水曜日, 11月 02, 2016

#OCJP-132: Linux IoTのマルウェア、国内の感染について

■はじめに

Linux IoTマルウェアについて、僕が書いている英語のブログ/MalwareMustDieで最近結構研究しています。色んなマルウェア種類を発見し、そのマルウェアの感染目的は殆どボットネット、DDoS、ハッキング踏み台、スパムのプロキシ、など。

一つの種類は2年前MalwareMustDieのチームで「ShellShock」の時代にはじめて発見しましたELF/DDoSトロイ「GayFgt/Torlus/LizKebab/Qbot/Bashdoor/Bash0day/Bashlite」のマルウェアですね。名前が沢山ありますが同じ物で、「LizardSquad」が作ったマルウェアです。

当時僕がそのGayFgtのマルウェアをリバーシングしながらそのままでVirusTotalにレポートを書きました。その時の調査実績の証拠はこのゼロデイジャパンのブログに残しました。

今はshellshockの脆弱性がはやっているタイミングではなく、IoTマルウェアの感染時期で、進化された「GayFgt/Torlus/LizKebab/Qbot/Bashdoor/Bash0day/Bashlite」種類のマルウェアを沢山発見しています。

■CNC情報と日本の感染について

今日、海外にとある「GayFgt/Torlus/LizKebab/Qbot/Bashdoor/Bash0day/Bashlite」マルウェアのCNCサーバから感染されたIoTの情報を洗い出して、合計は1,944件 (uniq)のIPアドレスがあることを確認しました。


その中に19件は日本国内からのIPで、その7件は国内でのIoTネットワーク機械のIoTです。

19件の中にtelnetdサービスがダウンしているデバイスが多くて、とても良かったです。何台かハニーポットで、その残りの7件は外からのチェックて機械のモデル情報を確認しました。

■どんな種類のIoTかというと

確認の為にIoTのOS/Distro情報が必要ですので、そのデータを狙い、そして様々なOSディストリビューションに確認しました。チェックした結果は「大体」下記のネットワーク機械情報となります↓

Linux OSのmipsとarm cpuのIoTですね。

■結論

1. 海外と比べたら日本国内の感染率が低いですがゼロではありません。
2. telnetdがグローバルIPで運用されたら直ぐに攻撃が来るので、成るべくtelnetdサービスを使わず、若しくはアクセス制限をかけて、運用をして下さい。
3. IoTデバイスがあるネットワークには、内部⇒外部のネットワークトラフィックに不正なトラフィック(DoSなど)があるかどうかをモニターして下さい。

@unixfreaxjp/0day.jp Wed Nov 2 22:23:39 JST 2016

日曜日, 10月 16, 2016

#OCJP-131: 日本国内で悪用された「DNSアンプ攻撃」について

■はじめに

まず、「DNSアンプ攻撃」が分からない方はこちらをご覧下さい。そしてDNS「オープンリゾルバ/Open Resolvers」についてはこちらのリンクに纏めて説明しています

「DNSアンプ攻撃」と「オープンリゾルバ」の関係は↓

Open Resolvers pose a significant threat to the global network infrastructure 
by answering recursive queries for hosts outside of its domain. 
They are utilized in DNS Amplification attacks 
リファレンス: Open Resolver Project openresolverproject.org

大体4月中旬から少しずつ日本国内に悪用された「DNSアンプ攻撃」のIPレポートが届きました。7月ぐらいに結構溜まりますが、国内セキュリティのリング皆様に手続きについて頼んで、報告しました。今2ヶ月以降で、未だ脆弱性が残っているDNSサーバも御座いますし、このブログに本件を報告させて頂きます。

■「DNSアンプ攻撃」の脆弱性をチェックする仕方について

WindowsやLinux/BSDのshellで「DNSアンプ攻撃」の脆弱性の確認が簡単に出来ます。
念のために下記のチェック仕方を参考として公開しますので、是非、使って下さい。

まず、shellでnslookupを使い下記のフォーマットで確認↓

nslookup <存在しているドメイン> <チェックしたいDNSサーバのIP>

例えば↓
$ nslookup malwaremustdie.org 1.2.3.4

もし回答は下記の様になりましたら...
$ nslookup malwaremustdie.org 1.2.3.4
Server:         1.2.3.4
Address:        1.2.3.4#53

Non-authoritative answer:   <=======
Name:   malwaremustdie.org
Address: 64.233.189.121
Name:   malwaremustdie.org
Address: 216.239.32.21
Name:   malwaremustdie.org
Address: 216.239.36.21
  :     :
...その回答の中に「Non-authoritative answer」とその他情報が出たら「1.2.3.4」のDNSサーバが「DNSアンプ攻撃」の脆弱性があるとのことです。もっとセキュアな設定を行ってください。

下記の回答が出たら、あなたのサーバはDNSオープンリゾルバの問題がありません↓

$ nslookup hatena.jp 216.59.57.100
Server:         216.59.57.100
Address:        216.59.57.100#53

** server can't find hatena.jp: REFUSED <=============


■対策について、DNSサーバの安全設定する方法(bind9のみ)

1. bindでドメインrecursionの設定を無効にすること↓

options {
     allow-query-cache { none; };
     recursion no;
};
2. もしrecursionを無効にすることができない場合、ACL(IPアクセスの制限設定)を書く必要があります↓
acl corpnets { 192.168.2.0/24; 192.168.3.0/24; };
options {
  allow-query { any; };
  allow-recursion { corpnets; };
};
3. DNSアンプ悪用されないように「Response Rate Limiting/RRL」の設定はおすすめです。
例えば5秒以内の連続リクエストをブロックする設定は下記のように書きます↓
rate-limit {
    responses-per-second 5;
    window 5;
};

※設定が完了したら、nslookupでもう一度確認してください
※そして、念のためにDNSの設定が大丈夫かどうかの確認の為、オンラインチェックツールもありますが、

私のお勧めは「dnsinspect.com」です↓


■レポートした日本国内で悪用されたDNSサーバIP(BGPフィードのみ)

※)直りましたサーバも沢山あります、念の為に上記に書いたやり方でご確認をお願い致します。
※)下記のIPアドレスはとある国官公庁の攻撃ログに発見しましたので、国内と海外色んな所に報告済みです。

