NICTに届くメールに添付された不審ファイルの分析環境の紹介

 Posted on 2024-03-18  |  Takuya Hida

はじめに

 NICTのライブネットチームでは、NICTが管理するネットワークに届く攻撃通信やメールアドレス宛に届く不審ファイルの分析など、日々のSOCオペレーションを行っています。これまでもArkimeを使ったセキュリティオペレーションの手法1やフィッシングメールのターゲットの傾向分析2、Emotetの観測状況3 4などをブログで紹介してきました。今回はNICTに届いたメールに添付された不審なファイルの分析に焦点を当てて、NICTで利用している環境を紹介します。

[Read More]
suspicious-email  malware  analysis 

NICTER観測統計 - 2023年10月~12月

 Posted on 2024-02-15  |  Yukiko Endo

はじめに

NICTER プロジェクトのダークネット観測網における 2023 年第 4 四半期(10月~12月)の観測結果を公開します.

2023年第4四半期の観測統計

総観測パケット数

表 1 に総観測パケット数の統計値を示します1

[Read More]
annual-report  scanner  iot-botnet  mirai 

Credential Leakage Issues in ASUS Routers and Countermeasures

 Posted on 2023-12-27  |  NICTER Analysis Team

The NICTER project conducts researches on the vulnerabilities of IoT devices, as well as observations of those exploitations. Recently, we found a new attack method that exploits the DDNS feature of ASUS routers and their management app ‘ASUS Router App’ to acquire router credentials. We formally reported this vulnerability to ASUS.

In response, ASUS published an advisory on July 25, 2023, titled ‘Strengthening DDNS Security for RT-AX1800U, RT-AX3000, RT-AX3000 v2, RT-AX86U, TUF-AX3000 and TUF-AX5400’.

[Read More]
vulnerability  iot  router  ddns 

ASUSルータにおける認証情報が漏洩する問題とその対策方法

 Posted on 2023-12-27  |  NICTER Analysis Team

NICTER プロジェクトでは IoT 機器の脆弱性に関する調査や脆弱性を悪用した攻撃の観測などを行なっています.今回,ASUS 製のルータとその管理用アプリ「ASUS Router App」の DDNS 機能を悪用してルータの認証情報を取得する新しい攻撃手法を発見し,この脆弱性について,製造元である ASUS に正式に報告を行いました.

[Read More]
vulnerability  iot  router  ddns 

ActiveMQの脆弱性(CVE-2023-46604)を悪用したボットの感染活動について

 Posted on 2023-12-04  |  NICTER Analysis Team

はじめに

 サイバーセキュリティ研究室 解析チームでは NICTERのダークネット観測網に届くパケットの分析や送信元ホストに関する調査を日々行っています.今回のブログでは,2023年11月に観測したActivMQの脆弱性に関連したパケット数の増加について紹介します.

[Read More]
vulnerability  iot-botnet  mirai  muhstik 

NICTER観測統計 - 2023年7月~9月

 Posted on 2023-10-31  |  Yukiko Endo, Yoshiki Mori, Masaki Kubo

はじめに

NICTER プロジェクトのダークネット観測網における 2023 年第 3 四半期(7月~9月)の観測結果を公開します.

annual-report  scanner  iot-botnet  mirai 

NICTER観測統計 - 2023年4 月~6月

 Posted on 2023-08-08  |  Yukiko Endo, Yoshiki Mori, Masaki Kubo

はじめに

NICTER プロジェクトのダークネット観測網における 2023 年第 2 四半期(4月~6月)の観測結果を公開します.

annual-report  scanner  iot-botnet  mirai 

NICTER観測統計 - 2023年1 月~3月

 Posted on 2023-04-26  |  Yukiko Endo, Yoshiki Mori, Masaki Kubo

はじめに

NICTER プロジェクトのダークネット観測網における 2023 年第 1 四半期(1月~3月)の観測結果を公開します.

annual-report  scanner  iot-botnet  mirai 

Arkimeを使ったセキュリティオペレーション

 Posted on 2023-03-16  |  Masato Jingu

はじめに

SOC アナリストにとって,監視対象のログをどこまで保全できるかというのは,インシデント調査を行う上で重要な要素になります.特にトラフィックのフルキャプチャデータは,検出されたサイバー攻撃の詳細調査やサイバー攻撃の影響範囲を特定する上で重要なデータです.NICT の解析チームでは,フルパケットキャプチャおよびパケット分析ツールの一つとしてオープンソースの Arkime を利用しています.セキュリティオペレーションにおいて Arkime は非常に強力なツールですが,日本語で紹介している情報があまり多くないため,今回は NICT のライブネット観測システムにおける運用方法や実際に Arkime を活用した事例をご紹介します.

[Read More]
arkime  soc  tool 

NICTER観測統計 - 2022年10 月~12月

 Posted on 2023-03-07  |  Yukiko Endo

はじめに

NICTER プロジェクトのダークネット観測網における 2022 年第 4 四半期(10月~12月)の観測結果を公開します.

annual-report  scanner  iot-botnet  mirai