www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポット観察記録(37)「WebShellの探索」

どうも。ハニーポッターの森久です。

今回は、前回と同様に WebShell に関する記事です。
自作のハニーポットである WOWHoneypot で、個人的にハイエナ手法と呼んでいる攻撃を検知しました。
この攻撃は誰かが設置した WebShell に対するコマンド実行の試みです。それでは紹介します。

 

攻撃リクエストサンプル

※一部の情報を意図的に伏せています。また見やすさのために、URL エンコードされていた部分をデコードしています。

POST メソッドで、/wp-content/plugins/ のパスにある php ファイルへアクセスしています。
このパスは、CMS の1つである WordPress のプラグインに関するものです。

通常、このパスに続いて「/crayon-syntax-highlighter/」のようなインストールしているプラグイン名を指定します。
しかし今回はプラグイン名ではなく、ファイルが指定されています。そのため特定のプラグインに対する通信ではないことがわかります。

POST のデータ部分を分析してみます。
パラメータ名は ice で、値はdie()関数です。この関数は、現在のプログラムを終了する機能を持ち、引数に文字列が指定されている場合は、その文字列を表示して終了します。

今回、引数には「pi()*42」が指定されています。pi()関数は、円周率の近似値を返します。

また*は掛け算を意味するので、表示する文字列は円周率(3.1415926535898)に42を乗じた結果です。
検証環境で下記内容の php ファイルを作成して、ブラウザでアクセスしてみます。

円周率の掛け算結果

一応、bc コマンドで検算してみます。

% echo “3.1415926535898*42” | bc
131.9468914507716

計算結果は合っていますね。

以上を踏まえるとアクセスのあった fAaWBH.php ファイルは、おそらく ice パラメータに php のプログラムを指定すると実行することができる機能を備えた WebShell であると想定できます。

さて、攻撃者は何がしたかったのでしょうか。円周率の計算が目的の可能性は限りなく低いと思います。

なお今回の攻撃は、別々の IP アドレスから何度かアクセスがありました。しかしながら fAaWBH.php ファイルを作成するような脆弱性を突いた攻撃はありませんでした。

そのためおそらく他の攻撃者が作成した WebShell にアクセスしている可能性があります。また計算結果は不変なので、仮にアクセスした応答内容に計算結果が含まれていた場合は WebShell が存在していることを知ることができます。

ハニーポットのログだけでなく、一般的な Web サーバでも起こり得るのですが、こういった WebShell へのアクセスは、他の攻撃者が作成しているであろうファイルに対して発生することがあります。
つまり WebShell を作成されてしまうと最初の攻撃者だけでなく、第二、第三の攻撃者に悪用されてしまうリスクがあります。

WebShell は、不正なプログラムとしてアンチウイルスソフトで検出されることができる場合があるので、Web サーバの公開ディレクトリに置いてあるファイルは、定期的にウイルススキャンをすることを推奨します。


告知

今回の記事では WebShell の1つを紹介しました。ハニーポットを運用していると、WebShell はいろいろな種類を見ることができます。

そこで私の経験や調査結果などをふまえて、WebShell だけを取り上げた同人誌「WebShell 図譜」を作成しました。

内容は、WebShell の機能を分類して解説したり、WebShell そのものをスクリーンショットとともに見るデジタル標本、さらにはハニーポッター向けの WebShell 解析のテクニックなどをまとめました。

WebShell 図譜は、次回のコミックマーケット93の1日目(12月29日)東3ホール キ-45bにて頒布します。こちらのページで紹介していますので、よろしければどうぞ。

Written by 森久

12月 22nd, 2017 at 3:29 am