2022年4月18日月曜日

Mirai #4

 ハニーで観測されたMiraiの特徴をもつパケットの統計

4月13日はインドネシアからのパケットが急増しています。










時刻: 0 件のコメント:
ラベル: ,

2022年4月15日金曜日

exploit #4

 ハニーで観測されたMiraiの特徴をもつパケットの統計

4月13日のFranceからのパケットが急上昇しております。 なにが起こっているのでしょうか。






時刻: 0 件のコメント:
ラベル:

2022年4月13日水曜日

access #4

 ハニーで観測されたaccessパケットの統計

4/4からMexicoからのaccess増加が目立ちます。 今年に入ってからある日本企業のメキシコ工場への攻撃と関連があるのでしょうか。





時刻: 0 件のコメント:
ラベル:

動的解析

 4つですがELF(IoT)のマルウエアと思われるファイルを動的解析を行った時に発生した通信をスキャンとそれ以外で分けた時のパケット数をグラフ化した物です。

スキャンと判定する定義はTCPハンドシェークで最後のACKがない通信:青

  例として SYN → SYN/ACK → FIN など

上記以外の通信を赤で示したグラフです。

サンプルの4件検体についてはスキャンと通信を並行で行なっている様子が見れます。

さて、次はこの赤の中からC2らし物を見つけられるかの、高いハードルに挑戦!






時刻: 0 件のコメント:
ラベル: ,

2022年4月12日火曜日

動的解析ネットワークデータ

 動的解析でマルウエアが通信したIPアドレスをGoeIPで緯度経度情報を取得して

プロットして見た絵、ある程度固まって色がついてます。なぜ?


この様な情報にご興味がある方はご連絡ください。

kouichirou_okada@rainforest.tokyo
時刻: 0 件のコメント:
ラベル: ,

2022年4月10日日曜日

exploit #3

 ハニーで観測されたMiraiの特徴をもつパケットの統計

こちらも特定のハイポートへのパケットが計測されました。 過去の脆弱性であっても対策は必要ですね。






時刻: 0 件のコメント:
ラベル:

2022年4月8日金曜日

Mirai #3 追記

ハニーで観測されたMiraiの特徴をもつパケットの統計

ハイポートの中でも特定ポートへ集中しているようです。 2019年2月1日の注意喚起ですが、まだまだ狙われているということですね。 https://www.npa.go.jp/cyberpolice/important/2019/201902011.html


この様な情報にご興味がある方はご連絡ください。

kouichirou_okada@rainforest.tokyo





時刻: 0 件のコメント:
ラベル: ,

2022年4月7日木曜日

Mirai #3

 ハニーで観測されたMiraiの特徴をもつパケットの統計

23についで、37215,2323,5555などのポートへのパケットが目立ちます。







時刻: 0 件のコメント:
ラベル: ,

Sandbox DNS

 前にupした画像見たら日付がちゃんと並んでなかったので修正した。

各グラフの1、2、3は実際にはdomain名となります。



この様な情報にご興味がある方はご連絡ください。

kouichirou_okada@rainforest.tokyo




時刻: 0 件のコメント:
ラベル: ,

2022年4月6日水曜日

access #2

 ハニーで観測されたaccessパケットの統計

やはり23,445へのパケットが大半を占めています。









時刻: 0 件のコメント:
ラベル:

2022年4月3日日曜日

Mirai #2

ハニーで観測されたMiraiの特徴をもつパケットの統計 China、US共に26日に増加傾向が見られます。







時刻: 0 件のコメント:
ラベル: , ,

2022年3月31日木曜日

access #1

ハニーで観測されたaccessパケットの統計 26日は全体的に増加傾向の可能性ありです。

もしかすると開発・評価の途中でデータを2回入れてしまったかも?すいません(笑)
時刻: 0 件のコメント:
ラベル:

exploit #2

 ハニーで観測されたMiraiの特徴をもつパケットの統計 3月26日Turkeyからのパケットが目立ちます。





時刻: 0 件のコメント:
ラベル:

2022年3月29日火曜日

Sandbox DNS

日々収集しているマルウエアを動的解析をしたときに発生するドメイン解決を参照し

ドメイン名の解決がいつ収集したマルウエアで発生したかグラフにしてみた。

横に線が伸びている期間が、あるドメインがマルウエアで利用されている期間に

近い値になるのか?





時刻: 0 件のコメント:
ラベル: ,

2022年3月28日月曜日

Mirai #1

 ハニーで観測されたMiraiの特徴をもつパケットの統計 Chinaからのパケットが圧倒的。 country_treemap.png = 国別のポート毎のアクセス数を表示 port_treemap.png = ポート別の国毎のアクセス数を表示









 
時刻: 0 件のコメント:
ラベル: ,

2022年3月25日金曜日

 Miraiのスキャンパケットが何番portにアクセスしているかの図

High Portにも打つんですねー



時刻: 0 件のコメント:
ラベル: ,

2022年3月24日木曜日

exploit #1

ハニーで観測されたexploitパケットの統計
US、Singaporeからのパケットが目立ちます。




 

時刻: 0 件のコメント:
ラベル: , ,

2021年12月19日日曜日

動的解析 #5

 VirutsTotalに2021-12-16 21:17:11 UTCにuploadされた検体の動的解析


pidofを利用してtcpdumpとstraceの確認をしているようで、もしかすると解析検知かも?

どうもetc/inittabに変更を加えているようなので、永続化なのかも?





時刻: 0 件のコメント:
ラベル: , ,
登録: 投稿 (Atom)

Ivanti Connect Secure/Ivanti Policy Secure

Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...

  • Ivanti Connect Secure/Ivanti Policy Secure
    Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...
  • クローラでsnapshot
    運用しているハニーポットに侵入してきたり、マルウエダウンロドサイトだったり、Miraiの特徴があるIPアドレスをcensys searchでopen portを収集して、クローラでsnapshotを取得したらこんな画面が沢山収集できました。webで公開する準備してま〜す。 #os...
  • 動的解析
     IDS(Suricata)で検知したDNS通信の内容 https://api.krns.jp/sandbox/domain_malware ドメインとは思えない通信をしているマルウエアもいるのですが、これってBUG? https://www.krns.jp/ https://w...