。
※先月分: ハニーポットのログ分析まとめ(2019年02月度) - S-Owl


<前提>
以前はプライベートSOCで監視を行っており、自組織を狙ったものか広く一般を狙ったものかを区別したく、広く一般を狙った通信を監視する為に業務と同じくhttpの通信をハニーポットで観測していま、した。
今は目的については再検討中です。

なお、3月は観測地点を4地点に増やして観測を行いました。
ハニーポッター技術者交流会で話しましたが、ネットワーク(IPアドレス)の違いにより、観測可能なスキャンがどう違うか、というのを調査しようという思いです。
各サーバは以下の4種類になります。

呼称 種別 事業者 IP

稼働日

備考
A メイン IDCF 210.140.82.xxx 2018/6/5 ドメインあり
B サブ IDCF 210.152.87.xxx 2019/2/28  
C 次期 ABLE 150.66.13.xxx 2019/2/27 今後のハニポサバ
D 特殊 KAGOYA 133.18.169.xxx 2019/2/25 ハニポ用ではないが観測可

※IDCFは3月末を持って利用終了(個人利用不可の為)

 

■日次のアクセス数
1ヶ月間の総アクセス数:64,307件 (1台平均16,077件)  (前月:8,479件)

A: 13252 B: 19164 C: 22998 D:  8893

f:id:Sec-Owl:20190402235835p:plain

 ※各サーバのアクセス数の積み重ねグラフです。
3月後半にほぼすべてのサーバで件数が増加しています。
これまで日次で分析していたA(メイン機)では3月後半にはWordPressを狙った複数回の大量アクセスがありましたが、アクセス数が増加していたタイミングには他のサーバでもほぼ同じようにアクセス数が増加しています。

 

■特定パスに対するアクセスの変動
より流行が分かるように、いくつかの特徴的なアクセスの遷移を見てみます。

・パスにwpを含むアクセス(WordPress関連)
1ヶ月間の対象総アクセス数:21,964件 (1台平均5,491件) 

A: 6870 B: 7388 C: 6682 D:  1024

f:id:Sec-Owl:20190403000755p:plain
 主にWordPress関連の調査・攻撃で利用されるwpが含まれるパスを抜き出します。
 Dを除くサーバで同じタイミングでほぼ同じだけ増加しているのがわかります。
 なお、Dが増えていないのは、wpを模すような動作をしていない(HuntingRuleがない)ためと考えられます。

 

WordPressに関係しないphpのパスに対するアクセス(WebShell、phpMyAdmin

1ヶ月間の対象総アクセス数:24,275件 (1台平均6,068件) 

A: 2659 B: 7274 C: 7390 D:  6952

f:id:Sec-Owl:20190403001846p:plain
主にWebShellの調査やphpMyAdmin等のアクセスで、同じようにアクセス回数が増えることもあれば、ばらつきがあることもある、という状態です。
全体として一定量のアクセスがあるため、Web全体に対して行われているだろう、ということが推測できます。
A(メイン機)が少ないのはこれまでスキャンを多く受けており、調査済IPとして除外されている可能性が考えられます。
月末にDが多いのは、そのタイミングでWordPressではなかった為にいつものphpのスキャンが来たのかも知れません。その場合にはphpのスキャンとWordPressのスキャンのアクターが同一の可能性が高そうです。

 

  ■アクセスパス
1ヶ月間のメソッド+パスの種類は計1,026種類(Aのみ:694種類)(前月:627種類)でした。
アクセスパスから攻撃種別を分類し、種別毎のアクセス数を算出したリストのTop15は以下です。 

順位 種類 件数 A B C D
1 phpのWebShell設置の調査 17337 1892 10722 9902 5917
2 WordPressの調査 15900 4804 5421 4675 1000
3 WordPressのログイン試行攻撃 14466 4830 4950 4661 25
4 phpMyAdminの調査 7163 836 2044 2340 1943
5 Tomcat管理ページへのブルートフォース攻撃 6609 314 777 5438 80
6 WordPressXML-RPCに対する攻撃 596 201 197 198 0
7 不正中継の調査 292 44 89 104 55
8 クローリング 199 50 12 19 118
9 ThinkPHPの脆弱性を突いた攻撃 180 17 50 55 58
10 PHPWetherMapの調査 150 15 46 46 43
11 GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 136 77 56 3 0
12 Joomlaの調査 134 0 50 41 43
13 Apache Struts2脆弱性S2-045(CVE-2017-5638)を突く攻撃 103 60 23 9 11
14 WebDAVの調査 88 8 23 30 27
15 IPアドレスの調査 71 6 21 24 20


