ハニーポットのログ分析まとめ(2019年03月度)
2019年03月度のWOWHoneypotのログ分析まとめです。
※先月分: ハニーポットのログ分析まとめ(2019年02月度) - S-Owl
<前提>
以前はプライベートSOCで監視を行っており、自組織を狙ったものか広く一般を狙ったものかを区別したく、広く一般を狙った通信を監視する為に業務と同じくhttpの通信をハニーポットで観測していま、した。
今は目的については再検討中です。
なお、3月は観測地点を4地点に増やして観測を行いました。
ハニーポッター技術者交流会で話しましたが、ネットワーク(IPアドレス)の違いにより、観測可能なスキャンがどう違うか、というのを調査しようという思いです。
各サーバは以下の4種類になります。
| 呼称 | 種別 | 事業者 | IP |
稼働日 |
備考 |
| A | メイン | IDCF | 210.140.82.xxx | 2018/6/5 | ドメインあり |
| B | サブ | IDCF | 210.152.87.xxx | 2019/2/28 | |
| C | 次期 | ABLE | 150.66.13.xxx | 2019/2/27 | 今後のハニポサバ |
| D | 特殊 | KAGOYA | 133.18.169.xxx | 2019/2/25 | ハニポ用ではないが観測可 |
※IDCFは3月末を持って利用終了(個人利用不可の為)
■日次のアクセス数
1ヶ月間の総アクセス数:64,307件 (1台平均16,077件) (前月:8,479件)
| A: 13252 | B: 19164 | C: 22998 | D: 8893 |
※各サーバのアクセス数の積み重ねグラフです。
3月後半にほぼすべてのサーバで件数が増加しています。
これまで日次で分析していたA(メイン機)では3月後半にはWordPressを狙った複数回の大量アクセスがありましたが、アクセス数が増加していたタイミングには他のサーバでもほぼ同じようにアクセス数が増加しています。
■特定パスに対するアクセスの変動
より流行が分かるように、いくつかの特徴的なアクセスの遷移を見てみます。
・パスにwpを含むアクセス(WordPress関連)
1ヶ月間の対象総アクセス数:21,964件 (1台平均5,491件)
| A: 6870 | B: 7388 | C: 6682 | D: 1024 |
主にWordPress関連の調査・攻撃で利用されるwpが含まれるパスを抜き出します。
Dを除くサーバで同じタイミングでほぼ同じだけ増加しているのがわかります。
なお、Dが増えていないのは、wpを模すような動作をしていない(HuntingRuleがない)ためと考えられます。
・WordPressに関係しないphpのパスに対するアクセス(WebShell、phpMyAdmin)
1ヶ月間の対象総アクセス数:24,275件 (1台平均6,068件)
| A: 2659 | B: 7274 | C: 7390 | D: 6952 |
主にWebShellの調査やphpMyAdmin等のアクセスで、同じようにアクセス回数が増えることもあれば、ばらつきがあることもある、という状態です。
全体として一定量のアクセスがあるため、Web全体に対して行われているだろう、ということが推測できます。
A(メイン機)が少ないのはこれまでスキャンを多く受けており、調査済IPとして除外されている可能性が考えられます。
月末にDが多いのは、そのタイミングでWordPressではなかった為にいつものphpのスキャンが来たのかも知れません。その場合にはphpのスキャンとWordPressのスキャンのアクターが同一の可能性が高そうです。
■アクセスパス
1ヶ月間のメソッド+パスの種類は計1,026種類(Aのみ:694種類)(前月:627種類)でした。
アクセスパスから攻撃種別を分類し、種別毎のアクセス数を算出したリストのTop15は以下です。
| 順位 | 種類 | 件数 | A | B | C | D |
| 1 | phpのWebShell設置の調査 | 17337 | 1892 | 10722 | 9902 | 5917 |
| 2 | WordPressの調査 | 15900 | 4804 | 5421 | 4675 | 1000 |
| 3 | WordPressのログイン試行攻撃 | 14466 | 4830 | 4950 | 4661 | 25 |
| 4 | phpMyAdminの調査 | 7163 | 836 | 2044 | 2340 | 1943 |
| 5 | Tomcat管理ページへのブルートフォース攻撃 | 6609 | 314 | 777 | 5438 | 80 |
| 6 | WordPressのXML-RPCに対する攻撃 | 596 | 201 | 197 | 198 | 0 |
| 7 | 不正中継の調査 | 292 | 44 | 89 | 104 | 55 |
| 8 | クローリング | 199 | 50 | 12 | 19 | 118 |
| 9 | ThinkPHPの脆弱性を突いた攻撃 | 180 | 17 | 50 | 55 | 58 |
| 10 | PHPWetherMapの調査 | 150 | 15 | 46 | 46 | 43 |
| 11 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | 136 | 77 | 56 | 3 | 0 |