101.102.145.26 | nwsrvn002.NMLICA.JP. |17676 | 101.102.128.0/17 | GIGAINFRA | JP | tcs-dc.jp | Tokyo Nissan Computer System Co. Ltd
110.3.193.53 | 53.193.3.110.ap.yournet.ne.jp. |10013 | 110.0.0.0/14 | FBDC | JP | freebit.com | Freebit Co. Ltd.
110.5.42.199 | aa042199.ppp.asahi-net.or.jp. |4685 | 110.5.0.0/18 | ASAHI | JP | asahi-net.or.jp | Asahi Net Inc.
111.64.236.171 | nthygo030171.hygo.nt.ngn.ppp.infoweb.ne.jp. |2510 | 111.64.0.0/16 | INFOWEB | JP | infoweb.ne.jp | Infoweb
111.64.80.211 | ntsitm061211.sitm.nt.ngn2.ppp.infoweb.ne.jp. |2510 | 111.64.0.0/16 | INFOWEB | JP | infoweb.ne.jp | Infoweb
114.154.125.169 | p2169-ipbfp803okayamaima.okayama.ocn.ne.jp. |4713 | 114.144.0.0/12 | OCN | JP | ocn.ne.jp | Open Computer Network
114.160.44.130 |  |4713 | 114.160.0.0/11 | OCN | JP | - | Hitachi Systems.Ltd.
114.160.53.225 | jotof1.joto.com. |4713 | 114.160.0.0/11 | OCN | JP | joto.com | Joto Techno Co. Ltd
114.160.54.121 | pc1.webx2-unet.ocn.ne.jp. |4713 | 114.160.0.0/11 | OCN | JP | ocn.ne.jp | Webgate
114.160.61.146 | ns-out.yamagata-denshi.co.jp. |4713 | 114.160.0.0/11 | OCN | JP | yamagata-denshi.co.jp | Yamagata Electronic Corporation
114.160.76.121 |  |4713 | 114.160.0.0/11 | OCN | JP | - | Tottoricitylibrary
114.168.166.140 | p3140-ipbfp903okayamaima.okayama.ocn.ne.jp. |4713 | 114.160.0.0/11 | OCN | JP | ocn.ne.jp | Open Computer Network
114.179.21.178 | k-net.kisarazu.ed.jp. |4713 | 114.160.0.0/11 | OCN | JP | ntt.com | NTT Communications Corporation
116.91.113.90 | 116.91.113.90.ap.gmobb-fix.jp. |2519 | 116.91.0.0/16 | VECTANT | JP | gmo.jp | GMO Internet Inc.
118.103.111.22 |  |17676 | 118.103.0.0/17 | GIGAINFRA | JP | densan-ginza.co.jp | DENSAN Inc.
118.21.101.85 | i118-21-101-85.s30.a048.ap.plala.or.jp. |4713 | 118.16.0.0/13 | OCN | JP | plala.or.jp | NTT Plala Inc.
118.21.151.140 | i118-21-151-140.s30.a048.ap.plala.or.jp. |4713 | 118.16.0.0/13 | OCN | JP | plala.or.jp | NTT Plala Inc.
118.22.23.99 | ns1.tecgrp.co.jp. |4713 | 118.16.0.0/13 | OCN | JP | tecgrp.co.jp | Tohoku Electronic Calculation Center Co. Ltd
118.22.32.210 | kch-mlsv01.kch.kagoshima.jp. |4713 | 118.16.0.0/13 | OCN | JP | keinet.com | Kagoshima City
118.238.220.251 | fs76eedcfb.tkyc512.ap.nuro.jp. |2527 | 118.238.192.0/18 | SO | JP | so-net.ne.jp | So-net Service
119.245.138.31 | parcwave.jp. |2514 | 119.245.0.0/16 | INFOSPHERE | JP | suitepro.jp | Server Hosting Service
119.245.154.176 | st2288.nas931.k-tokyo.nttpc.ne.jp. |2514 | 119.245.0.0/16 | INFOSPHERE | JP | sphere.ad.jp | Infosphere
119.245.191.154 |  |2514 | 119.245.0.0/16 | INFOSPHERE | JP | - | Anthonet
120.51.223.13 | s13.IsaitamaFL2.vectant.ne.jp. |2519 | 120.51.0.0/16 | VECTANT | JP | marubeni-access.com | Marubeni Access Solutions Inc.
120.51.36.9 | s9.HtokyoFL32.vectant.ne.jp. |2519 | 120.51.0.0/16 | VECTANT | JP | marubeni-access.com | Marubeni Access Solutions Inc.
121.119.250.146 | sv3.rockwave.ne.jp. |4713 | 121.112.0.0/13 | OCN | JP | aiship.jp | Rockwave Corporation
122.103.92.98 | s98.IaichiFL72.vectant.ne.jp. |2519 | 122.103.0.0/16 | VECTANT | JP | marubeni-access.com | Marubeni Access Solutions Inc.
122.152.138.194 | server11.zaturdayhosting.com. |10026 | 122.152.128.0/19 | PACNET | HK | asianetcom.net | Zaturday Company #
122.1.52.18 | 18.16.52.1.122.in-addr.arpa. |4713 | 122.1.0.0/16 | OCN | JP | printing-daitoku.co.jp | Daitokucorporation
122.1.52.98 | ns.marubisi.co.jp. , mail.marubisi.co.jp. |4713 | 122.1.0.0/16 | OCN | JP | marubisi.co.jp | Marubisi.co.ltd
122.1.7.226 |  |4713 | 122.1.0.0/16 | OCN | JP | - | Realize Science & Engineering Center Co. Ltd.
122.18.135.53 | p4915053-ipngn25401marunouchi.tokyo.ocn.ne.jp. |4713 | 122.16.0.0/12 | OCN | JP | ocn.ne.jp | Open Computer Network
122.18.166.23 | p4504023-ipngn25501marunouchi.tokyo.ocn.ne.jp. |4713 | 122.16.0.0/12 | OCN | JP | ocn.ne.jp | Open Computer Network
122.18.99.141 | p8141-ipngn1401hiraide.tochigi.ocn.ne.jp. |4713 | 122.16.0.0/12 | OCN | JP | ocn.ne.jp | Open Computer Network
122.21.243.18 | p4535018-ipngn25701marunouchi.tokyo.ocn.ne.jp. |4713 | 122.16.0.0/12 | OCN | JP | ocn.ne.jp | Open Computer Network
122.214.38.189 | 122x214x38x189.ap122.ftth.ucom.ne.jp. |17506 | 122.212.0.0/14 | UCOM | JP | fttx.co.jp | UCOM Corporation
122.221.248.3 | ns.janomecredia.co.jp. |17506 | 122.220.0.0/15 | UCOM | JP | janomecredia.co.jp | Janomecredia Corporation