更に少しまとめて上位を出すと、以下のようになります。

f:id:Sec-Owl:20190404233216p:plain

WordPress、WebShell、phpMyAdminTomcatで9割以上です。
これはどれもgraneedさん作のBW-Potに入っているものですね。利用を検討です。

github.com

なお、アクセスパスのtop20は以下です。

順位 request 種類 SUM A B C D
1 GET /manager/html Tomcat管理ページへのブルートフォース攻撃 6609 314 777 5438 80
2 GET /wp-login.php WordPressの調査 4298 1273 1644 1305 76
3 POST /wp-login.php WordPressの調査 4202 1264 1643 1295 0
4 POST /xmlrpc.php WordPressのログイン試行攻撃 4127 1233 1613 1280 1
5 GET /wp/wp-login.php WordPressの調査 349 136 107 103 3
6 POST /wp/wp-login.php WordPressのログイン試行攻撃 340 134 105 101 0
7 GET /forum/wp-login.php WordPressの調査 329 112 105 108 4
8 GET /testblog/wp-login.php WordPressの調査 325 104 111 107 3
9 GET /myblog/wp-login.php WordPressの調査 324 108 105 108 3
10 GET /wp1/wp-login.php WordPressの調査 322 104 106 109 3
11 GET /teststite/wp-login.php WordPressの調査 321 104 107 107 3
12 GET /blog/wp-login.php WordPressの調査 320 110 104 101 5
13 GET /2017/wp-login.php WordPressの調査 320 108 105 104 3
14 GET /myforum/wp-login.php WordPressの調査 320 104 107 106 3
15 POST /forum/wp-login.php WordPressのログイン試行攻撃 318 108 103 107 0
16 GET /wordpress/wp-login.php WordPressの調査 318 105 105 104 4
17 GET /mysite/wp-login.php WordPressの調査 317 107 105 102 3
18 POST /myblog/wp-login.php WordPressのログイン試行攻撃 316 106 103 107 0
19 GET /news/wp-login.php WordPressの調査 316 105 102 106 3
20 POST /testblog/wp-login.php WordPressの調査 316 102 109 105 0

 

■送信元IP
送信元IPは1,819件(前月:955件)です。
アクセスがあったIPを地図にマッピングすると以下になります。

f:id:Sec-Owl:20190404231851p:plain

日本からも幾つかアクセスがありましたが、内容を確認したところ、WordPressの分散型ブルートフォース攻撃のアクセス元IPの1つという状態でした。

■まとめ
複数箇所に設置して分析することで、全体としては同じ傾向が見られることが確認できた。
しかし、設定等によって異なる動作を観測することも可能でした。その結果アクターの関連性についても考察する余地が増えました。

複数設置して観測することで、より分析するための情報が増えるため、価値はあると考えられます。

一旦、メインで使っていたサーバは使えなくなるため、乗り換えの為の新規サーバを立てましたが、同じ観測手法でなく、ハニーポットの種類を変えることや減った台数を更にまた増やす等も検討したいと思います。合わせて、分析の仕方、結果の出し方も検討したいと思います。


以上

ハニーポットのログ分析まとめ(2019年02月度)

2019年02月度のWOWHoneypotのログ分析まとめです。
※先月分: ハニーポットのログ分析まとめ(2019年01月度) - S-Owl


<前提>
以前はプライベートSOCで監視を行っており、自組織を狙ったものか広く一般を狙ったものかを区別したく、広く一般を狙った通信を監視する為に業務と同じくhttpの通信をハニーポットで観測していま、した。
今は目的については再検討中です。

■スペック
台数:1台
ソフトウェア:WOWHoneypot
対象ポート:80/tcp
設置IP:日本のIP
ドメイン:10月取得済、未公開
運用:2018/6/5から開始 

 

■日次のアクセス数
1ヶ月間の総アクセス数:8,479件 (前月:20,034件)

f:id:Sec-Owl:20190402224613p:plain

全体の件数は前月対比減っています。
 

■アクセスパス
1ヶ月間のメソッド+パスの種類は計627種類(前月:661種類)でした。
アクセスパスから攻撃種別を分類し、種別毎のアクセス数を算出したリストのTop10は以下です。(通常アクセス除く)

f:id:Sec-Owl:20190402231312p:plain

なお、アクセスパスのtop20は以下です。

順位 アクセス 種別 件数
1 GET / アクセス 849
2 GET /manager/html Tomcat管理ページへのブルートフォース攻撃 216
3 POST /1.php phpのWebShell設置の調査 89
4 POST /qq.php phpのWebShell設置の調査 80
5 POST /confg.php phpのWebShell設置の調査 76
6 POST /GponForm/diag_Form?style/ GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 65
7 POST /x.php phpのWebShell設置の調査 59
8 POST /q.php phpのWebShell設置の調査 55
9 POST /test.php phpのWebShell設置の調査 51
10 POST /xx.php phpのWebShell設置の調査 45
11 POST /conflg.php phpのWebShell設置の調査 44
12 GET /shell.php phpのWebShell設置の調査 44
13 GET /tools/phpMyAdmin/index.php phpMyAdminの調査 43
14 GET /robots.txt クローリング 43
15 GET /phpMyAdmin/phpMyAdmin/index.php phpMyAdminの調査 43
16 GET /cmd.php phpのWebShell設置の調査 43
17 GET /www/phpMyAdmin/index.php phpMyAdminの調査 42
18 GET /web/phpMyAdmin/index.php phpMyAdminの調査 42
19 GET /claroline/phpMyAdmin/index.php phpMyAdminの調査 42
20 POST /s.php phpのWebShell設置の調査 41

