ハニーで観測されたMiraiの特徴をもつパケットの統計
国によって攻撃対象となるポートもトレンドがあるのでしょうか。
マルウエアのスキャンパケットってソースポートがある程度限定的なのかもです。
下の絵の青のグラフがマルウエアからのスキャンと思われるパケットのソースポート番号です。
赤は通信先のポートでこの検体の場合はほぼ同じポートで、青のグラフのパケット数を足し算しても赤にならないのは赤のグラフにはスキャン以外の通信した時のパケットも入っているので、足し算しても同じにはならないのですが、波形の上下は似ているかと思います。
動的解析でマルウエアが通信したIPアドレスをGoeIPで緯度経度情報を取得して
プロットして見た絵、ある程度固まって色がついてます。なぜ?
ハニーで観測されたMiraiの特徴をもつパケットの統計
ハイポートの中でも特定ポートへ集中しているようです。 2019年2月1日の注意喚起ですが、まだまだ狙われているということですね。 https://www.npa.go.jp/cyberpolice/important/2019/201902011.html
日々収集しているマルウエアを動的解析をしたときに発生するドメイン解決を参照し
ドメイン名の解決がいつ収集したマルウエアで発生したかグラフにしてみた。
横に線が伸びている期間が、あるドメインがマルウエアで利用されている期間に
近い値になるのか?
Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...