122.22.49.152 | p3152-ipbfp502okayamaima.okayama.ocn.ne.jp. |4713 | 122.16.0.0/12 | OCN | JP | ocn.ne.jp | Open Computer Network
122.249.88.125 | x088125.ppp.asahi-net.or.jp. |4685 | 122.249.0.0/16 | ASAHI | JP | asahi-net.or.jp | Asahi Net Inc.
124.110.40.149 | static-124-110-40-149.b-man.svips.gol.ne.jp. |2519 | 124.110.0.0/16 | VECTANT | JP | fusioncom.co.jp | Fusion Communications Corp.
124.87.44.219 | p5219-ipngn1601hiraide.tochigi.ocn.ne.jp. |4713 | 124.84.0.0/14 | OCN | JP | ocn.ne.jp | Open Computer Network
125.100.241.194 |  |17506 | 125.100.0.0/14 | UCOM | JP | - | Yohantoukyoukirisutokyoukai
125.206.195.228 |  |4713 | 125.200.0.0/13 | OCN | JP | ex-cd.co.jp | Exceed Ltd.
125.206.199.138 | ns.summitpos.net. |4713 | 125.200.0.0/13 | OCN | JP | summitstore-web.com | Summit Inc.
125.206.210.178 |  |4713 | 125.200.0.0/13 | OCN | JP | - | CHC Corporation
125.206.210.182 |  |4713 | 125.200.0.0/13 | OCN | JP | - | CHC Corporation
125.206.219.186 | mail.itmol.com. , ns1.itmol.com. |4713 | 125.200.0.0/13 | OCN | JP | itmol.com | Institute for Theoretical Medicine Inc.
130.158.133.11 | eagle.frsc.tsukuba.ac.jp. |37917 | 130.158.0.0/16 | UTINS | JP | tsukuba.ac.jp | University of Tsukuba
1.33.199.84 | ns2.dynac-net.com. |2514 | 1.33.0.0/16 | INFOSPHERE | JP | dynac-net.com | Dynac Corporation
1.33.202.226 |  |2514 | 1.33.0.0/16 | INFOSPHERE | JP | - | Bizen Chemical Co. Ltd.
1.33.204.36 | ns1.dynac-net.com. |2514 | 1.33.0.0/16 | INFOSPHERE | JP | dynac-net.com | Dynac Corporation
150.7.25.1 | bach.office.ee.u-tokai.ac.jp. |2907 | 150.7.0.0/16 | SINET | JP | nic.ad.jp | Japan Network Information Center
153.136.200.120 | p2033120-ipngn200605osakachuo.osaka.ocn.ne.jp. |4713 | 153.128.0.0/11 | OCN | JP | ocn.ne.jp | Open Computer Network
153.142.76.20 | p21020-ipngnfx01kanazawa.ishikawa.ocn.ne.jp. |4713 | 153.128.0.0/11 | OCN | JP | ocn.ne.jp | Open Computer Network
153.145.19.115 | i153-145-19-115.s41.a008.ap.plala.or.jp. |4713 | 153.128.0.0/11 | OCN | JP | plala.or.jp | NTT Plala Inc.
153.150.15.66 | ns.penterj.co.jp. |4713 | 153.128.0.0/11 | OCN | JP | penterj.co.jp | Port Enterprise Co. Ltd.
153.150.18.170 |  |4713 | 153.128.0.0/11 | OCN | JP | ntt.com | NTT Communications Corporation
153.150.20.2 | pc2.keishin-ug-unet.ocn.ne.jp. |4713 | 153.128.0.0/11 | OCN | JP | - | Keishin Highschool
153.150.32.74 | 74.72.32.150.153.in-addr.arpa. |4713 | 153.128.0.0/11 | OCN | JP | asteccorp.com | Astec Corporation
153.163.235.91 | p4091-ipngn6202marunouchi.tokyo.ocn.ne.jp. |4713 | 153.160.0.0/12 | OCN | JP | ocn.ne.jp | Open Computer Network
153.168.129.250 | p672250-ipngn1802funabasi.chiba.ocn.ne.jp. |4713 | 153.160.0.0/12 | OCN | JP | ocn.ne.jp | Open Computer Network
153.197.233.110 | p319110-ipngn200405matuyama.ehime.ocn.ne.jp. |4713 | 153.192.0.0/11 | OCN | JP | ocn.ne.jp | Open Computer Network
153.203.190.252 | p1550252-ipngn14201hodogaya.kanagawa.ocn.ne.jp. |4713 | 153.192.0.0/11 | OCN | JP | ocn.ne.jp | Open Computer Network
153.218.66.66 | p3066-ipngn4401hodogaya.kanagawa.ocn.ne.jp. |4713 | 153.192.0.0/11 | OCN | JP | ocn.ne.jp | Open Computer Network
160.18.148.66 | nw1.kure-nct.ac.jp. |2907 | 160.18.148.0/23 | SINET | JP | kosen-k.go.jp | Institue National Colleges of Technology Japan
163.44.20.108 | hqm-store.com. |2514 | 163.44.0.0/18 | INFOSPHERE | JP | nttpc.co.jp | NTT PC Communications Inc.
180.37.77.210 | 180037077210.bhb.bizhosting.net. |4713 | 180.0.0.0/10 | OCN | JP | ocn.ne.jp | Open Computer Network
180.42.104.50 | ns.fukuoka.med.or.jp. |4713 | 180.0.0.0/10 | OCN | JP | med.or.jp | Fukuoka Prefecture Medical Association
180.42.1.186 | dns.e-pod.jp. |4713 | 180.0.0.0/10 | OCN | JP | polan.tokyo.jp | Polan Organic Foods Delivery
180.42.48.106 | dns.sya.co.jp. |4713 | 180.0.0.0/10 | OCN | JP | sya.co.jp | System Automation Corporation
180.42.68.242 | ns.hayashinet.co.jp. |4713 | 180.0.0.0/10 | OCN | JP | hayashinet.co.jp | Hayashi Co. Ltd
180.42.74.42 | ns.p-info.net. |4713 | 180.0.0.0/10 | OCN | JP | hiddenapp.com | Hidden
180.42.77.242 | mail.netcom-inc.co.jp. |4713 | 180.0.0.0/10 | OCN | JP | netcom-inc.co.jp | Netcom Corporation
180.43.164.18 | dns.nnw.co.jp. |4713 | 180.0.0.0/10 | OCN | JP | nnw.co.jp | Nippon Network Corporation
180.43.172.114 | ns.ctcsp.co.jp. |4713 | 180.0.0.0/10 | OCN | JP | ctcsp.co.jp | CTCSP Corporation
