ハニーポット

 ハニーポットで観測されたExploitに利用されたHTTP情報

https://api.krns.jp/honeypot/

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 以前BlogにUPした以下のマルウエアがスキャンを行うportの組み合わせを

https://api.krns.jp/sandbox/scan_daily

clwit様からいただいているDarknetデータに突合し、どの程度のIPが同様のスキャンを行っているかグラフを作ってみた。

https://api.krns.jp/sandbox/darknet_daily

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 IDS(Suricata)で検知したDNS通信の内容

https://api.krns.jp/sandbox/domain_malware

ドメインとは思えない通信をしているマルウエアもいるのですが、これってBUG?

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 マルウエアが待ち受けするPORT情報

https://api.krns.jp/sandbox/malware_lport

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析(修正)

 マルウエアが行うスキャンポートの組み合わせグラフにBUGがあり、修正しました。

また、単位１のポートは削除し複数のスキャンのみ表示するようにしました。

https://api.krns.jp/sandbox/scan_daily

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 マルウエアダウンロード元IPとMalware HASHの関係

https://api.krns.jp/sandbox/host_malware

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 動的解析のスキャン以外の通信先が生きてるかチェック結果のグラフを作ってみた。

https://api.krns.jp/sandbox/c2

https://www.krns.jp/

動的解析

 動的解析結果のスキャン以外の通信とFile Hashの関係の可視化追加しました。

注意：点数が多いので表示までに時間がかかります。

https://api.krns.jp/sandbox/c2_malware

API更新

  API更新

マルウエアのスキャン対象PORT取得APIを追加しました。

https://api.krns.jp/doc/schema/swagger-ui/#/api/%2Fapi%2Fintelligence%2Fmalware_scan_2

Darknetデータ

 kr:nsで利用しているDarknetセンサーに届くSYN-ACKパケットの統計をとってみた。

port別top10は

1. 443

2. 80

3. 53

4. 600

5. 22

6. 7100

7. 25565

8. 8084

9. 8000

10. 30120

25565番はminecraft server

30120番もどうやらゲーム関連のサーバ

国別の統計をとってみるとこんな感じ

kr:ns

 kr:ns(クロノス)観測網で収集された情報を下記のgitで配信開始しました。

更新頻度は月1回を予定しています。

https://bitbucket.org/KouichirouOkadaRainForest/krns-data/src/master/

Mirai #8

 ハニーで観測されたMiraiの特徴をもつパケットの統計

accessで見た場合は特に気になる変化はありませんが、miraiの特徴をもつパケットの観測では22日にItalyのパケットが急増しています。 また、miraiの特徴を持つパケットは22日は全体的に増加傾向に見えます。 どんな事象に影響を受けているのかきになります。

accessパケット国別のグラフ

miraiの特徴を持つパケット国別のグラフ

Mirai #7

 ハニーで観測されたMiraiの特徴をもつパケットの統計 制限せず公開しているハニーと、国内向けパケットに限定したハニーとを比較しましたが、送信元の国はほぼリンクしているようです。

制限なし

国内向け

以前にも紹介しましたが、JPCERT様でも我々同様Miraiの特徴を持つパケットの観測を行なっているようです。

https://www.jpcert.or.jp/tsubame/report/report202201-03.html#3

https://blogs.jpcert.or.jp/ja/2022/04/tsubame_overflow_2022-01-03.html

access #7

 通常のハニーと国内向けハニーのaccessについて比較を行いました。

通常

国内向け

 通常のハニーと国内向けのハニーとでは、国別で見た場合かなり差があります。

通常の場合は主に東南アジアからのパケットが主であり、国内向けの場合はUnited StatesかChinaからのパケットが主になっております。

この結果から、日本国内を標的にした場合に比べ、無作為な自動ツールは東南アジア(経由)のパケットが多いということが考えられます。

ちなみに観測されたほとんどは445へのパケットでした。

動的解析で得られたドメイン

 動的解析で収集されてDNSの名前解決されたドメイン名がどのDNSサーバに登録されているか情報を収集し、ネットワーク図にしてみた。

オレンジの点が登録されていると思われるDNSサーバ、水色の点がマルウエアが行ったと思われる名前解決。結構CDNなども利用してるようです。

access #6

 全体のaccessではPhilippines、Thailandが上位になっておりますが、miraiの特徴を持つパケットや、攻撃(exploit)と思われるパケットではChina、United Statesからのパケットが目立ちます。

miraiの特徴を持つパケット

exploitと思われるパケット

このHoneyでは観測できない、何かしらの攻撃の予兆なのでしょうか。

いずれにしてもかなり多くの自動ツールが運用されていることがわかります。

Miraiの注意喚起

 NICT様の情報

https://twitter.com/nicter_jp/status/1524640416938659840

NICT様の記事と相関がありそうななさそうな...　国内IPと判定されたグラフです。

Miraiのパケット

Miraiのスキャンパケットの特徴(通信先=シーケンス)をもつパケットの時計結果について

日毎にアクセスがあった場所に点をプロットしています、これを見ると定常的にアクセスがあるportとパラパラとアクセスがあるポートがある事がわかります。

同じプロット手法でアクセス数を点の大きさで表現すると定常的にアクセスがあるように見えます。(多分パラパラとアクセスがある点はボリュームが小さいためにつぶれてるのだと思います。)

この2つのデータからMiraiのパケットを送信するマルウエアらしきものが多くばらまかれて存在しているものが下のグラフに見えている可能性があるかもと考えます。

いかがでしょうかね？

日本からのアクセス

 FREEのgeoipでIPアドレスから国情報を取得し日本と判定されたIPのアクセスの統計情報

(データが０になっているのはシステムを調整した日でデータが正しく取れてない可能性があります)

各データはユニークIPではないので次回はユニークIPにするとどのようなグラフになるかやってみます。

ハニーポットにアクセスしてきた回数です

ハニーに侵入してきたと思われる回数です

Miraiのスキャンパケットの特徴を持ったアクセス数です

我々の小さなハニーポットの観測環境でも国内からもアクセス来るんだーと思いました。

https://blog.nicter.jp/2020/10/jp_mirai_spike/

NICT様のレポートでも国内の情報があります。

Miraiの特徴：通信先IPとシーケンス番号が同じパケット

exploit #7

 exploitの判定ツール変更いたしました。

5/2は調整を行いデータの取得ができせんでした。 変わらず23へのパケットが大半を占めております。