2021年10月25日月曜日

Web #1

 Webの調査してると下記のサイトにたどり着いたのですが、行き方がわからない(涙)


時間見つけてどのような感じか調査してみたいと思います。

RainForest
kouichirou_okada@rainforest.tokyo





時刻: 0 件のコメント:

2021年10月17日日曜日

SNMP を利用したセキュリティアラート #1

 IoT Malwareが行うScanは下記のようにSYNを送信してSYN,ACKが帰ってくるかの確認などを大量に行います。この大量通信の特徴がSNMPのMIBの値から抽出できないか検討してみました。


通信前のMIB値と通信後のMIB値の差分取得し、その差分を独自ロジックで解析を行い解析デ ータが作成されます。この処理をIoT Malware 約1600サンプルに対して行いグラフ化を行いました。解析データはMIB値の大きさに依存しないように比率で出力されます。 

利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット


Y軸は独自ロジックで得られた解析結果(比率)、X軸はSYNパケットの数となります。
青いプロットの点が1つのマルウエアの通信結果です。

このグラフからIoT Malwareからパケットなどの送信が多くなると再送などが発生するために解析結果のあるパラメータ が増加する様子を見ることができます。MIBで観測された通信不具合がこの実験結果との類似性を見ることで、SNMPを利用したなんちゃってNDR的なアプローチを模索していきたいと思っています。


RainForest
kouichirou_okada@rainforest.tokyo




時刻: 0 件のコメント:
ラベル: , ,

2021年10月15日金曜日

YARA #3 Memory Dump

 利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット

今回の対象はUPXでパックされた検体です。

UPXのファイルをYarGenで処理をした結果は想定通りにUPXの情報しか取れません。


マルウエアを動作させ/procの下の情報からメモリーダンプを作成しYarGenで処理をすると下記の文字列が取得できました。


今回使用した検体では収集された情報は少ないのですが、メモリーダンプをYarGenなどで処理をする有効性は確認できたと思います。

RainForest
kouichirou_okada@rainforest.tokyo


 

時刻: 0 件のコメント:
ラベル: , ,

2021年10月14日木曜日

YARA #2 YarGen

 YarGenをのぞいてみた

今回は作りをちょっとみてみました。

 

利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット

作りはこんな感じでシンプルです

  1. 対象のデータから文字列情報を取得
  2. オペコードを取得(PEのみ)
  3. 収集した情報からゴミを取り除く
  4. YARAルールに変換 
まずポイントになるのは1、2の情報収集。今回の対象はELFなので2は除外ということで1の部分を変更してみた。


文字列情報をIoT Malwareが侵入後に行う処理に注目して収集するようにしてみた。

オリジナルのソースでの結果

このデータが下記のようにかなりスッキリした。

kouichirou_okada@rainforest.tokyo
時刻: 0 件のコメント:
ラベル: , ,

2021年10月13日水曜日

YARA #1 YarGen

YarGenというツールを利用してみた

今回はインストールして動かしみた....というところまで

 

利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット


YarGenをインストール
$ sudo pip3 install pefile cd
$ sudo pip3 install scandir lxml naiveBayesClassifier
$ wget https://github.com/Neo23x0/yarGen/archive/refs/tags/0.23.4.tar.gz
$ tar xvfz 0.23.4.tar.gz 
$ cd yarGen-0.23.4/
$ sudo pip3 install -r requirements.txt 
$ python3 yarGen.py --update 

YarGenを実行
$ python3 yarGen.py -m <データセットを展開したディレクトリ>


結果

UPXなどでパックされているものは、パックの情報となりましたが多くはパックされていないようでシグネイチャらしき情報は取得可能でした。興味深いところはSuper Ruleというものがあり、これは各ファイルのシグネイチャのANDが取れる情報がルールとして保存されるようです。ここのMETA情報にファイルから作られたかという情報があります、これは検体の類似性の1つの情報にならないかな〜と


 kouichirou_okada@rainforest.tokyo

 

時刻: 0 件のコメント:
ラベル: , ,
登録: 投稿 (Atom)

Ivanti Connect Secure/Ivanti Policy Secure

Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...

  • Ivanti Connect Secure/Ivanti Policy Secure
    Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...
  • クローラでsnapshot
    運用しているハニーポットに侵入してきたり、マルウエダウンロドサイトだったり、Miraiの特徴があるIPアドレスをcensys searchでopen portを収集して、クローラでsnapshotを取得したらこんな画面が沢山収集できました。webで公開する準備してま〜す。 #os...
  • 動的解析
     IDS(Suricata)で検知したDNS通信の内容 https://api.krns.jp/sandbox/domain_malware ドメインとは思えない通信をしているマルウエアもいるのですが、これってBUG? https://www.krns.jp/ https://w...