180.47.213.142 | p632142-ipngn1602funabasi.chiba.ocn.ne.jp. |4713 | 180.0.0.0/10 | OCN | JP | ocn.ne.jp | Open Computer Network
180.54.12.29 | p351029-ipngn200107okayamahigasi.okayama.ocn.ne.jp. |4713 | 180.0.0.0/10 | OCN | JP | ocn.ne.jp | Open Computer Network
180.8.49.252 | 180008049252.bhb.bizhosting.net. |4713 | 180.0.0.0/10 | OCN | JP | ocn.ne.jp | Open Computer Network
180.8.49.253 | 180008049253.bhb.bizhosting.net. |4713 | 180.0.0.0/10 | OCN | JP | ocn.ne.jp | Open Computer Network
183.177.234.135 | 183-177-234-135.tokyo.fdn.vectant.ne.jp. |2519 | 183.177.128.0/17 | VECTANT | JP | marubeni-access.com | Marubeni Access Solutions .
183.177.238.18 | momiji.mediaf.jp. |2519 | 183.177.128.0/17 | VECTANT | JP | cocospace.com | 21Company
183.177.238.19 | sia.mediaf.jp. |2519 | 183.177.128.0/17 | VECTANT | JP | cocospace.com | 21Company
183.177.245.114 | 183.177.245.114.ap.gmobb-fix.jp. |2519 | 183.177.128.0/17 | VECTANT | JP | arteria-net.com | Arteria Networks Corporation
183.181.172.60 | v-183-181-172-60.ub-freebit.net. |10013 | 183.181.160.0/20 | FBDC | JP | dti.co.jp | Dream Train Internet
202.150.54.20 |  |18126 | 202.150.48.0/21 | CTCX | JP | nagoya-ohara.net | Nagoya Ohara Gakuen Colleges
202.210.149.12 | ns1.mandarake.co.jp. |4686 | 202.210.128.0/18 | BEKKOAME | JP | altech-it.com | Altech IT Inc.
202.210.170.2 | mail.daikokuya78.co.jp. |4686 | 202.210.128.0/18 | BEKKOAME | JP | daikokuya78.co.jp | Daikokuya Co. Ltd.
202.211.3.3 |  |2907 | 202.211.0.0/20 | SINET | JP | mishima.ac.jp | Gakko Hojin Mishima Gakuen
202.215.110.150 |  |2519 | 202.215.0.0/16 | VECTANT | JP | marubeni-access.com | Marubeni Access Solutions Inc.
202.215.146.113 | s113.JgunmaFL1.vectant.ne.jp. |2519 | 202.215.0.0/16 | VECTANT | JP | marubeni-access.com | Marubeni Access Solutions Inc.
202.215.160.31 | cocospace.com. |2519 | 202.215.0.0/16 | VECTANT | JP | cocospace.com | 21Company
202.215.160.33 | cocospace.com. |2519 | 202.215.0.0/16 | VECTANT | JP | cocospace.com | 21Company
202.215.203.83 | d83.JkagosimaFL1.vectant.ne.jp. |2519 | 202.215.0.0/16 | VECTANT | JP | marubeni-access.com | Marubeni Access Solutions Inc.
202.217.173.52 | FNAfx-09p10-52.ppp11.odn.ad.jp. |4725 | 202.217.128.0/17 | ODN | JP | softbank.jp | SoftBank Mobile Corp.
202.218.35.116 | ns.madori.co.jp. |2554 | 202.218.32.0/22 | IDC2554 | JP | wadax.ne.jp | WADAX Inc.
202.221.27.2 | charm.obayashi.co.jp. |2497 | 202.221.0.0/16 | IIJ | JP | obayashi.co.jp | Obayashi Corporation
202.222.33.62 | dns.icc.co.jp. |18121 | 202.222.32.0/19 | INCL | JP | incl.ne.jp | Ishikawa Computer Center Co. Ltd
202.224.16.70 | ns0.tac-net.ne.jp. |18281 | 202.224.16.0/20 | TAC | JP | tac-net.ne.jp | Tokoname New-TV Corporation
202.224.16.71 | ns1.tac-net.ne.jp. |18281 | 202.224.16.0/20 | TAC | JP | tac-net.ne.jp | Tokoname New-TV Corporation
202.224.46.175 | onidake.hpo.net. |4685 | 202.224.32.0/19 | ASAHI | JP | asaren.jp | MM Japan
202.225.1.145 |  |2518 | 202.225.0.0/16 | BIGLOBE | JP | biglobe.co.jp | Biglobe Inc.
202.229.102.130 |  |2514 | 202.229.0.0/17 | INFOSPHERE | JP | cp-agf-wordgift.jp | Scepcom Inc.
202.229.120.146 |  |2514 | 202.229.0.0/17 | INFOSPHERE | JP | - | Tokyo-Seitoku Gakuen
202.230.19.202 | mms.mcgroup.or.jp. |4725 | 202.230.19.0/24 | ODN | JP | mcgroup.or.jp | Kinoshita Management Co. Ltd.
202.234.148.2 | arsv.tabiworld.co.jp. |4725 | 202.234.148.0/24 | ODN | JP | laterra-net.co.jp | LATERRA INTERNATIONAL Inc.
202.234.165.82 | ns.modulat.jp. |4694 | 202.234.128.0/18 | IDC | JP | housecom.co.jp | Timeline Inc.
202.234.36.22 |  |4694 | 202.234.0.0/18 | IDC | JP | noahcloud.jp | IDC Frontier Inc.
202.234.36.47 |  |4694 | 202.234.0.0/18 | IDC | JP | noahcloud.jp | IDC Frontier Inc.
202.244.112.1 | jizo.ecip.shikoku-u.ac.jp. |2907 | 202.244.112.0/20 | SINET | JP | shikoku-u.ac.jp | Shikoku University
202.247.80.133 | FL9-202-247-80-133.stm.mesh.ad.jp. |2518 | 202.247.0.0/17 | BIGLOBE | JP | biglobe.co.jp | Biglobe Inc.
202.247.80.134 | FL9-202-247-80-134.stm.mesh.ad.jp. |2518 | 202.247.0.0/17 | BIGLOBE | JP | biglobe.co.jp | Biglobe Inc.
202.247.80.135 | FL9-202-247-80-135.stm.mesh.ad.jp. |2518 | 202.247.0.0/17 | BIGLOBE | JP | biglobe.co.jp | Biglobe Inc.
202.248.29.227 | dns1.clubnet.ne.jp. |2510 | 202.248.0.0/16 | INFOWEB | JP | fujitsu.com | Fujitsu Limited
202.248.38.130 | kntinter.knt.co.jp. |2510 | 202.248.0.0/16 | INFOWEB | JP | kjs.co.jp | Kinki Nippon Tourist Co. Ltd.
