久々の更新
Censysのlabel検索から詳細データを表示するようにしました!
2023年12月6日水曜日
2023年11月7日火曜日
censys search+kr:ns
kr:nsでBlackIPと判定されたIPアドレスに対してcensysでopen port情報を収集してみた。
#OSINT
#censys
#RainForest
#kr:ns
2023年11月1日水曜日
censys search+kr:ns
ハニーポットの観測網に飛んできたパケットから悪質と思われるIPアドレスをcensys searchにかけてopen portの情報を収集して件数をグラフ化してみた。
#OSINT
#censys
#kr:ns
#RainForest
2023年10月30日月曜日
クローラでsnapshot
運用しているハニーポットに侵入してきたり、マルウエダウンロドサイトだったり、Miraiの特徴があるIPアドレスをcensys searchでopen portを収集して、クローラでsnapshotを取得したらこんな画面が沢山収集できました。webで公開する準備してま〜す。
#osint
#censys
#kr:ns
#RainForest
2023年10月20日金曜日
censys search
久々の投稿です。
censys searchを利用して国内のCisco IOS-XEを検索して見つかったIPに対してgitにあったコードを参考にfull PoCではないですが、HTTPの応答を見てCVEの可能性のあるIP数を出してみた。
2023/10/20 : 334 ip
2022年5月19日木曜日
2022年5月12日木曜日
2022年3月24日木曜日
2021年12月19日日曜日
2021年11月24日水曜日
ハニー #3
ハニーで取れたELFファイルのfile hashでSTIX作ってみた。
pythonのライブラリ使ったのでフォーマットは問題ないと思うけど、
hashの部分の記述はこれであってるんだっけ?
kouichirou_okada@rainforest.tokyo
2021年11月22日月曜日
ハニー #2
ハニー観測始めました。
侵入に利用されたと思われるポート番号のグラフです。
Y軸がポート番号です、グラフはエクセルで作ったのですが、エクセルの使い方がわからず
件数のボリュームを表現することが難しく、ちょっと残念なグラフです。
アビバに通う必要ありでしょうか?
kouichirou_okada@rainforest.tokyo
2021年11月21日日曜日
動的解析 #4
横浜国大様から提供していただいたDatasetなどを利用して動的解析結果蓄積中です
横浜国大様Dataset URL : https://sec.ynu.codes/iot/
2021年11月17日水曜日
動的解析 #3 性能評価
6a4465285a08964ea6c553a559cdebbce9df4ecb90813f6f00b7484a7e9a0018
比較的新しいと思われる検体VTには First Submission 2021-11-10 09:51:20 となっている。我々はmalwshareから検体を入手
VirusTotalの動的解析の結果を見るとファイルアクセスが下記のレポートとなっている。
我々のSandBoxのDFIR的なアプローチで収集された結果を見ると下記のようになっている。
usr/bin/pythnoとusr/bin/bsd-port/knerlはhashが検体と同じなので自分自身のコピー
usr/bin/dpkgd/netstat
ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=4be6b622bcea7aea37af4f623f503654fa923e36, for GNU/Linux 3.2.0, stripped
解析環境の/bin/netstatと同じHASHなのでこのファイルとなるが、解析環境には/usr/bin/dpkgd/が存在しないので検体がコピーした可能性がある。
Dr.WEBにそのような動作をしているレポートがある。
https://vms.drweb.com/virus/?i=17724815&lng=en
結論:
DFIR的なアプローチで 情報を収集した情報をIoCとして利用できる可能性があると感じた本日でした。
2021年11月12日金曜日
動的解析 #2 性能評価
018ba31da9f23190bbb65f9905043c69ffe9f899df2644ea1a7c1238747d7f43を利用して性能比較をしてみた話。
VT:動的解析なし
解析結果(IOC):https://www.joesandbox.com/analysis/882398#iocs
ネットワークの情報のみと思われる。
RainForestで研究開発したマルチCPU対応動的解析システムにはDFIRのようなアプローチでも情報を収集する仕組みを入れています。この機能で検知した結果をご紹介!
