RainForest ASM

 久々の更新

Censysのlabel検索から詳細データを表示するようにしました！

#censys

#RainForest

#OSINT

#CyberSecurity

censys search+kr:ns

kr:nsでBlackIPと判定されたIPアドレスに対してcensysでopen port情報を収集してみた。

#OSINT

#censys

#RainForest

#kr:ns

censys search+kr:ns

ハニーポットの観測網に飛んできたパケットから悪質と思われるIPアドレスをcensys searchにかけてopen portの情報を収集して件数をグラフ化してみた。

#OSINT

#censys

#kr:ns

#RainForest

クローラでsnapshot

運用しているハニーポットに侵入してきたり、マルウエダウンロドサイトだったり、Miraiの特徴があるIPアドレスをcensys searchでopen portを収集して、クローラでsnapshotを取得したらこんな画面が沢山収集できました。webで公開する準備してま〜す。

#osint

#censys

#kr:ns

#RainForest

censys search

 久々の投稿です。

censys searchを利用して国内のCisco IOS-XEを検索して見つかったIPに対してgitにあったコードを参考にfull PoCではないですが、HTTPの応答を見てCVEの可能性のあるIP数を出してみた。

2023/10/20 : 334 ip

ScanPort

 マルウエアがscan対象としているPORTがLiveネット(Darknet/Honypot)でどの程度通信があるか統計を取ってみた。

https://www.krns.jp/

https://www.rainforest-cs.jp/

Shodan

ハニーポットへの通信でmiraiと判定されたものとExploitと判定されたIPをshodanのDBに突合したみた。shodanにIPが全体的に少ない感じですが、下記のような件数になりました。

num：shodanにIPが存在した数

CVE：CVEの情報が存在した数

open：ポートが開いている数に対するIP数

https://www.krns.jp/

https://www.rainforest-cs.jp/

SpiderFoot

kr:nsで悪質と判定されたIPをSpiderFootに登録して公開しました。

https://spiderfoot.rainforest-cs.jp/

まだ運用フェーズではないのでが、お試しレベルです。

https://www.krns.jp/

https://www.rainforest-cs.jp/

API更新

 動的解析で得られたscan情報を元にclwit様のdarknetデータやハニーなどへのlive通信を評価して実際にscanが行われる対象portのデータを抽出するAPIを追加しました。この情報を元に開いてるportをチェックするなどやってみようと思います。

https://www.krns.jp/
https://www.rainforest-cs.jp/

ダウンロードIP

 マルウエアを配布しているIPアドレスを逆引きした結果

https://api.krns.jp/sandbox/malware_hostname

https://www.rainforest-cs.jp/

ハニーポット

 ハニーポットで観測されたExploitに利用されたHTTP情報

https://api.krns.jp/honeypot/

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 以前BlogにUPした以下のマルウエアがスキャンを行うportの組み合わせを

https://api.krns.jp/sandbox/scan_daily

clwit様からいただいているDarknetデータに突合し、どの程度のIPが同様のスキャンを行っているかグラフを作ってみた。

https://api.krns.jp/sandbox/darknet_daily

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 IDS(Suricata)で検知したDNS通信の内容

https://api.krns.jp/sandbox/domain_malware

ドメインとは思えない通信をしているマルウエアもいるのですが、これってBUG?

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 マルウエアが待ち受けするPORT情報

https://api.krns.jp/sandbox/malware_lport

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析(修正)

 マルウエアが行うスキャンポートの組み合わせグラフにBUGがあり、修正しました。

また、単位１のポートは削除し複数のスキャンのみ表示するようにしました。

https://api.krns.jp/sandbox/scan_daily

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 マルウエアダウンロード元IPとMalware HASHの関係

https://api.krns.jp/sandbox/host_malware

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 動的解析のスキャン以外の通信先が生きてるかチェック結果のグラフを作ってみた。

https://api.krns.jp/sandbox/c2

https://www.krns.jp/

動的解析

 動的解析結果のスキャン以外の通信とFile Hashの関係の可視化追加しました。

注意：点数が多いので表示までに時間がかかります。

https://api.krns.jp/sandbox/c2_malware

API更新

  API更新

マルウエアのスキャン対象PORT取得APIを追加しました。

https://api.krns.jp/doc/schema/swagger-ui/#/api/%2Fapi%2Fintelligence%2Fmalware_scan_2

Darknetデータ

 kr:nsで利用しているDarknetセンサーに届くSYN-ACKパケットの統計をとってみた。

port別top10は

1. 443

2. 80

3. 53

4. 600

5. 22

6. 7100

7. 25565

8. 8084

9. 8000

10. 30120

25565番はminecraft server

30120番もどうやらゲーム関連のサーバ

国別の統計をとってみるとこんな感じ