ラベル Honey の投稿を表示しています。 すべての投稿を表示
ラベル Honey の投稿を表示しています。 すべての投稿を表示

2023年11月1日水曜日

censys search+kr:ns

ハニーポットの観測網に飛んできたパケットから悪質と思われるIPアドレスをcensys searchにかけてopen portの情報を収集して件数をグラフ化してみた。



#OSINT

#censys

#kr:ns

#RainForest

2023年10月30日月曜日

クローラでsnapshot

運用しているハニーポットに侵入してきたり、マルウエダウンロドサイトだったり、Miraiの特徴があるIPアドレスをcensys searchでopen portを収集して、クローラでsnapshotを取得したらこんな画面が沢山収集できました。webで公開する準備してま〜す。



#osint

#censys

#kr:ns

#RainForest


2022年5月19日木曜日

access #7

 通常のハニーと国内向けハニーのaccessについて比較を行いました。

通常

国内向け

 通常のハニーと国内向けのハニーとでは、国別で見た場合かなり差があります。
通常の場合は主に東南アジアからのパケットが主であり、国内向けの場合はUnited StatesかChinaからのパケットが主になっております。

この結果から、日本国内を標的にした場合に比べ、無作為な自動ツールは東南アジア(経由)のパケットが多いということが考えられます。

ちなみに観測されたほとんどは445へのパケットでした。


2022年5月12日木曜日

access #6

 全体のaccessではPhilippines、Thailandが上位になっておりますが、miraiの特徴を持つパケットや、攻撃(exploit)と思われるパケットではChina、United Statesからのパケットが目立ちます。


miraiの特徴を持つパケット
exploitと思われるパケット


このHoneyでは観測できない、何かしらの攻撃の予兆なのでしょうか。
いずれにしてもかなり多くの自動ツールが運用されていることがわかります。

Miraiの注意喚起

 NICT様の情報

https://twitter.com/nicter_jp/status/1524640416938659840

NICT様の記事と相関がありそうななさそうな... 国内IPと判定されたグラフです。





2022年5月9日月曜日

日本からのアクセス

 FREEのgeoipでIPアドレスから国情報を取得し日本と判定されたIPのアクセスの統計情報

(データが0になっているのはシステムを調整した日でデータが正しく取れてない可能性があります)

各データはユニークIPではないので次回はユニークIPにするとどのようなグラフになるかやってみます。

ハニーポットにアクセスしてきた回数です


ハニーに侵入してきたと思われる回数です

Miraiのスキャンパケットの特徴を持ったアクセス数です
我々の小さなハニーポットの観測環境でも国内からもアクセス来るんだーと思いました。

https://blog.nicter.jp/2020/10/jp_mirai_spike/
NICT様のレポートでも国内の情報があります。
Miraiの特徴:通信先IPとシーケンス番号が同じパケット













2022年4月25日月曜日

Mirai #5

ハニーで観測されたMiraiの特徴をもつパケットの統計

国によって攻撃対象となるポートもトレンドがあるのでしょうか。







2022年4月23日土曜日

exploit #5

exploitの判定ツール変更いたしました。 侵入で利用されるコマンドや呼び出しをルール化した検知に高度化した結果数字が大きくなりました。




2022年4月18日月曜日

Mirai #4

 ハニーで観測されたMiraiの特徴をもつパケットの統計

4月13日はインドネシアからのパケットが急増しています。










2022年4月15日金曜日

exploit #4

 ハニーで観測されたMiraiの特徴をもつパケットの統計

4月13日のFranceからのパケットが急上昇しております。 なにが起こっているのでしょうか。






2022年4月13日水曜日

access #4

 ハニーで観測されたaccessパケットの統計

4/4からMexicoからのaccess増加が目立ちます。 今年に入ってからある日本企業のメキシコ工場への攻撃と関連があるのでしょうか。





2022年4月10日日曜日

exploit #3

 ハニーで観測されたMiraiの特徴をもつパケットの統計

こちらも特定のハイポートへのパケットが計測されました。 過去の脆弱性であっても対策は必要ですね。






2022年4月7日木曜日

Mirai #3

 ハニーで観測されたMiraiの特徴をもつパケットの統計

23についで、37215,2323,5555などのポートへのパケットが目立ちます。







2022年4月6日水曜日

access #2

 ハニーで観測されたaccessパケットの統計

やはり23,445へのパケットが大半を占めています。









2022年4月3日日曜日

Mirai #2

ハニーで観測されたMiraiの特徴をもつパケットの統計 China、US共に26日に増加傾向が見られます。







2022年3月31日木曜日

access #1

ハニーで観測されたaccessパケットの統計 26日は全体的に増加傾向の可能性ありです。

もしかすると開発・評価の途中でデータを2回入れてしまったかも?すいません(笑)


exploit #2

 ハニーで観測されたMiraiの特徴をもつパケットの統計 3月26日Turkeyからのパケットが目立ちます。





Ivanti Connect Secure/Ivanti Policy Secure

Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...