202.248.78.170 | ns.tm-s.jp. |2510 | 202.248.0.0/16 | INFOWEB | JP | tm-s.jp | Takahashi Ina Hanbai Co. Ltd.
202.32.199.211 | 211.199.32.202.bf.2iij.net. |2497 | 202.32.0.0/16 | IIJ | JP | 2iij.net | Asai Sangyo Co. Ltd.
202.32.199.212 | 212.199.32.202.bf.2iij.net. |2497 | 202.32.0.0/16 | IIJ | JP | 2iij.net | Asai Sangyo Co. Ltd.
202.56.72.194 | host-194.dhcpn7.icn-tv.ne.jp. |24251 | 202.56.64.0/20 | ICNTV | JP | icn-tv.ne.jp | Waki Town
203.138.161.14 | ns2.reggaerecord.com. |2514 | 203.138.0.0/16 | INFOSPHERE | JP | reggaerecord.com | Dub Store Sound Inc.
203.139.214.138 | vcheck.seki.co.jp. |7522 | 203.139.192.0/19 | STCN | JP | seki.co.jp | Seki.co. Ltd.
203.140.79.98 | mail.xeen.co.jp. |17511 | 203.140.64.0/19 | K | JP | xeen.co.jp | Xeen Inc
203.179.80.146 |  |9600 | 203.179.80.0/20 | SONYTELECOM | JP | kobatec.com | Kobatec
203.179.80.35 | 203-179-80-35.cust.bit-drive.ne.jp. |9600 | 203.179.80.0/20 | SONYTELECOM | JP | bit-drive.ne.jp | Media Enterprise Inc.
203.179.82.202 | 203-179-82-202.cust.bit-drive.ne.jp. |9600 | 203.179.80.0/20 | SONYTELECOM | JP | netdreamers.co.jp | Net Dreamers Co. Ltd.
203.183.167.100 | 100.64/26.167.183.203.in-addr.arpa. |4694 | 203.183.0.0/16 | IDC | JP | ujj.co.jp | Userjoy Japan Co. Ltd.
210.129.122.2 | ns01.ecbiz.jp. |4694 | 210.129.0.0/16 | IDC | JP | ecbiz.jp | Skysoft Corp
210.129.222.210 |  |4694 | 210.129.0.0/16 | IDC | JP | noahcloud.jp | IDC Frontier Inc.
210.134.0.38 |  |2514 | 210.134.0.0/20 | INFOSPHERE | JP | inaker.ad.jp | Inaka Net
210.134.2.130 |  |2514 | 210.134.0.0/20 | INFOSPHERE | JP | nic.ad.jp | Japan Network Information Center
210.134.75.131 | 131.128.75.134.210.in-addr.arpa. |4725 | 210.134.64.0/19 | ODN | JP | amn.co.jp | AMN Internet Service
210.142.137.10 | ns1.cosmos.ne.jp. |2497 | 210.142.128.0/20 | IIJ | JP | cosmos.ne.jp | Cosmos Net Communications Co. Ltd.
210.142.245.227 | ns1-is01.tomorrow.ne.jp. |7522 | 210.142.224.0/19 | STCN | JP | tosbac-systems.co.jp | Tosbac Systems Co. Inc
210.144.3.21 | ns01.bizxoffice.com. |4673 | 210.144.0.0/16 | INTERVIA | JP | nttd-i.co.jp | System Platforms Sector MS Development Department
210.145.113.5 | ns.intio.or.jp. |4713 | 210.145.0.0/16 | OCN | JP | intio.or.jp | Intio-Net Service
210.145.146.226 | d01001.nttoryo.co.jp. |4713 | 210.145.0.0/16 | OCN | JP | nttoryo.co.jp | Nihon Tokushu Toryo
210.145.94.34 | 34.32.94.145.210.in-addr.arpa. |4713 | 210.145.0.0/16 | OCN | JP | adms-asia.co.jp | AEGON Direct&Affinity Marketing Services
210.150.187.42 |  |2514 | 210.150.0.0/16 | INFOSPHERE | JP | - | Zip Telecom Co. Ltd
210.150.189.57 |  |2514 | 210.150.0.0/16 | INFOSPHERE | JP | cyclone-ent.co.jp | Cyclone Entertainment Inc.
210.151.113.81 | s001.osaka-shinai.ac.jp. |2907 | 210.151.64.0/18 | SINET | JP | osaka-shinai.ac.jp | Osaka Shin-ai Jogakuin
210.154.76.2 | byakko.nssoft.co.jp. |4713 | 210.154.0.0/16 | OCN | JP | nssoft.co.jp | NSSOFT
210.160.211.186 |  |4713 | 210.160.0.0/16 | OCN | JP | - | Saitama Automobile Manufacturing Co. Ltd.
210.161.20.226 | ns.takaoka.ac.jp. |4713 | 210.161.0.0/16 | OCN | JP | takaoka.ac.jp | Takaoka University of Law
210.161.214.170 |  |4713 | 210.161.0.0/16 | OCN | JP | be-tec.co.jp | Be-Tec Corporation
210.162.118.34 |  |4713 | 210.162.0.0/16 | OCN | JP | 2iij.net | TDS Co. Ltd.
210.162.161.34 | ns.fujicitio.com. |4713 | 210.162.0.0/16 | OCN | JP | fujicitio.com | Fujicitio Corporation
210.162.194.178 |  |4713 | 210.162.0.0/16 | OCN | JP | nd-inc.co.jp | Nihon-Densan Corporation
210.163.105.82 | ns.sanyu-group.co.jp. |4713 | 210.163.0.0/16 | OCN | JP | sanyu-group.co.jp | Sanyu Industries Ltd.
210.164.104.194 | server.shinban.co.jp. |4713 | 210.164.0.0/16 | OCN | JP | shinban.co.jp | Nihon-Shinban Co. Ltd.
210.168.66.32 |  |4694 | 210.168.0.0/17 | IDC | JP | noahcloud.jp | IDC Frontier Inc.
210.168.72.13 |  |4694 | 210.168.0.0/17 | IDC | JP | noahcloud.jp | IDC Frontier Inc.
210.168.72.19 |  |4694 | 210.168.0.0/17 | IDC | JP | noahcloud.jp | IDC Frontier Inc.
210.168.75.139 |  |4694 | 210.168.0.0/17 | IDC | JP | noahcloud.jp | IDC Frontier Inc.
210.169.138.250 | red.jawca.net. |4725 | 210.169.128.0/17 | ODN | JP | jawca.net | JapanWebcast Corp.
210.170.68.2 | kpma.kanagawa.med.or.jp. |4713 | 210.170.64.0/18 | OCN | JP | med.or.jp | Kanagawa Prefecture Medical As sociation
