マルウエアが待ち受けするPORT情報
https://api.krns.jp/sandbox/malware_lport
マルウエアが行うスキャンポートの組み合わせグラフにBUGがあり、修正しました。
また、単位1のポートは削除し複数のスキャンのみ表示するようにしました。
https://api.krns.jp/sandbox/scan_daily
API更新
マルウエアのスキャン対象PORT取得APIを追加しました。
https://api.krns.jp/doc/schema/swagger-ui/#/api/%2Fapi%2Fintelligence%2Fmalware_scan_2
kr:nsで利用しているDarknetセンサーに届くSYN-ACKパケットの統計をとってみた。
port別top10は
1. 443
2. 80
3. 53
4. 600
5. 22
6. 7100
7. 25565
8. 8084
9. 8000
10. 30120
25565番はminecraft server
30120番もどうやらゲーム関連のサーバ
国別の統計をとってみるとこんな感じ
kr:ns(クロノス)観測網で収集された情報を下記のgitで配信開始しました。
更新頻度は月1回を予定しています。
https://bitbucket.org/KouichirouOkadaRainForest/krns-data/src/master/
ハニーで観測されたMiraiの特徴をもつパケットの統計
accessで見た場合は特に気になる変化はありませんが、miraiの特徴をもつパケットの観測では22日にItalyのパケットが急増しています。 また、miraiの特徴を持つパケットは22日は全体的に増加傾向に見えます。 どんな事象に影響を受けているのかきになります。
ハニーで観測されたMiraiの特徴をもつパケットの統計 制限せず公開しているハニーと、国内向けパケットに限定したハニーとを比較しましたが、送信元の国はほぼリンクしているようです。
以前にも紹介しましたが、JPCERT様でも我々同様Miraiの特徴を持つパケットの観測を行なっているようです。
通常のハニーと国内向けハニーのaccessについて比較を行いました。
動的解析で収集されてDNSの名前解決されたドメイン名がどのDNSサーバに登録されているか情報を収集し、ネットワーク図にしてみた。
オレンジの点が登録されていると思われるDNSサーバ、水色の点がマルウエアが行ったと思われる名前解決。結構CDNなども利用してるようです。
全体のaccessではPhilippines、Thailandが上位になっておりますが、miraiの特徴を持つパケットや、攻撃(exploit)と思われるパケットではChina、United Statesからのパケットが目立ちます。
NICT様の情報
https://twitter.com/nicter_jp/status/1524640416938659840
NICT様の記事と相関がありそうななさそうな... 国内IPと判定されたグラフです。
Miraiのスキャンパケットの特徴(通信先=シーケンス)をもつパケットの時計結果について
日毎にアクセスがあった場所に点をプロットしています、これを見ると定常的にアクセスがあるportとパラパラとアクセスがあるポートがある事がわかります。
同じプロット手法でアクセス数を点の大きさで表現すると定常的にアクセスがあるように見えます。(多分パラパラとアクセスがある点はボリュームが小さいためにつぶれてるのだと思います。)FREEのgeoipでIPアドレスから国情報を取得し日本と判定されたIPのアクセスの統計情報
(データが0になっているのはシステムを調整した日でデータが正しく取れてない可能性があります)
各データはユニークIPではないので次回はユニークIPにするとどのようなグラフになるかやってみます。
ハニーポットにアクセスしてきた回数です
Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...