ハニー観測始めました。
侵入に利用されたと思われるポート番号のグラフです。
Y軸がポート番号です、グラフはエクセルで作ったのですが、エクセルの使い方がわからず
件数のボリュームを表現することが難しく、ちょっと残念なグラフです。
アビバに通う必要ありでしょうか?
ハニー観測始めました。
侵入に利用されたと思われるポート番号のグラフです。
Y軸がポート番号です、グラフはエクセルで作ったのですが、エクセルの使い方がわからず
件数のボリュームを表現することが難しく、ちょっと残念なグラフです。
アビバに通う必要ありでしょうか?
6a4465285a08964ea6c553a559cdebbce9df4ecb90813f6f00b7484a7e9a0018
比較的新しいと思われる検体VTには First Submission 2021-11-10 09:51:20 となっている。我々はmalwshareから検体を入手
VirusTotalの動的解析の結果を見るとファイルアクセスが下記のレポートとなっている。
ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=4be6b622bcea7aea37af4f623f503654fa923e36, for GNU/Linux 3.2.0, stripped
解析環境の/bin/netstatと同じHASHなのでこのファイルとなるが、解析環境には/usr/bin/dpkgd/が存在しないので検体がコピーした可能性がある。
Dr.WEBにそのような動作をしているレポートがある。
https://vms.drweb.com/virus/?i=17724815&lng=en
結論:
DFIR的なアプローチで 情報を収集した情報をIoCとして利用できる可能性があると感じた本日でした。
018ba31da9f23190bbb65f9905043c69ffe9f899df2644ea1a7c1238747d7f43を利用して性能比較をしてみた話。
VT:動的解析なし
解析結果(IOC):https://www.joesandbox.com/analysis/882398#iocs
ネットワークの情報のみと思われる。
RainForestで研究開発したマルチCPU対応動的解析システムにはDFIRのようなアプローチでも情報を収集する仕組みを入れています。この機能で検知した結果をご紹介!
動的解析後に変化があったファイルリスト
fileコマンド結果:ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, no section header
file hash:018ba31da9f23190bbb65f9905043c69ffe9f899df2644ea1a7c1238747d7f43
自分自身を /usr/networksにdropしてetc/init.d/hwclock.shで自動起動設定している事がわかります。
結果: この検体に関してはJoeSandboxにも負けないぐらいの結果となり、この動的解析を世の中に出せる可能性があると感じる結果になりました。
先日プレスリリースした動的解析システムで収集されたsysmonのログからネッtワーク図を作ってみた。
IoT Malwareが行うScanは下記のようにSYNを送信してSYN,ACKが帰ってくるかの確認などを大量に行います。この大量通信の特徴がSNMPのMIBの値から抽出できないか検討してみました。
利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット
利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット
今回の対象はUPXでパックされた検体です。
UPXのファイルをYarGenで処理をした結果は想定通りにUPXの情報しか取れません。
YarGenをのぞいてみた
今回は作りをちょっとみてみました。
利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット
作りはこんな感じでシンプルです
YarGenというツールを利用してみた
今回はインストールして動かしみた....というところまで
利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット
$ sudo pip3 install pefile cd$ sudo pip3 install scandir lxml naiveBayesClassifier$ wget https://github.com/Neo23x0/yarGen/archive/refs/tags/0.23.4.tar.gz$ tar xvfz 0.23.4.tar.gz$ cd yarGen-0.23.4/$ sudo pip3 install -r requirements.txt$ python3 yarGen.py --update
$ python3 yarGen.py -m <データセットを展開したディレクトリ>
結果
UPXなどでパックされているものは、パックの情報となりましたが多くはパックされていないようでシグネイチャらしき情報は取得可能でした。興味深いところはSuper Ruleというものがあり、これは各ファイルのシグネイチャのANDが取れる情報がルールとして保存されるようです。ここのMETA情報にファイルから作られたかという情報があります、これは検体の類似性の1つの情報にならないかな〜と
Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...