210.172.21.242 | notes-sv.daiichijushi.co.jp. |9600 | 210.172.0.0/19 | SONYTELECOM | JP | daiichijushi.co.jp | Daiichijushi Industry Corporation
210.174.207.101 |  |4725 | 210.174.128.0/17 | ODN | JP | - | VoDa Media Inc.
210.175.206.14 | dns1.soho-net.ne.jp. |7516 | 210.175.192.0/19 | TOHKNET | JP | soho-net.ne.jp | Soho Japan
210.175.39.2 | ns.naxnet.or.jp. |4725 | 210.175.0.0/17 | ODN | JP | naxnet.or.jp | NAXNET
210.175.39.5 | ns2.naxnet.or.jp. |4725 | 210.175.0.0/17 | ODN | JP | naxnet.or.jp | NAXNET
210.175.79.237 | global.dev.whitecloud.jp. |4725 | 210.175.0.0/17 | ODN | JP | softbank.jp | SoftBank Telecom Corp.
210.189.109.146 | f8m01-0146.din.or.jp. |4723 | 210.189.96.0/19 | DOLPHIN | JP | din.or.jp | Dolphin International Inc.
210.190.106.34 | host.technodome.or.jp., www.technodome.or.jp. |4713 | 210.190.0.0/16 | OCN | JP | technodome.or.jp | Foundation Toyama Center for Industrial Creativity
210.226.138.210 | mw300b.kiyonoya.co.jp. |4713 | 210.226.0.0/15 | OCN | JP | kiyonoya.co.jp | Kiyonoya Corporation
210.226.96.2 | ns.kyosuiren.or.jp. |4713 | 210.226.0.0/15 | OCN | JP | kyosuiren.or.jp | National Mutual Insurance Federation of Fishery Co-Operatives
210.232.183.2 | 2.0.183.232.210.in-addr.arpa. |4713 | 210.232.0.0/16 | OCN | JP | - | AI.System Corporation
210.236.12.116 | ns1.hinase.ne.jp. |7670 | 210.236.0.0/19 | CTNET | JP | hinase.ne.jp | Hinase Cable Television
210.248.41.98 | dns.nidec-shimpo.co.jp. |4713 | 210.248.0.0/16 | OCN | JP | nidec-shimpo.co.jp | NIDEC-SHIMPO Corporation
210.248.73.146 | aquila.urban-group.co.jp. |4713 | 210.248.0.0/16 | OCN | JP | urban-group.co.jp | Urban Development Co. Ltd.
210.251.245.221 | ma2.ibix.co.jp. |9600 | 210.251.240.0/20 | SONYTELECOM | JP | tol.ne.jp | IBIX Corporation
210.253.225.43 | d225043.ppp.asahi-net.or.jp. |4685 | 210.253.224.0/19 | ASAHI | JP | asahi-net.jp | Asahi Net
210.254.28.146 | 210254028146.cidr.odn.ne.jp. |4725 | 210.254.0.0/18 | ODN | JP | odn.ne.jp | Nippon Paper Core Industrial Co. Ltd
211.0.125.50 | ns1.satsuma.co.jp. |4713 | 211.0.0.0/16 | OCN | JP | satsuma.co.jp | Satsuma Shuzo Co. Ltd.
211.0.24.18 | dns.peaceboat.gr.jp. |4713 | 211.0.0.0/16 | OCN | JP | peaceboat.gr.jp | Peace Boat
211.121.135.178 | ns2.fujitaka.com.176.135.121.211.IN-ADDR.ARPA. |4725 | 211.121.0.0/16 | ODN | JP | - | Fujitaka.Co.Ltd.
211.121.168.58 | ns.takeda-ms.jp. |4725 | 211.121.0.0/16 | ODN | JP | takeda-ms.jp | Takeda Printing Co. Ltd.
211.122.123.60 | p37060-ipbffx02marunouchi.tokyo.ocn.ne.jp. |4713 | 211.122.0.0/15 | OCN | JP | ocn.ne.jp | Open Computer Network
211.122.246.154 | p3154-ipbffx02hodogaya.kanagawa.ocn.ne.jp. |4713 | 211.122.0.0/15 | OCN | JP | ocn.ne.jp | Open Computer Network
211.12.232.245 | dns1.takaya.co.jp. |7670 | 211.12.224.0/19 | CTNET | JP | takaya.co.jp | TAKAYA Corporation
211.125.75.87 | w2.mk1.jp. |7506 | 211.125.72.0/21 | INTERQ | JP | gmo.jp | GMO Internet Inc.
211.127.166.242 | 242.240.166.127.211.in-addr.arpa. |4725 | 211.127.0.0/16 | ODN | JP | - | Financial Rating Corporation of Japan
211.127.211.218 | 218.216.211.127.211.in-addr.arpa.
ns1.jrl.co.jp. |4725 | 211.127.0.0/16 | ODN | JP | jrl.co.jp | JR Kyushu Financial Management Co. Ltd.
211.129.113.142 | p84142-ipbffx02marunouchi.tokyo.ocn.ne.jp. |4713 | 211.129.0.0/16 | OCN | JP | ocn.ne.jp | Open Computer Network
211.133.201.239 | nz239.net211133201.thn.ne.jp. |10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
211.19.32.120 | dns2.mki-net.co.jp. |17673 | 211.19.32.0/20 | MKINET | JP | mki-net.co.jp | Mitsui Knowledge Industry Co. Ltd.
211.19.32.17 | dns1.mki-net.co.jp., dns.mki-net.co.jp. |17673 | 211.19.32.0/20 | MKINET | JP | mki-net.co.jp | Mitsui Knowledge Industry Co. Ltd.
211.7.238.2 | dns1.tomorrow.ne.jp. |7522 | 211.7.224.0/19 | STCN | JP | tomorrow.ne.jp | Tosbac Systems Co. Inc.
211.8.86.235 |  |4725 | 211.8.0.0/16 | ODN | JP | kubota.ne.jp | KUBOTA Systems Inc.
211.9.37.46 |  |9600 | 211.9.32.0/19 | SONYTELECOM | JP | hanjin.com | HANJIN SHIPPING Co. LTD.
211.9.46.82 | atic.reform.ne.jp. |9600 | 211.9.32.0/19 | SONYTELECOM | JP | chokuju.net | D Product.net
218.216.74.51 | 51.48.74.216.218.in-addr.arpa. |9600 | 218.216.64.0/20 | SONYTELECOM | JP | - | Net Piloting Inc.
218.224.233.114 | 114.112.233.224.218.in-addr.arpa. |4713 | 218.224.0.0/16 | OCN | JP | - | West Japan Railway Train Union
