運用しているハニーポットに侵入してきたり、マルウエダウンロドサイトだったり、Miraiの特徴があるIPアドレスをcensys searchでopen portを収集して、クローラでsnapshotを取得したらこんな画面が沢山収集できました。webで公開する準備してま〜す。
#osint
#censys
#kr:ns
#RainForest
運用しているハニーポットに侵入してきたり、マルウエダウンロドサイトだったり、Miraiの特徴があるIPアドレスをcensys searchでopen portを収集して、クローラでsnapshotを取得したらこんな画面が沢山収集できました。webで公開する準備してま〜す。
#osint
#censys
#kr:ns
#RainForest
動的解析で収集されてDNSの名前解決されたドメイン名がどのDNSサーバに登録されているか情報を収集し、ネットワーク図にしてみた。
オレンジの点が登録されていると思われるDNSサーバ、水色の点がマルウエアが行ったと思われる名前解決。結構CDNなども利用してるようです。
全体のaccessではPhilippines、Thailandが上位になっておりますが、miraiの特徴を持つパケットや、攻撃(exploit)と思われるパケットではChina、United Statesからのパケットが目立ちます。
NICT様の情報
https://twitter.com/nicter_jp/status/1524640416938659840
NICT様の記事と相関がありそうななさそうな... 国内IPと判定されたグラフです。
Miraiのスキャンパケットの特徴(通信先=シーケンス)をもつパケットの時計結果について
日毎にアクセスがあった場所に点をプロットしています、これを見ると定常的にアクセスがあるportとパラパラとアクセスがあるポートがある事がわかります。
同じプロット手法でアクセス数を点の大きさで表現すると定常的にアクセスがあるように見えます。(多分パラパラとアクセスがある点はボリュームが小さいためにつぶれてるのだと思います。)マルウエアのスキャンパケットってソースポートがある程度限定的なのかもです。
下の絵の青のグラフがマルウエアからのスキャンと思われるパケットのソースポート番号です。
赤は通信先のポートでこの検体の場合はほぼ同じポートで、青のグラフのパケット数を足し算しても赤にならないのは赤のグラフにはスキャン以外の通信した時のパケットも入っているので、足し算しても同じにはならないのですが、波形の上下は似ているかと思います。
4つですがELF(IoT)のマルウエアと思われるファイルを動的解析を行った時に発生した通信をスキャンとそれ以外で分けた時のパケット数をグラフ化した物です。
スキャンと判定する定義はTCPハンドシェークで最後のACKがない通信:青
例として SYN → SYN/ACK → FIN など
上記以外の通信を赤で示したグラフです。
サンプルの4件検体についてはスキャンと通信を並行で行なっている様子が見れます。
さて、次はこの赤の中からC2らし物を見つけられるかの、高いハードルに挑戦!
動的解析でマルウエアが通信したIPアドレスをGoeIPで緯度経度情報を取得して
プロットして見た絵、ある程度固まって色がついてます。なぜ?
ハニーで観測されたMiraiの特徴をもつパケットの統計
ハイポートの中でも特定ポートへ集中しているようです。 2019年2月1日の注意喚起ですが、まだまだ狙われているということですね。 https://www.npa.go.jp/cyberpolice/important/2019/201902011.html
日々収集しているマルウエアを動的解析をしたときに発生するドメイン解決を参照し
ドメイン名の解決がいつ収集したマルウエアで発生したかグラフにしてみた。
横に線が伸びている期間が、あるドメインがマルウエアで利用されている期間に
近い値になるのか?
ハニーで観測されたMiraiの特徴をもつパケットの統計 Chinaからのパケットが圧倒的。 country_treemap.png = 国別のポート毎のアクセス数を表示 port_treemap.png = ポート別の国毎のアクセス数を表示
VirutsTotalに2021-12-16 21:17:11 UTCにuploadされた検体の動的解析
ハニーで取れたELFファイルのfile hashでSTIX作ってみた。
pythonのライブラリ使ったのでフォーマットは問題ないと思うけど、
hashの部分の記述はこれであってるんだっけ?
ハニー観測始めました。
侵入に利用されたと思われるポート番号のグラフです。
Y軸がポート番号です、グラフはエクセルで作ったのですが、エクセルの使い方がわからず
件数のボリュームを表現することが難しく、ちょっと残念なグラフです。
アビバに通う必要ありでしょうか?
Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...