ハニーで観測されたaccessパケットの統計
特定のハイポートでなくハイポート全体へのパケットが確認できます。
マルウエアのスキャンパケットってソースポートがある程度限定的なのかもです。
下の絵の青のグラフがマルウエアからのスキャンと思われるパケットのソースポート番号です。
赤は通信先のポートでこの検体の場合はほぼ同じポートで、青のグラフのパケット数を足し算しても赤にならないのは赤のグラフにはスキャン以外の通信した時のパケットも入っているので、足し算しても同じにはならないのですが、波形の上下は似ているかと思います。
動的解析でマルウエアが通信したIPアドレスをGoeIPで緯度経度情報を取得して
プロットして見た絵、ある程度固まって色がついてます。なぜ?
ハニーで観測されたMiraiの特徴をもつパケットの統計
ハイポートの中でも特定ポートへ集中しているようです。 2019年2月1日の注意喚起ですが、まだまだ狙われているということですね。 https://www.npa.go.jp/cyberpolice/important/2019/201902011.html
Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...