218.224.244.66 | ns.yg-you-i-net.or.jp. |4713 | 218.224.0.0/16 | OCN | JP | yamaguchikensyakyo.jp | Yamaguchi Prefectural Council Of Social Welfare
218.224.244.68 | ns.yamaguchikensyakyo.jp. |4713 | 218.224.0.0/16 | OCN | JP | yamaguchikensyakyo.jp | Yamaguchi Prefectural Council Of Social Welfare
218.224.248.18 | kdisdns.kdis-inc.co.jp. |4713 | 218.224.0.0/16 | OCN | JP | kdis-inc.co.jp | Kochi Dealing Information Service Inc.
218.224.250.22 | sdns.nagasaki-om.co.jp. |4713 | 218.224.0.0/16 | OCN | JP | denno-bld.com | Office Mation Corporation
218.42.148.195 |  |9600 | 218.42.144.0/20 | SONYTELECOM | JP | sjts.co.jp | Japan total system incorporated.
218.42.156.105 | yurin.illumina.co.jp.,lohhdl.illumina.co.jp.,ns.illumina.co.jp.,www.illumina.co.jp.,ecole.illumina.co.jp.,mail.illumina.co.jp.,ns.ecole.jp. |9600 | 218.42.144.0/20 | SONYTELECOM | JP | illuminate.jpn.com | Illuminate Co.
218.42.158.178 | 218-42-158-178.cust.bit-drive.ne.jp. |9600 | 218.42.144.0/20 | SONYTELECOM | JP | bit-drive.ne.jp | Onlymac Net
218.44.160.146 |  |4713 | 218.44.0.0/16 | OCN | JP | human-itec.co.jp | Human Interface Technology
218.44.233.114 | ns.acs.co.jp. |4713 | 218.44.0.0/16 | OCN | JP | acs.co.jp | ACS Co. Ltd.
218.44.235.218 | ns.water.saitama.saitama.jp. |4713 | 218.44.0.0/16 | OCN | JP | water.saitama.saitama.jp | Saitama Municipal Waterworks Bureau
219.101.247.4 | ns1.cfweb.co.jp., ns1.cfweb.jp. |17676 | 219.101.128.0/17 | GIGAINFRA | JP | cfweb.co.jp | Cedyna Financial Corporation
219.101.42.91 | adr23.vidro.ne.jp.,gw91.vidro.ne.jp. |9600 | 219.101.32.0/20 | SONYTELECOM | JP | fujioka.co.jp | Fujioka
219.101.83.238 | bus021.magma.me. |18090 | 219.101.80.0/22 | MAGMA | JP | xsp.ne.jp | IMS Corporation
219.105.32.115 | sv01.benefitex.dcn.ne.jp. |18097 | 219.105.32.0/20 | DCN | JP | dcn.ne.jp | D.C.N. Corporation
219.105.32.176 | mail.mailpo.jp. |18097 | 219.105.32.0/20 | DCN | JP | dcn.ne.jp | D.C.N. Corporation
219.105.32.217 | dns.257.jp. |18097 | 219.105.32.0/20 | DCN | JP | dcn.ne.jp | D.C.N. Corporation
219.105.33.21 | sv04.tomigaya.shibuya.tokyo.dcn.ne.jp. |18097 | 219.105.32.0/20 | DCN | JP | dcn.ne.jp | D.C.N. Corporation
219.105.33.28 | secondary.syscore.shibuya.tokyo.dcn.ne.jp. |18097 | 219.105.32.0/20 | DCN | JP | dcn.ne.jp | D.C.N. Corporation
219.105.33.44 | dns1.jascnet.com. |18097 | 219.105.32.0/20 | DCN | JP | dcn.ne.jp | D.C.N. Corporation
219.105.37.213 | ns6.pear.clio.ne.jp. |18097 | 219.105.32.0/20 | DCN | JP | clio.ne.jp | Honda Clio Shinshu Co. Ltd.
219.105.39.1 | pppoe001.39.east.tokyo.dcn.ne.jp. |18097 | 219.105.32.0/20 | DCN | JP | dcn.ne.jp | D.C.N. Corporation
219.106.226.50 | sunday.tokyord.jp. |9600 | 219.106.224.0/19 | SONYTELECOM | JP | tokyord.jp | Bac Tera Systems Co. Ltd.
219.109.236.2 | ns.ishikawa-center.ac.jp. |10013 | 219.109.224.0/20 | FBDC | JP | ishikawa-center.ac.jp | Ishikawa Polytecnic Center
219.114.102.2 | blue.souritsu.co.jp. |4713 | 219.114.0.0/17 | OCN | JP | souritsu.co.jp | Souritsu Electric Corporation
219.118.166.98 | dns1.p-8.co.jp. |9600 | 219.118.160.0/19 | SONYTELECOM | JP | so-net.ne.jp | SO-Net Corporation
219.118.167.67 |  |9600 | 219.118.160.0/19 | SONYTELECOM | JP | falco-c.jp | Cosmic Inc.
219.118.168.218 | ns1.pentain.co.jp. |9600 | 219.118.160.0/19 | SONYTELECOM | JP | pentain.co.jp | Pentain Corp Inc.
219.118.168.34 | ns.sunnoah.co.jp. |9600 | 219.118.160.0/19 | SONYTELECOM | JP | sunnoah.co.jp | Sunnoah Co. Ltd.
219.118.175.114 | ns10.scepcom.co.jp. |9600 | 219.118.160.0/19 | SONYTELECOM | JP | namabeer.ne.jp | SCEPCOM Incorporated.
219.118.175.115 | ns11.jpcsr.co.jp. |9600 | 219.118.160.0/19 | SONYTELECOM | JP | namabeer.ne.jp | SCEPCOM Incorporated.
219.122.43.90 | ns.meijo.ed.jp. |17511 | 219.122.32.0/19 | K | JP | meijo.ed.jp | Meijo institute senior high school
219.127.221.92 | 92.64.221.127.219.in-addr.arpa. |17676 | 219.127.128.0/17 | GIGAINFRA | JP | densan-ginza.co.jp | DENSAN Inc.
219.127.229.161 | awerg01.ecole-net.jp. |17676 | 219.127.128.0/17 | GIGAINFRA | JP | ecole-net.jp | Ecole Ryutsu Group Co. Ltd.
219.127.249.195 | ns2.toyo-tv.ne.jp. |17676 | 219.127.128.0/17 | GIGAINFRA | JP | sakamoto-catv.jp | Yatsushiro City
219.163.10.2 | birds.kosmek.co.jp. |4713 | 219.160.0.0/14 | OCN | JP | kosmek.co.jp | Kosmek Ltd.
219.163.104.250 | dns.sogo-co.co.jp. |4713 | 219.160.0.0/14 | OCN | JP | sogo-co.co.jp | SOGO CONSULTANTS Corporation
