Mirai #8

 ハニーで観測されたMiraiの特徴をもつパケットの統計

accessで見た場合は特に気になる変化はありませんが、miraiの特徴をもつパケットの観測では22日にItalyのパケットが急増しています。 また、miraiの特徴を持つパケットは22日は全体的に増加傾向に見えます。 どんな事象に影響を受けているのかきになります。

accessパケット国別のグラフ

miraiの特徴を持つパケット国別のグラフ

Mirai #7

 ハニーで観測されたMiraiの特徴をもつパケットの統計 制限せず公開しているハニーと、国内向けパケットに限定したハニーとを比較しましたが、送信元の国はほぼリンクしているようです。

制限なし

国内向け

以前にも紹介しましたが、JPCERT様でも我々同様Miraiの特徴を持つパケットの観測を行なっているようです。

https://www.jpcert.or.jp/tsubame/report/report202201-03.html#3

https://blogs.jpcert.or.jp/ja/2022/04/tsubame_overflow_2022-01-03.html

access #7

 通常のハニーと国内向けハニーのaccessについて比較を行いました。

通常

国内向け

 通常のハニーと国内向けのハニーとでは、国別で見た場合かなり差があります。

通常の場合は主に東南アジアからのパケットが主であり、国内向けの場合はUnited StatesかChinaからのパケットが主になっております。

この結果から、日本国内を標的にした場合に比べ、無作為な自動ツールは東南アジア(経由)のパケットが多いということが考えられます。

ちなみに観測されたほとんどは445へのパケットでした。

動的解析で得られたドメイン

 動的解析で収集されてDNSの名前解決されたドメイン名がどのDNSサーバに登録されているか情報を収集し、ネットワーク図にしてみた。

オレンジの点が登録されていると思われるDNSサーバ、水色の点がマルウエアが行ったと思われる名前解決。結構CDNなども利用してるようです。

access #6

 全体のaccessではPhilippines、Thailandが上位になっておりますが、miraiの特徴を持つパケットや、攻撃(exploit)と思われるパケットではChina、United Statesからのパケットが目立ちます。

miraiの特徴を持つパケット

exploitと思われるパケット

このHoneyでは観測できない、何かしらの攻撃の予兆なのでしょうか。

いずれにしてもかなり多くの自動ツールが運用されていることがわかります。

Miraiの注意喚起

 NICT様の情報

https://twitter.com/nicter_jp/status/1524640416938659840

NICT様の記事と相関がありそうななさそうな...　国内IPと判定されたグラフです。

Miraiのパケット

Miraiのスキャンパケットの特徴(通信先=シーケンス)をもつパケットの時計結果について

日毎にアクセスがあった場所に点をプロットしています、これを見ると定常的にアクセスがあるportとパラパラとアクセスがあるポートがある事がわかります。

同じプロット手法でアクセス数を点の大きさで表現すると定常的にアクセスがあるように見えます。(多分パラパラとアクセスがある点はボリュームが小さいためにつぶれてるのだと思います。)

この2つのデータからMiraiのパケットを送信するマルウエアらしきものが多くばらまかれて存在しているものが下のグラフに見えている可能性があるかもと考えます。

いかがでしょうかね？

日本からのアクセス

 FREEのgeoipでIPアドレスから国情報を取得し日本と判定されたIPのアクセスの統計情報

(データが０になっているのはシステムを調整した日でデータが正しく取れてない可能性があります)

各データはユニークIPではないので次回はユニークIPにするとどのようなグラフになるかやってみます。

ハニーポットにアクセスしてきた回数です

ハニーに侵入してきたと思われる回数です

Miraiのスキャンパケットの特徴を持ったアクセス数です

我々の小さなハニーポットの観測環境でも国内からもアクセス来るんだーと思いました。

https://blog.nicter.jp/2020/10/jp_mirai_spike/

NICT様のレポートでも国内の情報があります。

Miraiの特徴：通信先IPとシーケンス番号が同じパケット

exploit #7

 exploitの判定ツール変更いたしました。

5/2は調整を行いデータの取得ができせんでした。 変わらず23へのパケットが大半を占めております。

access #5

ハニーで観測されたaccessパケットの統計

特定のハイポートでなくハイポート全体へのパケットが確認できます。

Mirai #6

 ハニーで観測されたMiraiの特徴をもつパケットの統計 JPCERT様でも我々同様Miraiの特徴を持つパケットの観測を行なっているようです。

https://www.jpcert.or.jp/tsubame/report/report202201-03.html#3

https://blogs.jpcert.or.jp/ja/2022/04/tsubame_overflow_2022-01-03.html

exploit #6

 exploitの判定ツール変更いたしました。

4/22に判定ルールの変更行っております。 やはり23,2323ポートへのパケットが主です。

Mirai #5

ハニーで観測されたMiraiの特徴をもつパケットの統計

国によって攻撃対象となるポートもトレンドがあるのでしょうか。

exploit #5

exploitの判定ツール変更いたしました。 侵入で利用されるコマンドや呼び出しをルール化した検知に高度化した結果数字が大きくなりました。

動的解析検体数の推移

 日々ELFの検体を収集して解析を行なっています。

現在HASHユニークで68000検体の解析結果が蓄積できました。

継続は力となるのか？....力とするにはこれを有効活用しないとですね〜

Malwareのスキャンパケット

 マルウエアのスキャンパケットってソースポートがある程度限定的なのかもです。

下の絵の青のグラフがマルウエアからのスキャンと思われるパケットのソースポート番号です。

赤は通信先のポートでこの検体の場合はほぼ同じポートで、青のグラフのパケット数を足し算しても赤にならないのは赤のグラフにはスキャン以外の通信した時のパケットも入っているので、足し算しても同じにはならないのですが、波形の上下は似ているかと思います。

Mirai #4

 ハニーで観測されたMiraiの特徴をもつパケットの統計

4月13日はインドネシアからのパケットが急増しています。

exploit #4

 ハニーで観測されたMiraiの特徴をもつパケットの統計

4月13日のFranceからのパケットが急上昇しております。 なにが起こっているのでしょうか。

access #4

 ハニーで観測されたaccessパケットの統計

4/4からMexicoからのaccess増加が目立ちます。 今年に入ってからある日本企業のメキシコ工場への攻撃と関連があるのでしょうか。