Webの調査してると下記のサイトにたどり着いたのですが、行き方がわからない(涙)
2021年10月25日月曜日
2021年10月17日日曜日
SNMP を利用したセキュリティアラート #1
IoT Malwareが行うScanは下記のようにSYNを送信してSYN,ACKが帰ってくるかの確認などを大量に行います。この大量通信の特徴がSNMPのMIBの値から抽出できないか検討してみました。
利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット
2021年10月15日金曜日
YARA #3 Memory Dump
利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット
今回の対象はUPXでパックされた検体です。
UPXのファイルをYarGenで処理をした結果は想定通りにUPXの情報しか取れません。
2021年10月14日木曜日
YARA #2 YarGen
YarGenをのぞいてみた
今回は作りをちょっとみてみました。
利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット
作りはこんな感じでシンプルです
- 対象のデータから文字列情報を取得
- オペコードを取得(PEのみ)
- 収集した情報からゴミを取り除く
- YARAルールに変換
2021年10月13日水曜日
YARA #1 YarGen
YarGenというツールを利用してみた
今回はインストールして動かしみた....というところまで
利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット
$ sudo pip3 install pefile cd$ sudo pip3 install scandir lxml naiveBayesClassifier$ wget https://github.com/Neo23x0/yarGen/archive/refs/tags/0.23.4.tar.gz$ tar xvfz 0.23.4.tar.gz$ cd yarGen-0.23.4/$ sudo pip3 install -r requirements.txt$ python3 yarGen.py --update
$ python3 yarGen.py -m <データセットを展開したディレクトリ>
結果
UPXなどでパックされているものは、パックの情報となりましたが多くはパックされていないようでシグネイチャらしき情報は取得可能でした。興味深いところはSuper Ruleというものがあり、これは各ファイルのシグネイチャのANDが取れる情報がルールとして保存されるようです。ここのMETA情報にファイルから作られたかという情報があります、これは検体の類似性の1つの情報にならないかな〜と
Ivanti Connect Secure/Ivanti Policy Secure
Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...
-
Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...
-
運用しているハニーポットに侵入してきたり、マルウエダウンロドサイトだったり、Miraiの特徴があるIPアドレスをcensys searchでopen portを収集して、クローラでsnapshotを取得したらこんな画面が沢山収集できました。webで公開する準備してま〜す。 #os...
-
IDS(Suricata)で検知したDNS通信の内容 https://api.krns.jp/sandbox/domain_malware ドメインとは思えない通信をしているマルウエアもいるのですが、これってBUG? https://www.krns.jp/ https://w...