| 12 | Joomlaの調査 | 134 | 0 | 50 | 41 | 43 |
| 13 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | 103 | 60 | 23 | 9 | 11 |
| 14 | WebDAVの調査 | 88 | 8 | 23 | 30 | 27 |
| 15 | IPアドレスの調査 | 71 | 6 | 21 | 24 | 20 |
更に少しまとめて上位を出すと、以下のようになります。
WordPress、WebShell、phpMyAdmin、Tomcatで9割以上です。
これはどれもgraneedさん作のBW-Potに入っているものですね。利用を検討です。
なお、アクセスパスのtop20は以下です。
| 順位 | request | 種類 | SUM | A | B | C | D |
| 1 | GET /manager/html | Tomcat管理ページへのブルートフォース攻撃 | 6609 | 314 | 777 | 5438 | 80 |
| 2 | GET /wp-login.php | WordPressの調査 | 4298 | 1273 | 1644 | 1305 | 76 |
| 3 | POST /wp-login.php | WordPressの調査 | 4202 | 1264 | 1643 | 1295 | 0 |
| 4 | POST /xmlrpc.php | WordPressのログイン試行攻撃 | 4127 | 1233 | 1613 | 1280 | 1 |
| 5 | GET /wp/wp-login.php | WordPressの調査 | 349 | 136 | 107 | 103 | 3 |
| 6 | POST /wp/wp-login.php | WordPressのログイン試行攻撃 | 340 | 134 | 105 | 101 | 0 |
| 7 | GET /forum/wp-login.php | WordPressの調査 | 329 | 112 | 105 | 108 | 4 |
| 8 | GET /testblog/wp-login.php | WordPressの調査 | 325 | 104 | 111 | 107 | 3 |
| 9 | GET /myblog/wp-login.php | WordPressの調査 | 324 | 108 | 105 | 108 | 3 |
| 10 | GET /wp1/wp-login.php | WordPressの調査 | 322 | 104 | 106 | 109 | 3 |
| 11 | GET /teststite/wp-login.php | WordPressの調査 | 321 | 104 | 107 | 107 | 3 |
| 12 | GET /blog/wp-login.php | WordPressの調査 | 320 | 110 | 104 | 101 | 5 |
| 13 | GET /2017/wp-login.php | WordPressの調査 | 320 | 108 | 105 | 104 | 3 |
| 14 | GET /myforum/wp-login.php | WordPressの調査 | 320 | 104 | 107 | 106 | 3 |
| 15 | POST /forum/wp-login.php | WordPressのログイン試行攻撃 | 318 | 108 | 103 | 107 | 0 |
| 16 | GET /wordpress/wp-login.php | WordPressの調査 | 318 | 105 | 105 | 104 | 4 |
| 17 | GET /mysite/wp-login.php | WordPressの調査 | 317 | 107 | 105 | 102 | 3 |
| 18 | POST /myblog/wp-login.php | WordPressのログイン試行攻撃 | 316 | 106 | 103 | 107 | 0 |
| 19 | GET /news/wp-login.php | WordPressの調査 | 316 | 105 | 102 | 106 | 3 |
| 20 | POST /testblog/wp-login.php | WordPressの調査 | 316 | 102 | 109 | 105 | 0 |
■送信元IP
送信元IPは1,819件(前月:955件)です。
アクセスがあったIPを地図にマッピングすると以下になります。
日本からも幾つかアクセスがありましたが、内容を確認したところ、WordPressの分散型ブルートフォース攻撃のアクセス元IPの1つという状態でした。
■まとめ
複数箇所に設置して分析することで、全体としては同じ傾向が見られることが確認できた。
しかし、設定等によって異なる動作を観測することも可能でした。その結果アクターの関連性についても考察する余地が増えました。
複数設置して観測することで、より分析するための情報が増えるため、価値はあると考えられます。
一旦、メインで使っていたサーバは使えなくなるため、乗り換えの為の新規サーバを立てましたが、同じ観測手法でなく、ハニーポットの種類を変えることや減った台数を更にまた増やす等も検討したいと思います。合わせて、分析の仕方、結果の出し方も検討したいと思います。
以上
