ハニーで取れたELFファイルのfile hashでSTIX作ってみた。
pythonのライブラリ使ったのでフォーマットは問題ないと思うけど、
hashの部分の記述はこれであってるんだっけ?
kouichirou_okada@rainforest.tokyo
2021年11月22日月曜日
ハニー #2
ハニー観測始めました。
侵入に利用されたと思われるポート番号のグラフです。
Y軸がポート番号です、グラフはエクセルで作ったのですが、エクセルの使い方がわからず
件数のボリュームを表現することが難しく、ちょっと残念なグラフです。
アビバに通う必要ありでしょうか?
kouichirou_okada@rainforest.tokyo
2021年11月21日日曜日
動的解析 #4
横浜国大様から提供していただいたDatasetなどを利用して動的解析結果蓄積中です
横浜国大様Dataset URL : https://sec.ynu.codes/iot/
2021年11月17日水曜日
動的解析 #3 性能評価
6a4465285a08964ea6c553a559cdebbce9df4ecb90813f6f00b7484a7e9a0018
比較的新しいと思われる検体VTには First Submission 2021-11-10 09:51:20 となっている。我々はmalwshareから検体を入手
VirusTotalの動的解析の結果を見るとファイルアクセスが下記のレポートとなっている。
我々のSandBoxのDFIR的なアプローチで収集された結果を見ると下記のようになっている。
usr/bin/pythnoとusr/bin/bsd-port/knerlはhashが検体と同じなので自分自身のコピー
usr/bin/dpkgd/netstat
ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=4be6b622bcea7aea37af4f623f503654fa923e36, for GNU/Linux 3.2.0, stripped
解析環境の/bin/netstatと同じHASHなのでこのファイルとなるが、解析環境には/usr/bin/dpkgd/が存在しないので検体がコピーした可能性がある。
Dr.WEBにそのような動作をしているレポートがある。
https://vms.drweb.com/virus/?i=17724815&lng=en
結論:
DFIR的なアプローチで 情報を収集した情報をIoCとして利用できる可能性があると感じた本日でした。
2021年11月12日金曜日
動的解析 #2 性能評価
018ba31da9f23190bbb65f9905043c69ffe9f899df2644ea1a7c1238747d7f43を利用して性能比較をしてみた話。
VT:動的解析なし
解析結果(IOC):https://www.joesandbox.com/analysis/882398#iocs
ネットワークの情報のみと思われる。
RainForestで研究開発したマルチCPU対応動的解析システムにはDFIRのようなアプローチでも情報を収集する仕組みを入れています。この機能で検知した結果をご紹介!
動的解析後に変化があったファイルリスト
OS起動時に起動されるinit.dなどにファイルを追加または変更している事がわかります。このファイルを解析終了時に収集しているのでそのファイルの中身をみてみます。例えばetc/init.d/hwclock.shshellの最後に/usr/networks&という文字が見えます。/usr/networksは検体がアクセスしたファイル一覧にあるのでこのファイルを改ざんして追加したと思われます。では/usr/networksは何かみてみます。
fileコマンド結果:ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, no section header
file hash:018ba31da9f23190bbb65f9905043c69ffe9f899df2644ea1a7c1238747d7f43
自分自身を /usr/networksにdropしてetc/init.d/hwclock.shで自動起動設定している事がわかります。
結果: この検体に関してはJoeSandboxにも負けないぐらいの結果となり、この動的解析を世の中に出せる可能性があると感じる結果になりました。
動的解析 #1
先日プレスリリースした動的解析システムで収集されたsysmonのログからネッtワーク図を作ってみた。
こちらはプロセス起動とファイル生成情報から作成した図、なんとなく全体像が見えそうな感じです。左下にあるのはプロセス起動が無いもののようで、もしかしたらsysmonが取りこぼすのか?syslogに出すときに落ちるのか?の可能性があります。
先ほどのデータにネットワークアクセスを追加した図です。かなりカオスな状態がわかるかと思います。振る舞いは見えないのですが、かなりスキャンを打っている可能性があるというのがわかると思います。
kouichirou_okada@rainforest.tokyo
2021年11月11日木曜日
ハニー #1
現在自分達で運用しているハニーポットの統計情報です。
- 上の左の円グラフはアクセスがあったPORT番号
- 上の右の円グラフは侵入に利用されたPORT番号
- 下の円グラフがダウンロードした検体のfile type
kouichirou_okada@rainforest.tokyo
登録:
投稿 (Atom)
-
IDS(Suricata)で検知したDNS通信の内容 https://api.krns.jp/sandbox/domain_malware ドメインとは思えない通信をしているマルウエアもいるのですが、これってBUG? https://www.krns.jp/ https://w... -
以前BlogにUPした以下のマルウエアがスキャンを行うportの組み合わせを https://api.krns.jp/sandbox/scan_daily clwit様からいただいているDarknetデータに突合し、どの程度のIPが同様のスキャンを行っているかグラフを作ってみた... -
Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...