クローラでsnapshot

運用しているハニーポットに侵入してきたり、マルウエダウンロドサイトだったり、Miraiの特徴があるIPアドレスをcensys searchでopen portを収集して、クローラでsnapshotを取得したらこんな画面が沢山収集できました。webで公開する準備してま〜す。

#osint

#censys

#kr:ns

#RainForest

動的解析で得られたドメイン

 動的解析で収集されてDNSの名前解決されたドメイン名がどのDNSサーバに登録されているか情報を収集し、ネットワーク図にしてみた。

オレンジの点が登録されていると思われるDNSサーバ、水色の点がマルウエアが行ったと思われる名前解決。結構CDNなども利用してるようです。

access #6

 全体のaccessではPhilippines、Thailandが上位になっておりますが、miraiの特徴を持つパケットや、攻撃(exploit)と思われるパケットではChina、United Statesからのパケットが目立ちます。

miraiの特徴を持つパケット

exploitと思われるパケット

このHoneyでは観測できない、何かしらの攻撃の予兆なのでしょうか。

いずれにしてもかなり多くの自動ツールが運用されていることがわかります。

Miraiの注意喚起

 NICT様の情報

https://twitter.com/nicter_jp/status/1524640416938659840

NICT様の記事と相関がありそうななさそうな...　国内IPと判定されたグラフです。

Miraiのパケット

Miraiのスキャンパケットの特徴(通信先=シーケンス)をもつパケットの時計結果について

日毎にアクセスがあった場所に点をプロットしています、これを見ると定常的にアクセスがあるportとパラパラとアクセスがあるポートがある事がわかります。

同じプロット手法でアクセス数を点の大きさで表現すると定常的にアクセスがあるように見えます。(多分パラパラとアクセスがある点はボリュームが小さいためにつぶれてるのだと思います。)

この2つのデータからMiraiのパケットを送信するマルウエアらしきものが多くばらまかれて存在しているものが下のグラフに見えている可能性があるかもと考えます。

いかがでしょうかね？

Malwareのスキャンパケット

 マルウエアのスキャンパケットってソースポートがある程度限定的なのかもです。

下の絵の青のグラフがマルウエアからのスキャンと思われるパケットのソースポート番号です。

赤は通信先のポートでこの検体の場合はほぼ同じポートで、青のグラフのパケット数を足し算しても赤にならないのは赤のグラフにはスキャン以外の通信した時のパケットも入っているので、足し算しても同じにはならないのですが、波形の上下は似ているかと思います。

Mirai #4

 ハニーで観測されたMiraiの特徴をもつパケットの統計

4月13日はインドネシアからのパケットが急増しています。

動的解析

 4つですがELF(IoT)のマルウエアと思われるファイルを動的解析を行った時に発生した通信をスキャンとそれ以外で分けた時のパケット数をグラフ化した物です。

スキャンと判定する定義はTCPハンドシェークで最後のACKがない通信：青

　　例として SYN → SYN/ACK → FIN など

上記以外の通信を赤で示したグラフです。

サンプルの４件検体についてはスキャンと通信を並行で行なっている様子が見れます。

さて、次はこの赤の中からC2らし物を見つけられるかの、高いハードルに挑戦！

動的解析ネットワークデータ

 動的解析でマルウエアが通信したIPアドレスをGoeIPで緯度経度情報を取得して

プロットして見た絵、ある程度固まって色がついてます。なぜ？

この様な情報にご興味がある方はご連絡ください。

 RainForest

kouichirou_okada@rainforest.tokyo

Mirai #3 追記

ハニーで観測されたMiraiの特徴をもつパケットの統計

ハイポートの中でも特定ポートへ集中しているようです。 2019年2月1日の注意喚起ですが、まだまだ狙われているということですね。 https://www.npa.go.jp/cyberpolice/important/2019/201902011.html

この様な情報にご興味がある方はご連絡ください。

 RainForest

kouichirou_okada@rainforest.tokyo

Mirai #3

 ハニーで観測されたMiraiの特徴をもつパケットの統計

23についで、37215,2323,5555などのポートへのパケットが目立ちます。

Sandbox DNS

 前にupした画像見たら日付がちゃんと並んでなかったので修正した。

各グラフの１、２、３は実際にはdomain名となります。

この様な情報にご興味がある方はご連絡ください。

 RainForest

kouichirou_okada@rainforest.tokyo

Mirai #2

ハニーで観測されたMiraiの特徴をもつパケットの統計 China、US共に26日に増加傾向が見られます。

Sandbox DNS

日々収集しているマルウエアを動的解析をしたときに発生するドメイン解決を参照し

ドメイン名の解決がいつ収集したマルウエアで発生したかグラフにしてみた。

横に線が伸びている期間が、あるドメインがマルウエアで利用されている期間に

近い値になるのか？

Mirai #1

 ハニーで観測されたMiraiの特徴をもつパケットの統計 Chinaからのパケットが圧倒的。 country_treemap.png = 国別のポート毎のアクセス数を表示 port_treemap.png = ポート別の国毎のアクセス数を表示

 

 Miraiのスキャンパケットが何番portにアクセスしているかの図

High Portにも打つんですねー

動的解析 #5

 VirutsTotalに2021-12-16 21:17:11 UTCにuploadされた検体の動的解析

pidofを利用してtcpdumpとstraceの確認をしているようで、もしかすると解析検知かも？

どうもetc/inittabに変更を加えているようなので、永続化なのかも？

ハニー #3

ハニーで取れたELFファイルのfile hashでSTIX作ってみた。

pythonのライブラリ使ったのでフォーマットは問題ないと思うけど、

hashの部分の記述はこれであってるんだっけ？

 RainForest

kouichirou_okada@rainforest.tokyo

ハニー #2

ハニー観測始めました。

侵入に利用されたと思われるポート番号のグラフです。

Y軸がポート番号です、グラフはエクセルで作ったのですが、エクセルの使い方がわからず

件数のボリュームを表現することが難しく、ちょっと残念なグラフです。

アビバに通う必要ありでしょうか？

 RainForest

kouichirou_okada@rainforest.tokyo

 

動的解析 #4

横浜国大様から提供していただいたDatasetなどを利用して動的解析結果蓄積中です

横浜国大様Dataset URL : https://sec.ynu.codes/iot/

かなりデータが蓄積されてきました。今後はこのデータの可視化や分析を進めながらデータの提供も検討したいと考えています。

 RainForest

kouichirou_okada@rainforest.tokyo