2022年5月3日火曜日

access #5

ハニーで観測されたaccessパケットの統計

特定のハイポートでなくハイポート全体へのパケットが確認できます。





時刻: 0 件のコメント:

Mirai #6

 ハニーで観測されたMiraiの特徴をもつパケットの統計 JPCERT様でも我々同様Miraiの特徴を持つパケットの観測を行なっているようです。

https://www.jpcert.or.jp/tsubame/report/report202201-03.html#3
https://blogs.jpcert.or.jp/ja/2022/04/tsubame_overflow_2022-01-03.html









時刻: 0 件のコメント:

exploit #6

 exploitの判定ツール変更いたしました。

4/22に判定ルールの変更行っております。 やはり23,2323ポートへのパケットが主です。



時刻: 0 件のコメント:

2022年4月25日月曜日

Mirai #5

ハニーで観測されたMiraiの特徴をもつパケットの統計

国によって攻撃対象となるポートもトレンドがあるのでしょうか。







時刻: 0 件のコメント:
ラベル:

2022年4月23日土曜日

exploit #5

exploitの判定ツール変更いたしました。 侵入で利用されるコマンドや呼び出しをルール化した検知に高度化した結果数字が大きくなりました。
時刻: 0 件のコメント:
ラベル:

2022年4月18日月曜日

動的解析検体数の推移

 日々ELFの検体を収集して解析を行なっています。

現在HASHユニークで68000検体の解析結果が蓄積できました。

継続は力となるのか?....力とするにはこれを有効活用しないとですね〜



時刻: 0 件のコメント:
ラベル:

Malwareのスキャンパケット

 マルウエアのスキャンパケットってソースポートがある程度限定的なのかもです。

下の絵の青のグラフがマルウエアからのスキャンと思われるパケットのソースポート番号です。

赤は通信先のポートでこの検体の場合はほぼ同じポートで、青のグラフのパケット数を足し算しても赤にならないのは赤のグラフにはスキャン以外の通信した時のパケットも入っているので、足し算しても同じにはならないのですが、波形の上下は似ているかと思います。




時刻: 0 件のコメント:
ラベル: ,

Mirai #4

 ハニーで観測されたMiraiの特徴をもつパケットの統計

4月13日はインドネシアからのパケットが急増しています。










時刻: 0 件のコメント:
ラベル: ,

2022年4月15日金曜日

exploit #4

 ハニーで観測されたMiraiの特徴をもつパケットの統計

4月13日のFranceからのパケットが急上昇しております。 なにが起こっているのでしょうか。






時刻: 0 件のコメント:
ラベル:

2022年4月13日水曜日

access #4

 ハニーで観測されたaccessパケットの統計

4/4からMexicoからのaccess増加が目立ちます。 今年に入ってからある日本企業のメキシコ工場への攻撃と関連があるのでしょうか。





時刻: 0 件のコメント:
ラベル:

動的解析

 4つですがELF(IoT)のマルウエアと思われるファイルを動的解析を行った時に発生した通信をスキャンとそれ以外で分けた時のパケット数をグラフ化した物です。

スキャンと判定する定義はTCPハンドシェークで最後のACKがない通信:青

  例として SYN → SYN/ACK → FIN など

上記以外の通信を赤で示したグラフです。

サンプルの4件検体についてはスキャンと通信を並行で行なっている様子が見れます。

さて、次はこの赤の中からC2らし物を見つけられるかの、高いハードルに挑戦!






時刻: 0 件のコメント:
ラベル: ,

2022年4月12日火曜日

動的解析ネットワークデータ

 動的解析でマルウエアが通信したIPアドレスをGoeIPで緯度経度情報を取得して

プロットして見た絵、ある程度固まって色がついてます。なぜ?


この様な情報にご興味がある方はご連絡ください。

kouichirou_okada@rainforest.tokyo
時刻: 0 件のコメント:
ラベル: ,

2022年4月10日日曜日

exploit #3

 ハニーで観測されたMiraiの特徴をもつパケットの統計

こちらも特定のハイポートへのパケットが計測されました。 過去の脆弱性であっても対策は必要ですね。






時刻: 0 件のコメント:
ラベル:

2022年4月8日金曜日

Mirai #3 追記

ハニーで観測されたMiraiの特徴をもつパケットの統計

ハイポートの中でも特定ポートへ集中しているようです。 2019年2月1日の注意喚起ですが、まだまだ狙われているということですね。 https://www.npa.go.jp/cyberpolice/important/2019/201902011.html


この様な情報にご興味がある方はご連絡ください。

kouichirou_okada@rainforest.tokyo





時刻: 0 件のコメント:
ラベル: ,

2022年4月7日木曜日

Mirai #3

 ハニーで観測されたMiraiの特徴をもつパケットの統計

23についで、37215,2323,5555などのポートへのパケットが目立ちます。







時刻: 0 件のコメント:
ラベル: ,

Sandbox DNS

 前にupした画像見たら日付がちゃんと並んでなかったので修正した。

各グラフの1、2、3は実際にはdomain名となります。



この様な情報にご興味がある方はご連絡ください。

kouichirou_okada@rainforest.tokyo




時刻: 0 件のコメント:
ラベル: ,

2022年4月6日水曜日

access #2

 ハニーで観測されたaccessパケットの統計

やはり23,445へのパケットが大半を占めています。









時刻: 0 件のコメント:
ラベル:

2022年4月3日日曜日

Mirai #2

ハニーで観測されたMiraiの特徴をもつパケットの統計 China、US共に26日に増加傾向が見られます。







時刻: 0 件のコメント:
ラベル: , ,
登録: 投稿 (Atom)

Ivanti Connect Secure/Ivanti Policy Secure

Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...

  • 動的解析
     IDS(Suricata)で検知したDNS通信の内容 https://api.krns.jp/sandbox/domain_malware ドメインとは思えない通信をしているマルウエアもいるのですが、これってBUG? https://www.krns.jp/ https://w...
  • 動的解析
     以前BlogにUPした以下のマルウエアがスキャンを行うportの組み合わせを https://api.krns.jp/sandbox/scan_daily clwit様からいただいているDarknetデータに突合し、どの程度のIPが同様のスキャンを行っているかグラフを作ってみた...
  • Ivanti Connect Secure/Ivanti Policy Secure
    Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...