動的解析後に変化があったファイルリスト
OS起動時に起動されるinit.dなどにファイルを追加または変更している事がわかります。このファイルを解析終了時に収集しているのでそのファイルの中身をみてみます。例えばetc/init.d/hwclock.shshellの最後に/usr/networks&という文字が見えます。/usr/networksは検体がアクセスしたファイル一覧にあるのでこのファイルを改ざんして追加したと思われます。では/usr/networksは何かみてみます。
fileコマンド結果:ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, no section header
file hash:018ba31da9f23190bbb65f9905043c69ffe9f899df2644ea1a7c1238747d7f43
自分自身を /usr/networksにdropしてetc/init.d/hwclock.shで自動起動設定している事がわかります。
結果: この検体に関してはJoeSandboxにも負けないぐらいの結果となり、この動的解析を世の中に出せる可能性があると感じる結果になりました。
動的解析 #1
先日プレスリリースした動的解析システムで収集されたsysmonのログからネッtワーク図を作ってみた。
こちらはプロセス起動とファイル生成情報から作成した図、なんとなく全体像が見えそうな感じです。左下にあるのはプロセス起動が無いもののようで、もしかしたらsysmonが取りこぼすのか?syslogに出すときに落ちるのか?の可能性があります。
先ほどのデータにネットワークアクセスを追加した図です。かなりカオスな状態がわかるかと思います。振る舞いは見えないのですが、かなりスキャンを打っている可能性があるというのがわかると思います。
kouichirou_okada@rainforest.tokyo
2021年11月11日木曜日
ハニー #1
現在自分達で運用しているハニーポットの統計情報です。
- 上の左の円グラフはアクセスがあったPORT番号
- 上の右の円グラフは侵入に利用されたPORT番号
- 下の円グラフがダウンロードした検体のfile type
kouichirou_okada@rainforest.tokyo
2021年10月17日日曜日
SNMP を利用したセキュリティアラート #1
IoT Malwareが行うScanは下記のようにSYNを送信してSYN,ACKが帰ってくるかの確認などを大量に行います。この大量通信の特徴がSNMPのMIBの値から抽出できないか検討してみました。
通信前のMIB値と通信後のMIB値の差分取得し、その差分を独自ロジックで解析を行い解析デ ータが作成されます。この処理をIoT Malware 約1600サンプルに対して行いグラフ化を行いました。解析データはMIB値の大きさに依存しないように比率で出力されます。
利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット
Y軸は独自ロジックで得られた解析結果(比率)、X軸はSYNパケットの数となります。
青いプロットの点が1つのマルウエアの通信結果です。
このグラフからIoT Malwareからパケットなどの送信が多くなると再送などが発生するために解析結果のあるパラメータ が増加する様子を見ることができます。MIBで観測された通信不具合がこの実験結果との類似性を見ることで、SNMPを利用したなんちゃってNDR的なアプローチを模索していきたいと思っています。
kouichirou_okada@rainforest.tokyo
2021年10月15日金曜日
YARA #3 Memory Dump
利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット
今回の対象はUPXでパックされた検体です。
UPXのファイルをYarGenで処理をした結果は想定通りにUPXの情報しか取れません。
今回使用した検体では収集された情報は少ないのですが、メモリーダンプをYarGenなどで処理をする有効性は確認できたと思います。
kouichirou_okada@rainforest.tokyo
2021年10月14日木曜日
YARA #2 YarGen
YarGenをのぞいてみた
今回は作りをちょっとみてみました。
利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット
作りはこんな感じでシンプルです
- 対象のデータから文字列情報を取得
- オペコードを取得(PEのみ)
- 収集した情報からゴミを取り除く
- YARAルールに変換
2021年10月13日水曜日
YARA #1 YarGen
YarGenというツールを利用してみた
今回はインストールして動かしみた....というところまで
利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット
YarGenをインストール
$ sudo pip3 install pefile cd$ sudo pip3 install scandir lxml naiveBayesClassifier$ wget https://github.com/Neo23x0/yarGen/archive/refs/tags/0.23.4.tar.gz$ tar xvfz 0.23.4.tar.gz$ cd yarGen-0.23.4/$ sudo pip3 install -r requirements.txt$ python3 yarGen.py --update
YarGenを実行
$ python3 yarGen.py -m <データセットを展開したディレクトリ>
結果
UPXなどでパックされているものは、パックの情報となりましたが多くはパックされていないようでシグネイチャらしき情報は取得可能でした。興味深いところはSuper Ruleというものがあり、これは各ファイルのシグネイチャのANDが取れる情報がルールとして保存されるようです。ここのMETA情報にファイルから作られたかという情報があります、これは検体の類似性の1つの情報にならないかな〜と
kouichirou_okada@rainforest.tokyo
登録:
投稿 (Atom)
-
IDS(Suricata)で検知したDNS通信の内容 https://api.krns.jp/sandbox/domain_malware ドメインとは思えない通信をしているマルウエアもいるのですが、これってBUG? https://www.krns.jp/ https://w... -
以前BlogにUPした以下のマルウエアがスキャンを行うportの組み合わせを https://api.krns.jp/sandbox/scan_daily clwit様からいただいているDarknetデータに突合し、どの程度のIPが同様のスキャンを行っているかグラフを作ってみた... -
Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...