マルウエアがscan対象としているPORTがLiveネット(Darknet/Honypot)でどの程度通信があるか統計を取ってみた。
https://www.rainforest-cs.jp/
2023年6月24日土曜日
Shodan
ハニーポットへの通信でmiraiと判定されたものとExploitと判定されたIPをshodanのDBに突合したみた。shodanにIPが全体的に少ない感じですが、下記のような件数になりました。
num:shodanにIPが存在した数
CVE:CVEの情報が存在した数
open:ポートが開いている数に対するIP数
2023年6月22日木曜日
SpiderFoot
kr:nsで悪質と判定されたIPをSpiderFootに登録して公開しました。
https://spiderfoot.rainforest-cs.jp/
まだ運用フェーズではないのでが、お試しレベルです。
API更新
動的解析で得られたscan情報を元にclwit様のdarknetデータやハニーなどへのlive通信を評価して実際にscanが行われる対象portのデータを抽出するAPIを追加しました。この情報を元に開いてるportをチェックするなどやってみようと思います。
https://www.krns.jp/
https://www.rainforest-cs.jp/
2023年6月6日火曜日
登録:
投稿 (Atom)
-
IDS(Suricata)で検知したDNS通信の内容 https://api.krns.jp/sandbox/domain_malware ドメインとは思えない通信をしているマルウエアもいるのですが、これってBUG? https://www.krns.jp/ https://w... -
以前BlogにUPした以下のマルウエアがスキャンを行うportの組み合わせを https://api.krns.jp/sandbox/scan_daily clwit様からいただいているDarknetデータに突合し、どの程度のIPが同様のスキャンを行っているかグラフを作ってみた... -
Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...