おふとん

IT全般、セキュリティとかCTFとかに偏りがち

S2-057(CVE-2018-11776)の調査通信で特徴的だったもの

左から日時、送信元、送信先(黒塗り)、リクエスト...の形式です。
WOWHoneypotなので最後にデコードしたログへのリンクやら。
ハニーポットは影響範囲の広い脆弱性が出ない場合は同じようなログが続いてしまうため
このIPからは以前はどのような攻撃が来ているかなど視点を変えてみたいので試行錯誤中。

今回は2つのログに着目しました。どちらもS2-057関係のログだと思われます。

[ログ1]

f:id:yu_sh38:20180826012956j:plain

[ログ2]

f:id:yu_sh38:20180826011526j:plain

まずログ1のような通信は同様のものが何件も来ました。
よって出回っている単純なツールだと思っていたのですがログ2では複数IPから行われています。

これを見て単純なツールではないと判断したのですがIPどうなってるんですか...

Project Honey Potさん曰く、ここら辺のIP群は調査通信のみで害はないのだと
このIP群でスキャンをかけて他のIPから攻撃を行っているようにも見えますが...
https://www.projecthoneypot.org/ip_42.236.10.106

送信元IPアドレスで時系列でログを管理するのは小規模な攻撃者に対しては有効ですが
頻繁にIPを変えたり、スキャンと攻撃を違うIPで行う場合などは実態が見えづらいです。

実際今回ハニーポットにS2-057(CVE-2018-11776)の${1+1}などではなく任意コード実行を仕掛けて来たのは今までアクセスのなかったIPアドレスでした。

こんな時こそ機械学習で上手い感じに関連のあるIPアドレスクラスタリング出来たらかっこいいですね。
似たような研究はありそうですし、解析環境については休日に色んな方面からもう少し詰めたいです。

色んな方のログの管理方法、分析方法聞いてみたい