ScanPort

 マルウエアがscan対象としているPORTがLiveネット(Darknet/Honypot)でどの程度通信があるか統計を取ってみた。

https://www.krns.jp/

https://www.rainforest-cs.jp/

Shodan

ハニーポットへの通信でmiraiと判定されたものとExploitと判定されたIPをshodanのDBに突合したみた。shodanにIPが全体的に少ない感じですが、下記のような件数になりました。

num：shodanにIPが存在した数

CVE：CVEの情報が存在した数

open：ポートが開いている数に対するIP数

https://www.krns.jp/

https://www.rainforest-cs.jp/

SpiderFoot

kr:nsで悪質と判定されたIPをSpiderFootに登録して公開しました。

https://spiderfoot.rainforest-cs.jp/

まだ運用フェーズではないのでが、お試しレベルです。

https://www.krns.jp/

https://www.rainforest-cs.jp/

API更新

 動的解析で得られたscan情報を元にclwit様のdarknetデータやハニーなどへのlive通信を評価して実際にscanが行われる対象portのデータを抽出するAPIを追加しました。この情報を元に開いてるportをチェックするなどやってみようと思います。

https://www.krns.jp/
https://www.rainforest-cs.jp/

ダウンロードIP

 マルウエアを配布しているIPアドレスを逆引きした結果

https://api.krns.jp/sandbox/malware_hostname

https://www.rainforest-cs.jp/

ハニーポット

 ハニーポットで観測されたExploitに利用されたHTTP情報

https://api.krns.jp/honeypot/

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 以前BlogにUPした以下のマルウエアがスキャンを行うportの組み合わせを

https://api.krns.jp/sandbox/scan_daily

clwit様からいただいているDarknetデータに突合し、どの程度のIPが同様のスキャンを行っているかグラフを作ってみた。

https://api.krns.jp/sandbox/darknet_daily

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 IDS(Suricata)で検知したDNS通信の内容

https://api.krns.jp/sandbox/domain_malware

ドメインとは思えない通信をしているマルウエアもいるのですが、これってBUG?

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 マルウエアが待ち受けするPORT情報

https://api.krns.jp/sandbox/malware_lport

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析(修正)

 マルウエアが行うスキャンポートの組み合わせグラフにBUGがあり、修正しました。

また、単位１のポートは削除し複数のスキャンのみ表示するようにしました。

https://api.krns.jp/sandbox/scan_daily

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 マルウエアダウンロード元IPとMalware HASHの関係

https://api.krns.jp/sandbox/host_malware

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 動的解析のスキャン以外の通信先が生きてるかチェック結果のグラフを作ってみた。

https://api.krns.jp/sandbox/c2

https://www.krns.jp/

動的解析

 動的解析結果のスキャン以外の通信とFile Hashの関係の可視化追加しました。

注意：点数が多いので表示までに時間がかかります。

https://api.krns.jp/sandbox/c2_malware

API更新

  API更新

マルウエアのスキャン対象PORT取得APIを追加しました。

https://api.krns.jp/doc/schema/swagger-ui/#/api/%2Fapi%2Fintelligence%2Fmalware_scan_2

Darknetデータ

 kr:nsで利用しているDarknetセンサーに届くSYN-ACKパケットの統計をとってみた。

port別top10は

1. 443

2. 80

3. 53

4. 600

5. 22

6. 7100

7. 25565

8. 8084

9. 8000

10. 30120

25565番はminecraft server

30120番もどうやらゲーム関連のサーバ

国別の統計をとってみるとこんな感じ

kr:ns

 kr:ns(クロノス)観測網で収集された情報を下記のgitで配信開始しました。

更新頻度は月1回を予定しています。

https://bitbucket.org/KouichirouOkadaRainForest/krns-data/src/master/

Mirai #8

 ハニーで観測されたMiraiの特徴をもつパケットの統計

accessで見た場合は特に気になる変化はありませんが、miraiの特徴をもつパケットの観測では22日にItalyのパケットが急増しています。 また、miraiの特徴を持つパケットは22日は全体的に増加傾向に見えます。 どんな事象に影響を受けているのかきになります。

accessパケット国別のグラフ

miraiの特徴を持つパケット国別のグラフ

Mirai #7

 ハニーで観測されたMiraiの特徴をもつパケットの統計 制限せず公開しているハニーと、国内向けパケットに限定したハニーとを比較しましたが、送信元の国はほぼリンクしているようです。

制限なし

国内向け

以前にも紹介しましたが、JPCERT様でも我々同様Miraiの特徴を持つパケットの観測を行なっているようです。

https://www.jpcert.or.jp/tsubame/report/report202201-03.html#3

https://blogs.jpcert.or.jp/ja/2022/04/tsubame_overflow_2022-01-03.html

access #7

 通常のハニーと国内向けハニーのaccessについて比較を行いました。

通常

国内向け

 通常のハニーと国内向けのハニーとでは、国別で見た場合かなり差があります。

通常の場合は主に東南アジアからのパケットが主であり、国内向けの場合はUnited StatesかChinaからのパケットが主になっております。

この結果から、日本国内を標的にした場合に比べ、無作為な自動ツールは東南アジア(経由)のパケットが多いということが考えられます。

ちなみに観測されたほとんどは445へのパケットでした。

動的解析で得られたドメイン

 動的解析で収集されてDNSの名前解決されたドメイン名がどのDNSサーバに登録されているか情報を収集し、ネットワーク図にしてみた。

オレンジの点が登録されていると思われるDNSサーバ、水色の点がマルウエアが行ったと思われる名前解決。結構CDNなども利用してるようです。