허니팟(honeypot), Spring4Shell 공론에 따라 하루 이후에 보는 것

IOC:
198.54.128.102
185.220.101.47
185.220.101.63
185.170.114.25
23.129.64.136
45.153.160.132
85.204.116.204
23.129.64.142
199.249.230.87
167.71.238.228
185.34.33.2
62.102.148.69
http://107.174.133.167/gmips
185.246.188.95
cca63413e3ca6b834b6a4446768c5ccb
85.93.218.204
209.141.55.26
23.128.248.50
193.31.24.154
45.32.251.86
74.82.47.194
46.175.146.159
185.220.101.51
185.36.81.95
185.220.101.32
dcc157b2c284ac676000d64dd33f3ec4
185.220.100.244
81.17.18.62
185.220.100.252
23.129.64.147
211.20.42.23
119.86.148.176
204.8.156.142
209.141.57.178
178.17.170.135
104.244.77.101
23.129.64.143
159.223.73.101
209.141.46.81
23.129.64.216
109.70.100.31
198.98.57.207
185.220.101.35
185.220.100.240
185.220.100.248
185.220.101.60
23.128.248.28
185.220.102.240
188.68.58.0
185.220.101.39
143.198.131.158
185.38.175.130
141.164.43.95
205.185.124.178
23.129.64.211
23.128.248.10
185.220.100.246
http://35456.4vcrkb.dnslog.cn/1.jpg
195.176.3.19
23.239.21.195
23.128.248.24
23.128.248.44
209.141.58.146
185.220.101.48
185.83.214.69
100674f1e3ecfb6fa244de4ba7fd2ae2
185.220.101.22
23.128.248.15
b1124c862998bc4ab3ff8b1d471310a6
23.128.248.61
23.129.64.145
198.144.121.43
23.129.64.210
209.141.45.189
23.129.64.217
178.20.55.18
185.220.102.254
185.220.100.249
185.56.80.65
103.27.108.196
213.164.204.146
185.100.86.128
146.19.174.33
23.128.248.65
5.2.69.50
185.220.100.250
91.250.242.12
1.85.220.54
209.141.46.203
103.253.41.98
109.70.100.19
185.220.100.247
185.220.101.62
185.220.101.56
185.220.102.249
185.220.101.61
45.154.255.147
193.218.118.183
45.153.160.136
104.244.76.13
23.128.248.58
http://107.174.133.167/garm6
81.17.18.59
185.220.101.53
182.255.45.211
46.166.139.111
23.128.248.12
162.247.74.7
23.129.64.132
23.128.248.42
23.129.64.214
185.220.101.55
194.233.77.245
9c14d670a48bba4b7c047a01d417f8f2
185.220.102.245
198.98.51.189
23.128.248.51
104.244.76.170
210.217.18.88
209.141.60.19
185.107.47.171
23.128.248.23
fb63e9a23dbf4124116471fcf3254283
23.128.248.21
23.128.248.27
http://107.174.133.167/t.sh
23.128.248.25
23.129.64.131
185.254.75.32
3.239.1.141
164.92.65.110
109.70.100.82
23.128.248.17
66.220.242.222
45.15.16.105
23.128.248.14
209.141.54.195
51.77.52.216
23.128.248.22
23.128.248.60
199.195.248.29
e1190f07a6da91caaa317affc9512caa
45.154.255.139
87.120.37.231
fd839753ca4d89c0ccd229b12f95827c
14.0.170.249
103.42.196.135
111.252.198.28
23.129.64.219
329155ab45e244661a7725d81dfad740
23.128.248.16
185.220.101.6
15.185.213.122
400590515f0f1cf942fe734126be94e7
23.128.248.40
64.113.32.29
91.211.89.207
146.59.233.33
103.42.196.203
185.226.67.169
23.129.64.148
185.220.101.50
185.220.101.42
23.128.248.13
45.154.255.138
23.129.64.138
4bcd19351697d04fb357ce5b36600207
23.129.64.139
185.100.87.133
23.128.248.11
23.129.64.213
23.128.248.57
23.128.248.59
23.129.64.141
23.128.248.54
185.220.101.45
185.163.119.0
185.165.171.40
142.4.206.84
23.154.177.6
166.70.207.2
171.25.193.20
195.176.3.23
89.163.131.160
185.220.101.33
92.246.84.133
185.112.147.12
185.220.100.242
23.129.64.137
103.140.186.68
104.244.76.44
185.220.101.40
23.128.248.38
103.140.186.72
http://15.185.213.122:65123/java
23.128.248.56
89.58.27.84
185.107.70.56
23.128.248.43
185.220.101.58
91.132.147.168
23.128.248.33
23.129.64.133
178.17.174.14
37.187.18.212
23.128.248.19
171.25.193.77
112.169.175.24
185.105.90.134
185.220.100.241
27.102.106.117
185.220.100.255
185.165.171.84
60.248.106.229
193.110.95.34
23.129.64.135
172.107.241.110
101.37.159.147
112.36.205.252
144.172.73.66
45.136.15.239
185.100.87.202
23.129.64.130
23.129.64.140
23.128.248.29
91.211.89.43
http://107.174.133.167/garm
185.220.101.43
94.140.114.210
c08fec5682085417b0a039bdf47c38f2
97a7a357b8290a7236a5fbf45f17569f
185.243.218.27
http://15.185.213.122:65123/javac
178.17.171.102
23.128.248.48
193.218.118.95
7621f1a5e8db18f3ae30031122c9c397
212.107.30.157
203.175.13.118
185.129.62.62
193.218.118.231
23.154.177.7
46.232.251.191
23.129.64.250
http://107.174.133.167/gmpsl
7d244e7bf48d6631b588cecae87e759d
23.128.248.20
185.220.101.59
103.140.186.73
209.141.41.103
144.217.86.109
be3f78b59fa14140b6cc8633bf705a75
185.220.101.54
185.220.103.7
http://111.4vcrkb.dnslog.cn/1.jpg
http://107
185.100.87.41
185.220.101.46
164.132.9.199
185.220.101.57
109.70.100.84
23.128.248.39
23.129.64.146
185.247.226.98
217.138.199.93
91.149.225.172
185.100.87.174
185.220.100.254
103.108.193.24
151.80.148.159
185.38.175.131
104.244.72.115
194.31.98.186
168.62.22.238
185.220.101.49
62.102.148.68
http://107.174.133.167/gx86
23.129.64.149
172.104.140.107
185.220.101.52
107.174.133.167
171.25.193.78
103.214.146.5
205.185.117.149
37.187.96.183
45.128.133.242
netlab@360.cn
23.129.64.218
199.195.254.81
185.220.101.41
23.128.248.41
185.220.100.243
23.129.64.134
167.99.76.46
58.240.81.135
23.128.248.53
eba95249cf0a51e300d7b6029cf7088e
http://15.185.213.122:65123
111.252.183.41
23.128.248.46
128.31.0.13
611630a580e33017be32de8c72625489
112.5.154.7
185.220.101.44
http://107.174.133.167/garm5
185.174.101.214
http://12121.4vcrkb.dnslog.cn/1.jpg
45.78.48.51
185.220.100.253
45.153.160.2
185.107.47.215
185.220.101.38
43.242.116.54
185.82.126.13
58.82.211.226
175.178.154.77
93.174.89.132
a8a36132632366c7f65066b23d6f7e4f
23.128.248.34
185.220.101.34
93.95.226.212
23.128.248.63
171.25.193.25
107.189.5.249
89.163.131.159
185.220.100.251
45.33.101.246
124.222.23.106
172.245.89.109
91.211.89.107
172.104.93.152
185.220.100.245
93.179.115.27
144.202.116.138
http://107.174.133.167/gi686
193.111.199.64
213.61.215.54
http://107.174.133.167/garm7
23.128.248.64
185.220.101.36
23.129.64.215
45.129.56.200
23.129.64.212
650152a2fe78dfceceb4d1a1fdeaccb8
172.104.159.48
185.220.101.37
209.141.44.64
51.15.76.60
192.42.116.23
185.100.86.74
23.128.248.55
43.128.201.239
109.201.133.100
45.61.186.160
23.128.248.62

