マルウエアがscan対象としているPORTがLiveネット(Darknet/Honypot)でどの程度通信があるか統計を取ってみた。
https://www.rainforest-cs.jp/
マルウエアがscan対象としているPORTがLiveネット(Darknet/Honypot)でどの程度通信があるか統計を取ってみた。
ハニーポットへの通信でmiraiと判定されたものとExploitと判定されたIPをshodanのDBに突合したみた。shodanにIPが全体的に少ない感じですが、下記のような件数になりました。
num:shodanにIPが存在した数
CVE:CVEの情報が存在した数
open:ポートが開いている数に対するIP数
kr:nsで悪質と判定されたIPをSpiderFootに登録して公開しました。
https://spiderfoot.rainforest-cs.jp/
まだ運用フェーズではないのでが、お試しレベルです。
動的解析で得られたscan情報を元にclwit様のdarknetデータやハニーなどへのlive通信を評価して実際にscanが行われる対象portのデータを抽出するAPIを追加しました。この情報を元に開いてるportをチェックするなどやってみようと思います。
Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...