ハニーで観測されたMiraiの特徴をもつパケットの統計
accessで見た場合は特に気になる変化はありませんが、miraiの特徴をもつパケットの観測では22日にItalyのパケットが急増しています。 また、miraiの特徴を持つパケットは22日は全体的に増加傾向に見えます。 どんな事象に影響を受けているのかきになります。
accessパケット国別のグラフ
miraiの特徴を持つパケット国別のグラフ
2022年5月23日月曜日
Mirai #7
ハニーで観測されたMiraiの特徴をもつパケットの統計 制限せず公開しているハニーと、国内向けパケットに限定したハニーとを比較しましたが、送信元の国はほぼリンクしているようです。
制限なし
国内向け
以前にも紹介しましたが、JPCERT様でも我々同様Miraiの特徴を持つパケットの観測を行なっているようです。
https://www.jpcert.or.jp/tsubame/report/report202201-03.html#3
https://blogs.jpcert.or.jp/ja/2022/04/tsubame_overflow_2022-01-03.html2022年5月19日木曜日
2022年5月13日金曜日
動的解析で得られたドメイン
動的解析で収集されてDNSの名前解決されたドメイン名がどのDNSサーバに登録されているか情報を収集し、ネットワーク図にしてみた。
オレンジの点が登録されていると思われるDNSサーバ、水色の点がマルウエアが行ったと思われる名前解決。結構CDNなども利用してるようです。
2022年5月12日木曜日
Miraiの注意喚起
NICT様の情報
https://twitter.com/nicter_jp/status/1524640416938659840
NICT様の記事と相関がありそうななさそうな... 国内IPと判定されたグラフです。
2022年5月9日月曜日
Miraiのパケット
Miraiのスキャンパケットの特徴(通信先=シーケンス)をもつパケットの時計結果について
日毎にアクセスがあった場所に点をプロットしています、これを見ると定常的にアクセスがあるportとパラパラとアクセスがあるポートがある事がわかります。
この2つのデータからMiraiのパケットを送信するマルウエアらしきものが多くばらまかれて存在しているものが下のグラフに見えている可能性があるかもと考えます。
いかがでしょうかね?
日本からのアクセス
FREEのgeoipでIPアドレスから国情報を取得し日本と判定されたIPのアクセスの統計情報
(データが0になっているのはシステムを調整した日でデータが正しく取れてない可能性があります)
各データはユニークIPではないので次回はユニークIPにするとどのようなグラフになるかやってみます。
ハニーポットにアクセスしてきた回数です
ハニーに侵入してきたと思われる回数です
Miraiのスキャンパケットの特徴を持ったアクセス数です
我々の小さなハニーポットの観測環境でも国内からもアクセス来るんだーと思いました。
https://blog.nicter.jp/2020/10/jp_mirai_spike/
NICT様のレポートでも国内の情報があります。
Miraiの特徴:通信先IPとシーケンス番号が同じパケット
2022年5月7日土曜日
2022年5月3日火曜日
登録:
投稿 (Atom)
-
IDS(Suricata)で検知したDNS通信の内容 https://api.krns.jp/sandbox/domain_malware ドメインとは思えない通信をしているマルウエアもいるのですが、これってBUG? https://www.krns.jp/ https://w... -
以前BlogにUPした以下のマルウエアがスキャンを行うportの組み合わせを https://api.krns.jp/sandbox/scan_daily clwit様からいただいているDarknetデータに突合し、どの程度のIPが同様のスキャンを行っているかグラフを作ってみた... -
Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...