요약:
스프링이 스프링4Shell의 취약점에 대한 보안 어드바이저를 발표한 하루 미만의 시간 동안 360 Netlab의 위협 사냥 꿀물 시스템은 이 정확한 취약점과 관련된 활동을 캡쳐했다. 데이터는 미국, 네덜란드, 독일과 중국 등 여러 나라에서 스캔하는 것을 보여주며, 상위 10개는 미국, 네덜란드, 독일과 중국이었다. 꿀물도 웹셸과 테스트 파일 업로드 동작, 다양한 공격과 "echo ddfdsfasdfasd", "ls", "cat /etc/passwd" 및 "curl" 등의 명령어를 보았다.

내용:
Darwin/9.8.0
dir
dir%20/
dir%20C%3A
dir%20c%3A%5Cwindows
echo+222
echo+548778
echo+88888
echo+adadf
echo+adfas
etc. 360 Netlab 블로그 - 360의 네트워크 보안 연구소
—
스프링4셸(Spring4Shell) 어드바이저를 발표한 날부터 우리의 해놀팟 시스템이 이 보안 취약점과 관련된 활동을 모니터링하고 있었습니다. 3월 30일 이후, 각종 웹 쉘(webshell) 스캐닝들이 늘고 있으며, 오늘 발표 날보다 하루 이내인 2022년 4월 1일 11:33:09 (GMT+8)에는 미라이(Mirai)라는 변형 봇넷(botnet)이 이 취약점을 도입한 최초의 것으로 경쟁을 끝냈습니다.스프링4셸(Spring4Shell) 자체 유포(wild propagation)
우리의 해놀팟 시스템은 스프링4셸 취약점(CVE-2022-22965)과 관련된 스캐너 IP 주소로부터의 스캔을 시작했습니다. 아래의 그림은 이 시점까지 우리가 본 그래픽 분포를 나타냅니다. Top 10 카운트리 통계
미국 92
네덜란드 49
독일 30
중국 21
프랑스 6
룩셈부르크 6
스웨덴 6
스위스 5
우크라이나 5
오스트리아 4우리는 다양한 웹 쉘과 테스트 파일 업로드 동작들을 일찍부터 메니톡하고 있었고, 아래의 파일 정보를 볼 수 있습니다.
또한 우리가 이미 관찰한 몇 가지 익스플로잇 목록은 다음과 같습니다......

Open New Windows

우리의 꿀벌이 봄4Shell 공론에 따라 하루 이후에 보는 것:
https://blog.netlab.360.com/what-our-honeypot-sees-just-one-day-after-the-spring4shell-advisory-en/