4つですがELF(IoT)のマルウエアと思われるファイルを動的解析を行った時に発生した通信をスキャンとそれ以外で分けた時のパケット数をグラフ化した物です。
スキャンと判定する定義はTCPハンドシェークで最後のACKがない通信:青
例として SYN → SYN/ACK → FIN など
上記以外の通信を赤で示したグラフです。
サンプルの4件検体についてはスキャンと通信を並行で行なっている様子が見れます。
さて、次はこの赤の中からC2らし物を見つけられるかの、高いハードルに挑戦!
-
IDS(Suricata)で検知したDNS通信の内容 https://api.krns.jp/sandbox/domain_malware ドメインとは思えない通信をしているマルウエアもいるのですが、これってBUG? https://www.krns.jp/ https://w... -
以前BlogにUPした以下のマルウエアがスキャンを行うportの組み合わせを https://api.krns.jp/sandbox/scan_daily clwit様からいただいているDarknetデータに突合し、どの程度のIPが同様のスキャンを行っているかグラフを作ってみた... -
Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...
0 件のコメント:
コメントを投稿