久々の更新
2023年12月6日水曜日
2023年11月7日火曜日
2023年11月1日水曜日
censys search+kr:ns
ハニーポットの観測網に飛んできたパケットから悪質と思われるIPアドレスをcensys searchにかけてopen portの情報を収集して件数をグラフ化してみた。
#OSINT
#censys
#kr:ns
#RainForest
2023年10月30日月曜日
クローラでsnapshot
運用しているハニーポットに侵入してきたり、マルウエダウンロドサイトだったり、Miraiの特徴があるIPアドレスをcensys searchでopen portを収集して、クローラでsnapshotを取得したらこんな画面が沢山収集できました。webで公開する準備してま〜す。
#osint
#censys
#kr:ns
#RainForest
2023年10月20日金曜日
censys search
久々の投稿です。
censys searchを利用して国内のCisco IOS-XEを検索して見つかったIPに対してgitにあったコードを参考にfull PoCではないですが、HTTPの応答を見てCVEの可能性のあるIP数を出してみた。
2023/10/20 : 334 ip
2023年6月26日月曜日
ScanPort
マルウエアがscan対象としているPORTがLiveネット(Darknet/Honypot)でどの程度通信があるか統計を取ってみた。
2023年6月24日土曜日
Shodan
ハニーポットへの通信でmiraiと判定されたものとExploitと判定されたIPをshodanのDBに突合したみた。shodanにIPが全体的に少ない感じですが、下記のような件数になりました。
num:shodanにIPが存在した数
CVE:CVEの情報が存在した数
open:ポートが開いている数に対するIP数
2023年6月22日木曜日
SpiderFoot
kr:nsで悪質と判定されたIPをSpiderFootに登録して公開しました。
https://spiderfoot.rainforest-cs.jp/
まだ運用フェーズではないのでが、お試しレベルです。
API更新
動的解析で得られたscan情報を元にclwit様のdarknetデータやハニーなどへのlive通信を評価して実際にscanが行われる対象portのデータを抽出するAPIを追加しました。この情報を元に開いてるportをチェックするなどやってみようと思います。
https://www.krns.jp/
https://www.rainforest-cs.jp/
2023年6月6日火曜日
2023年5月7日日曜日
2023年4月17日月曜日
動的解析
以前BlogにUPした以下のマルウエアがスキャンを行うportの組み合わせを
https://api.krns.jp/sandbox/scan_daily
2023年4月14日金曜日
動的解析
IDS(Suricata)で検知したDNS通信の内容
https://api.krns.jp/sandbox/domain_malware
2023年4月13日木曜日
2023年4月11日火曜日
動的解析(修正)
マルウエアが行うスキャンポートの組み合わせグラフにBUGがあり、修正しました。
また、単位1のポートは削除し複数のスキャンのみ表示するようにしました。
https://api.krns.jp/sandbox/scan_daily
2023年4月10日月曜日
2023年4月4日火曜日
API更新
API更新
マルウエアのスキャン対象PORT取得APIを追加しました。
https://api.krns.jp/doc/schema/swagger-ui/#/api/%2Fapi%2Fintelligence%2Fmalware_scan_2
2023年1月20日金曜日
Darknetデータ
kr:nsで利用しているDarknetセンサーに届くSYN-ACKパケットの統計をとってみた。
port別top10は
1. 443
2. 80
3. 53
4. 600
5. 22
6. 7100
7. 25565
8. 8084
9. 8000
10. 30120
25565番はminecraft server
30120番もどうやらゲーム関連のサーバ
国別の統計をとってみるとこんな感じ
Ivanti Connect Secure/Ivanti Policy Secure
Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...
-
Ivanti Connect Secure/Ivanti Policy Secureをcensysで検索してみた。 https://www.jpcert.or.jp/at/2024/at240002.html?fbclid=IwAR18ioJ4JciNYj8aD1odGseAnW...
-
運用しているハニーポットに侵入してきたり、マルウエダウンロドサイトだったり、Miraiの特徴があるIPアドレスをcensys searchでopen portを収集して、クローラでsnapshotを取得したらこんな画面が沢山収集できました。webで公開する準備してま〜す。 #os...
-
IDS(Suricata)で検知したDNS通信の内容 https://api.krns.jp/sandbox/domain_malware ドメインとは思えない通信をしているマルウエアもいるのですが、これってBUG? https://www.krns.jp/ https://w...