ラベル IoT の投稿を表示しています。 すべての投稿を表示
ラベル IoT の投稿を表示しています。 すべての投稿を表示

2023年12月6日水曜日

2023年11月7日火曜日

censys search+kr:ns

kr:nsでBlackIPと判定されたIPアドレスに対してcensysでopen port情報を収集してみた。



#OSINT

#censys

#RainForest

#kr:ns





2023年11月1日水曜日

censys search+kr:ns

ハニーポットの観測網に飛んできたパケットから悪質と思われるIPアドレスをcensys searchにかけてopen portの情報を収集して件数をグラフ化してみた。



#OSINT

#censys

#kr:ns

#RainForest

2023年10月30日月曜日

クローラでsnapshot

運用しているハニーポットに侵入してきたり、マルウエダウンロドサイトだったり、Miraiの特徴があるIPアドレスをcensys searchでopen portを収集して、クローラでsnapshotを取得したらこんな画面が沢山収集できました。webで公開する準備してま〜す。



#osint

#censys

#kr:ns

#RainForest


2023年10月20日金曜日

censys search

 久々の投稿です。

censys searchを利用して国内のCisco IOS-XEを検索して見つかったIPに対してgitにあったコードを参考にfull PoCではないですが、HTTPの応答を見てCVEの可能性のあるIP数を出してみた。

2023/10/20 : 334 ip

2022年5月12日木曜日

access #6

 全体のaccessではPhilippines、Thailandが上位になっておりますが、miraiの特徴を持つパケットや、攻撃(exploit)と思われるパケットではChina、United Statesからのパケットが目立ちます。


miraiの特徴を持つパケット
exploitと思われるパケット


このHoneyでは観測できない、何かしらの攻撃の予兆なのでしょうか。
いずれにしてもかなり多くの自動ツールが運用されていることがわかります。

Miraiの注意喚起

 NICT様の情報

https://twitter.com/nicter_jp/status/1524640416938659840

NICT様の記事と相関がありそうななさそうな... 国内IPと判定されたグラフです。





2022年5月9日月曜日

Miraiのパケット

Miraiのスキャンパケットの特徴(通信先=シーケンス)をもつパケットの時計結果について

日毎にアクセスがあった場所に点をプロットしています、これを見ると定常的にアクセスがあるportとパラパラとアクセスがあるポートがある事がわかります。

同じプロット手法でアクセス数を点の大きさで表現すると定常的にアクセスがあるように見えます。(多分パラパラとアクセスがある点はボリュームが小さいためにつぶれてるのだと思います。)
この2つのデータからMiraiのパケットを送信するマルウエアらしきものが多くばらまかれて存在しているものが下のグラフに見えている可能性があるかもと考えます。

いかがでしょうかね?


2022年4月18日月曜日

Malwareのスキャンパケット

 マルウエアのスキャンパケットってソースポートがある程度限定的なのかもです。

下の絵の青のグラフがマルウエアからのスキャンと思われるパケットのソースポート番号です。

赤は通信先のポートでこの検体の場合はほぼ同じポートで、青のグラフのパケット数を足し算しても赤にならないのは赤のグラフにはスキャン以外の通信した時のパケットも入っているので、足し算しても同じにはならないのですが、波形の上下は似ているかと思います。




2022年4月13日水曜日

動的解析

 4つですがELF(IoT)のマルウエアと思われるファイルを動的解析を行った時に発生した通信をスキャンとそれ以外で分けた時のパケット数をグラフ化した物です。

スキャンと判定する定義はTCPハンドシェークで最後のACKがない通信:青

  例として SYN → SYN/ACK → FIN など

上記以外の通信を赤で示したグラフです。

サンプルの4件検体についてはスキャンと通信を並行で行なっている様子が見れます。

さて、次はこの赤の中からC2らし物を見つけられるかの、高いハードルに挑戦!






2022年4月12日火曜日

動的解析ネットワークデータ

 動的解析でマルウエアが通信したIPアドレスをGoeIPで緯度経度情報を取得して

プロットして見た絵、ある程度固まって色がついてます。なぜ?


この様な情報にご興味がある方はご連絡ください。

kouichirou_okada@rainforest.tokyo

2022年4月8日金曜日

Mirai #3 追記

ハニーで観測されたMiraiの特徴をもつパケットの統計

ハイポートの中でも特定ポートへ集中しているようです。 2019年2月1日の注意喚起ですが、まだまだ狙われているということですね。 https://www.npa.go.jp/cyberpolice/important/2019/201902011.html


この様な情報にご興味がある方はご連絡ください。

kouichirou_okada@rainforest.tokyo





2022年4月7日木曜日

Sandbox DNS

 前にupした画像見たら日付がちゃんと並んでなかったので修正した。

各グラフの1、2、3は実際にはdomain名となります。



この様な情報にご興味がある方はご連絡ください。

kouichirou_okada@rainforest.tokyo




2022年4月3日日曜日

Mirai #2

ハニーで観測されたMiraiの特徴をもつパケットの統計 China、US共に26日に増加傾向が見られます。







2022年3月29日火曜日

Sandbox DNS

日々収集しているマルウエアを動的解析をしたときに発生するドメイン解決を参照し

ドメイン名の解決がいつ収集したマルウエアで発生したかグラフにしてみた。

横に線が伸びている期間が、あるドメインがマルウエアで利用されている期間に

近い値になるのか?





2022年3月28日月曜日

Mirai #1

 ハニーで観測されたMiraiの特徴をもつパケットの統計 Chinaからのパケットが圧倒的。 country_treemap.png = 国別のポート毎のアクセス数を表示 port_treemap.png = ポート別の国毎のアクセス数を表示









 

2022年3月25日金曜日

 Miraiのスキャンパケットが何番portにアクセスしているかの図

High Portにも打つんですねー



2022年3月24日木曜日

exploit #1

ハニーで観測されたexploitパケットの統計
US、Singaporeからのパケットが目立ちます。




 

2021年12月19日日曜日

動的解析 #5

 VirutsTotalに2021-12-16 21:17:11 UTCにuploadされた検体の動的解析


pidofを利用してtcpdumpとstraceの確認をしているようで、もしかすると解析検知かも?

どうもetc/inittabに変更を加えているようなので、永続化なのかも?





2021年11月24日水曜日

ハニー #3

ハニーで取れたELFファイルのfile hashでSTIX作ってみた。

pythonのライブラリ使ったのでフォーマットは問題ないと思うけど、

hashの部分の記述はこれであってるんだっけ?



kouichirou_okada@rainforest.tokyo



Ivanti Connect Secure/Ivanti Policy Secure

Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...