Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。
countryを日本にすると816件
日本の条件を外すと9179件
2,387 United States
816 Japan
604 Germany
547 France
522 United Kingdom
400 China
374 Taiwan
366 Spain
261 Netherlands
254 South Korea
241 Hong Kong
208 Canada
179 Singapore
162 Finland
161 Belgium
158 Sweden
145 India
138 Israel
118 Switzerland
117 Australia#censys
#RainForest
kr:nsでBlackIPと判定されたIPアドレスに対してcensysでopen port情報を収集してみた。
#OSINT
#censys
#RainForest
#kr:ns
ハニーポットの観測網に飛んできたパケットから悪質と思われるIPアドレスをcensys searchにかけてopen portの情報を収集して件数をグラフ化してみた。
#OSINT
#censys
#kr:ns
#RainForest
運用しているハニーポットに侵入してきたり、マルウエダウンロドサイトだったり、Miraiの特徴があるIPアドレスをcensys searchでopen portを収集して、クローラでsnapshotを取得したらこんな画面が沢山収集できました。webで公開する準備してま〜す。
#osint
#censys
#kr:ns
#RainForest
久々の投稿です。
censys searchを利用して国内のCisco IOS-XEを検索して見つかったIPに対してgitにあったコードを参考にfull PoCではないですが、HTTPの応答を見てCVEの可能性のあるIP数を出してみた。
2023/10/20 : 334 ip
ハニーポットへの通信でmiraiと判定されたものとExploitと判定されたIPをshodanのDBに突合したみた。shodanにIPが全体的に少ない感じですが、下記のような件数になりました。
num:shodanにIPが存在した数
CVE:CVEの情報が存在した数
open:ポートが開いている数に対するIP数
kr:nsで悪質と判定されたIPをSpiderFootに登録して公開しました。
https://spiderfoot.rainforest-cs.jp/
まだ運用フェーズではないのでが、お試しレベルです。
動的解析で得られたscan情報を元にclwit様のdarknetデータやハニーなどへのlive通信を評価して実際にscanが行われる対象portのデータを抽出するAPIを追加しました。この情報を元に開いてるportをチェックするなどやってみようと思います。
以前BlogにUPした以下のマルウエアがスキャンを行うportの組み合わせを
https://api.krns.jp/sandbox/scan_daily
IDS(Suricata)で検知したDNS通信の内容
https://api.krns.jp/sandbox/domain_malware
マルウエアが行うスキャンポートの組み合わせグラフにBUGがあり、修正しました。
また、単位1のポートは削除し複数のスキャンのみ表示するようにしました。
https://api.krns.jp/sandbox/scan_daily
API更新
マルウエアのスキャン対象PORT取得APIを追加しました。
https://api.krns.jp/doc/schema/swagger-ui/#/api/%2Fapi%2Fintelligence%2Fmalware_scan_2
