ハニーポット観察日記(2019/03/17)
WOWHoneypot
ハニーポット「WOWHoneypot」で2019/03/17 (日) 00:00~23:59 UTC(運用73日目)に取得したログの簡易分析です。
JBoss JMXInvokerServletの探査、Oracle WebLogic Server関連のアクセス、管理者設定の探査を初めて観測しました。
また、59日ぶりにApache Struts2の脆弱性(CVE-2017-5638)を利用した攻撃を観測しました。
概況
- 集計期間 : 2019/03/17 (日) 00:00~23:59 UTC
- 総アクセス件数 : 24 件(前日比 -5 件)
- トップページへのアクセス : 16 件
- Apache Struts2の脆弱性(CVE-2017-5638)を利用した攻撃 : 3 件
- 管理者設定の探査(初観測) : 1 件
- JBoss JMXInvokerServletの探査(初観測) : 1 件
- Oracle WebLogic Server関連(初観測) : 3 件
- Oracle WebLogic Serverの探査 : 1 件
- Oracle WebLogic Serverの脆弱性(CVE-2017-10271)を利用した攻撃 : 1 件
- Oracle WebLogic Serverの脆弱性(CVE-2017-10271)を利用した攻撃で生成したファイルへのアクセス : 1 件
- ユニークIPアドレス件数 : 17 件 (前日比 -7 件)
- アクセス元の国数 : 14 カ国 (前日比 -4 カ国)
国別のアクセス件数
国別のアクセス件数は以下の通りです。
| 順位 | 国名 | 件数 | 前日の順位 | 前日の件数 | 件数差 | 備考 |
|---|---|---|---|---|---|---|
| 1. | Australia | 6 | - | 0 | +6 | - |
| 2. | Brazil | 4 | 3. | 3 | +1 | - |
| 3. | China | 3 | - | 0 | +3 | - |
| 4. | Estonia | 1 | 11. | 1 | +-0 | - |
| 5. | Republic of Moldova | 1 | - | 0 | +1 | - |
| 6. | Mexico | 1 | - | 0 | +1 | - |
| 7. | France | 1 | 14. | 1 | +-0 | - |
| 8. | Greece | 1 | - | 0 | +1 | - |
| 9. | India | 1 | - | 0 | +1 | - |
| 10. | Czechia | 1 | 15. | 1 | +-0 | - |
| 11. | Poland | 1 | 10. | 1 | +-0 | - |
| 12. | Sweden | 1 | - | 0 | +1 | - |
| 13. | Ukraine | 1 | 6. | 1 | +-0 | - |
| 14. | Japan | 1 | 13. | 1 | +-0 | - |
アクセス先
- JBoss JMXInvokerServletの探査を初めて観測しました。
- 件数は1件で、User-Agentは
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/0.3.154.9 Safari/525.19でした。 - 適切なレスポンスが返った場合、ここにあるような攻撃に繋がるのでしょうか?
- 件数は1件で、User-Agentは
- Oracle WebLogic Server関連のアクセスを初めて観測しました。
- 探査、脆弱性(CVE-2017-10271)を利用した攻撃、攻撃で生成したファイルへのアクセス(攻撃が成功したか否かの確認)がそれぞれ1件ずつありました。
- 一連の流れで使用されたUser-Agentは以下の通りです。攻撃者はフェーズごとにUser-Agentを使い分けていました。
- 探査
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/0.4.154.18 Safari/525.19
- 攻撃
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/0.2.151.0 Safari/525.19
- 攻撃結果確認
Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US) AppleWebKit/525.13 (KHTML, like Gecko) Chrome/0.2.149.27 Safari/525.13
- 探査
- 攻撃フェーズでunameコマンドの結果をファイルに保存し、攻撃結果確認フェーズでこのファイルにアクセスしていました。
- 管理者設定の探査を初めて観測しました。
- 件数は1件で、User-Agentは
python-requests/2.21.0でした。 - 探査の対象となったパスは以下の通りです。
- ///admin/config.php
- アクセス意図の判定はS-Owlさん(id:Sec-Owl)のこちらの記事を参考にしました。
- 件数は1件で、User-Agentは
- 2019/01/17以来、59日ぶりにApache Struts2の脆弱性(CVE-2017-5638)を利用した攻撃を観測しました。
- 件数は3件で、攻撃対象のパスは前回と同じでした。
- 3件全ての攻撃が1つのIPアドレスから行われました。
アクセス先一覧
アクセス先の一覧は以下の通りです。
| 順位 | 備考 | アクセス先 | 件数 | 前日の順位 | 前日の件数 | 件数差 |
|---|---|---|---|---|---|---|
| 1. | トップページへのアクセス | GET / HTTP/1.1 | 14 | 1. | 19 | -5 |
| 2. | トップページへのアクセス | GET / HTTP/1.0 | 2 | 2. | 2 | +-0 |
| 3. | Apache Struts2の脆弱性(CVE-2017-5638)を利用した攻撃 | GET /struts2-rest-showcase/orders.xhtml HTTP/1.1 | 1 | - | 0 | +1 |
| 4. | Apache Struts2の脆弱性(CVE-2017-5638)を利用した攻撃 | GET /index.action HTTP/1.1 | 1 | - | 0 | +1 |
| 5. | Apache Struts2の脆弱性(CVE-2017-5638)を利用した攻撃 | GET /index.do HTTP/1.1 | 1 | - | 0 | +1 |
| 6. | 管理者設定の探査 | GET ///admin/config.php HTTP/1.1 | 1 | - | 0 | +1 |
| 7. | JBoss JMXInvokerServletの探査(参照) | GET /invoker/JMXInvokerServlet HTTP/1.1 | 1 | - | 0 | +1 |
| 8. | Oracle WebLogic Serverの探査 | GET //wls-wsat/CoordinatorPortType HTTP/1.1 | 1 | - | 0 | +1 |
| 9. | Oracle WebLogic Serverの脆弱性(CVE-2017-10271)を利用した攻撃 | POST /wls-wsat/CoordinatorPortType HTTP/1.1 | 1 | - | 0 | +1 |
| 10. | 9.の攻撃で生成したファイルへのアクセス(攻撃が成功したか否かの確認) | GET /bea_wls_internal/ponies.txt HTTP/1.1 | 1 | - | 0 | +1 |
WOWHoneypotで取得したログの簡易分析は以上です。
