kr:nsでBlackIPと判定されたIPアドレスに対してcensysでopen port情報を収集してみた。
#OSINT
#censys
#RainForest
#kr:ns
ハニーポットの観測網に飛んできたパケットから悪質と思われるIPアドレスをcensys searchにかけてopen portの情報を収集して件数をグラフ化してみた。
#OSINT
#censys
#kr:ns
#RainForest
運用しているハニーポットに侵入してきたり、マルウエダウンロドサイトだったり、Miraiの特徴があるIPアドレスをcensys searchでopen portを収集して、クローラでsnapshotを取得したらこんな画面が沢山収集できました。webで公開する準備してま〜す。
#osint
#censys
#kr:ns
#RainForest
久々の投稿です。
censys searchを利用して国内のCisco IOS-XEを検索して見つかったIPに対してgitにあったコードを参考にfull PoCではないですが、HTTPの応答を見てCVEの可能性のあるIP数を出してみた。
2023/10/20 : 334 ip
マルウエアがscan対象としているPORTがLiveネット(Darknet/Honypot)でどの程度通信があるか統計を取ってみた。
ハニーポットへの通信でmiraiと判定されたものとExploitと判定されたIPをshodanのDBに突合したみた。shodanにIPが全体的に少ない感じですが、下記のような件数になりました。
num:shodanにIPが存在した数
CVE:CVEの情報が存在した数
open:ポートが開いている数に対するIP数
kr:nsで悪質と判定されたIPをSpiderFootに登録して公開しました。
https://spiderfoot.rainforest-cs.jp/
まだ運用フェーズではないのでが、お試しレベルです。
動的解析で得られたscan情報を元にclwit様のdarknetデータやハニーなどへのlive通信を評価して実際にscanが行われる対象portのデータを抽出するAPIを追加しました。この情報を元に開いてるportをチェックするなどやってみようと思います。
以前BlogにUPした以下のマルウエアがスキャンを行うportの組み合わせを
https://api.krns.jp/sandbox/scan_daily
IDS(Suricata)で検知したDNS通信の内容
https://api.krns.jp/sandbox/domain_malware
マルウエアが行うスキャンポートの組み合わせグラフにBUGがあり、修正しました。
また、単位1のポートは削除し複数のスキャンのみ表示するようにしました。
https://api.krns.jp/sandbox/scan_daily
API更新
マルウエアのスキャン対象PORT取得APIを追加しました。
https://api.krns.jp/doc/schema/swagger-ui/#/api/%2Fapi%2Fintelligence%2Fmalware_scan_2
kr:nsで利用しているDarknetセンサーに届くSYN-ACKパケットの統計をとってみた。
port別top10は
1. 443
2. 80
3. 53
4. 600
5. 22
6. 7100
7. 25565
8. 8084
9. 8000
10. 30120
25565番はminecraft server
30120番もどうやらゲーム関連のサーバ
国別の統計をとってみるとこんな感じ
kr:ns(クロノス)観測網で収集された情報を下記のgitで配信開始しました。
更新頻度は月1回を予定しています。
https://bitbucket.org/KouichirouOkadaRainForest/krns-data/src/master/
Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...