 

■送信元IP
送信元IPは955件(前月:1,173件)です。
アクセスがあったIPを地図にマッピングすると以下になります。

f:id:Sec-Owl:20190402224734p:plain

 

ドメイン名でのアクセス
10月から取得しているドメイン名に対してのアクセスです。取得はしていますが、特段公開等はしていないものです。

path 件数
/ 85
/robots.txt 36
/wp-login.php 4
/images/ 2
/ads.txt 1
/cms/wp-admin/ 1
/sitemap.xml 1

 

以上

ハニーポットのログ分析まとめ(2019年01月度)

2019年01月度のWOWHoneypotのログ分析まとめです。
※先月分:ハニーポットのログ分析まとめ(2018年12月度) - S-Owl


<前提>
以前はプライベートSOCで監視を行っており、自組織を狙ったものか広く一般を狙ったものかを区別したく、広く一般を狙った通信を監視する為に業務と同じくhttpの通信をハニーポットで観測していま、した。
今は目的については再検討中です。

■スペック
台数:1台
ソフトウェア:WOWHoneypot
対象ポート:80/tcp
設置IP:日本のIP
ドメイン:10月取得済、未公開
運用:2018/6/5から開始 

 

■日次のアクセス数
1ヶ月間の総アクセス数:20,034件 (前月:19,873件)

f:id:Sec-Owl:20190402133734p:plain

■アクセスパス
1ヶ月間のメソッド+パスの種類は計627種類(前月:661種類)でした。
アクセスパスから攻撃種別を分類し、種別毎のアクセス数を算出したリストのTop10は以下です。(通常アクセス除く)

f:id:Sec-Owl:20190223175453p:plain

なお、アクセスパスのtop20は以下です。

順位 種別 リクエス 件数
1 Tomcat管理ページへのブルートフォース攻撃 GET /manager/html 6019
2 アクセス GET / 832
3 GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 POST /GponForm/diag_Form?style/ 289
4 Apache Struts2脆弱性S2-045(CVE-2017-5638)を突く攻撃 GET /index.action 192
5 phpのWebShell設置の調査 POST /confg.php 134
6 phpのWebShell設置の調査 POST /qq.php 132
7 phpのWebShell設置の調査 POST /1.php 117
8 phpのWebShell設置の調査 POST /test.php 88
9 phpMyAdminの調査 GET /phpMyAdmin/phpMyAdmin/index.php 87
10 phpMyAdminの調査 GET /tools/phpMyAdmin/index.php 85
11 phpのWebShell設置の調査 POST /conflg.php 85
12 phpMyAdminの調査 GET /admin/phpMyAdmin/index.php 83
13 phpMyAdminの調査 GET /claroline/phpMyAdmin/index.php 82
14 phpのWebShell設置の調査 GET /cmd.php 82
15 phpMyAdminの調査 GET /phpMyAdmin/index.php 81
16 phpのWebShell設置の調査 GET /shell.php 81
17 phpのWebShell設置の調査 POST /q.php 79
18 phpMyAdminの調査 GET /web/phpMyAdmin/index.php 76
19 phpのWebShell設置の調査 POST /s.php 76
20 phpMyAdminの調査 GET /www/phpMyAdmin/index.php 73


■送信元IP
送信元IPは1173件(前月:1049件)です。
アクセスがあったIPを地図にマッピングすると以下になります。

f:id:Sec-Owl:20190402133758p:plain

このうち、日本にポイントされているものですが、GPONの脆弱性を調査するものだったため、ウイルス感染の可能性あり、としてISPのAbuse窓口宛に連絡しています。 

ドメイン名でのアクセス
10月から取得しているドメイン名に対してのアクセスです。取得はしていますが、特段公開等はしていないものです。
前月同様WordPress関連が多いです。

path 件数
/ 99
/robots.txt 36
/wordpress/wp-config.php~ 2
/wp-login.php 2
//wp-login.php 1
//xmlrpc.php 1
/?author=1 1
/ads.txt 1
/images/ 1
/joomla/ 1
/new/wp-admin/ 1
/site/wp-admin/ 1
/sitemap.xml 1
/temp/wp-admin/ 1