219.163.104.251 | www.sogo-co.co.jp. |4713 | 219.160.0.0/14 | OCN | JP | sogo-co.co.jp | SOGO CONSULTANTS Corporation
219.163.13.186 | dns1.chunichisogo.co.jp. |4713 | 219.160.0.0/14 | OCN | JP | - | Chunichi Sogo Service
219.163.18.231 | server.senmaike.net. |4713 | 219.160.0.0/14 | OCN | JP | exe.ne.jp | Exe Internet Service
219.163.21.66 | ns.dk2.co.jp. |4713 | 219.160.0.0/14 | OCN | JP | dk2.co.jp | Dainichi Inc.
219.163.63.193 |  |4713 | 219.160.0.0/14 | OCN | JP | todashuhan.jp | Computer Move Corporation
219.163.82.170 | ns.shinnichi.co.jp. |4713 | 219.160.0.0/14 | OCN | JP | shinnichi.co.jp | Shinnichi Corporation
219.164.212.33 |  |4713 | 219.164.0.0/15 | OCN | JP | - | Medical Corporation Kenkoin
219.165.98.122 | ns.aquanet.ne.jp. |4713 | 219.164.0.0/15 | OCN | JP | kotake.ws | Aquanet
219.166.0.194 | ns.sankyoprocess.co.jp.,mail.sankyoprocess.co.jp. |4713 | 219.166.0.0/15 | OCN | JP | sankyoprocess.co.jp | Sankyo Process
219.166.13.18 | dns.c-max.co.jp. |4713 | 219.166.0.0/15 | OCN | JP | c-max.co.jp | Fuji Seiko Limited
219.166.14.88 | ns0.wpage.jp. |4713 | 219.166.0.0/15 | OCN | JP | wpage.jp | Mediapark
219.166.158.106 | ns.kumamoto.sanyu.co.jp. |4713 | 219.166.0.0/15 | OCN | JP | sanyu.co.jp | Sanyu Switch Co. Ltd.
219.166.160.122 | ns.keisen-se.ac.jp. |4713 | 219.166.0.0/15 | OCN | JP | keisen-se.ac.jp | Keisen School Corporation
219.166.161.226 | ns.etandard.meguro.tokyo.jp. |4713 | 219.166.0.0/15 | OCN | JP | ocn.ne.jp | OCN Provided by NTT-Communications Which is ISP
219.166.19.122 | public.koutsukikaku.co.jp. |4713 | 219.166.0.0/15 | OCN | JP | koutsukikaku.co.jp | Koutsukikaku Corporation
219.166.191.74 | cocoa.medec-ltd.co.jp. |4713 | 219.166.0.0/15 | OCN | JP | medec-ltd.co.jp | Medec Corporation
219.166.19.26 | dns.three-chords.com. |4713 | 219.166.0.0/15 | OCN | JP | three-chords.com | Three-Chords Co. Ltd.
219.166.24.106 | server1.hopenet.co.jp. |4713 | 219.166.0.0/15 | OCN | JP | hopenet.co.jp | Hasegawa Kazunari
219.166.24.108 | server3.hopenet.co.jp. |4713 | 219.166.0.0/15 | OCN | JP | hopenet.co.jp | Hasegawa Kazunari
219.97.239.66 | pdns.camp-a.jp. |2510 | 219.97.0.0/16 | INFOWEB | JP | fujitsu.com | Fujitsu Limited
219.99.166.50 | ns01.futureweb.jp. |23824 | 219.99.160.0/21 | FUTURE | JP | fsi.ne.jp | Future Spirits Co. Ltd.
220.110.111.74 | 74.72.111.110.220.in-addr.arpa. |4713 | 220.110.0.0/16 | OCN | JP | - | Graphic Support Co. Ltd.
220.110.170.218 |  |4713 | 220.110.0.0/16 | OCN | JP | - | Taihouseihan Co. Ltd.
220.110.190.226 | 226.224.190.110.220.in-addr.arpa. |4713 | 220.110.0.0/16 | OCN | JP | - | Press Media Corporation
220.110.192.226 | external01.hgu.ac.jp. |4713 | 220.110.0.0/16 | OCN | JP | hgu.ac.jp | Hamamatsu Gakuin University
220.110.198.226 | ns.matuuo.co.jp. |4713 | 220.110.0.0/16 | OCN | JP | it-server.jp | Matsuyama Uoichiba Corporation
220.110.34.42 | ns2.tunagaru.net. |4713 | 220.110.0.0/16 | OCN | JP | tunagaru.net | Isolutions Co. Ltd.
220.110.37.130 | ns.kita-osaka.co.jp. |4713 | 220.110.0.0/16 | OCN | JP | kita-osaka.co.jp | Create Osaka Co. Ltd.
220.110.40.250 | ns.imv.co.jp. |4713 | 220.110.0.0/16 | OCN | JP | imv.co.jp | IMV Corporation
220.111.41.106 | jp2-bs62002.vwh.net. |4713 | 220.111.32.0/20 | OCN | JP | ocn.ne.jp | Open Computer Network
220.209.241.104 | ntfksm059104.fksm.nt.ngn2.ppp.infoweb.ne.jp. |2510 | 220.209.0.0/16 | INFOWEB | JP | infoweb.ne.jp | Infoweb
220.99.109.154 | ns1.city-seika.com. |4713 | 220.99.0.0/17 | OCN | JP | city-seika.com | Tokyo City Seika Co. Ltd.
220.99.113.10 | ns.kroute.co.jp. |4713 | 220.99.0.0/17 | OCN | JP | - | Kroute Corporation
221.186.108.210 | ks99.kan-so.co.jp. |4713 | 221.184.0.0/13 | OCN | JP | kan-so.co.jp | Kan-So Corporation
221.186.109.82 | dns1.jpu.jp.,dns1.jpu.co.jp. |4713 | 221.184.0.0/13 | OCN | JP | bouhanmodel.net | Nippon Pana-Use.co. Ltd.
221.186.127.58 | 58.56.127.186.221.in-addr.arpa.
ns.axyz-grp.co.jp. |4713 | 221.184.0.0/13 | OCN | JP | axyz-grp.co.jp | Axyz.ltd
221.186.154.86 |  |4713 | 221.184.0.0/13 | OCN | JP | foundationapi.com | Sankyo Frontier
222.146.54.94 |  |4713 | 222.144.0.0/13 | OCN | JP | ocn.ne.jp | Open Computer Network
222.151.204.10 | 10.8.204.151.222.in-addr.arpa.
ns1.arnest1.co.jp. |4713 | 222.144.0.0/13 | OCN | JP | arnest1.co.jp | Arnest One Corporation
222.151.207.178 | ns.to-on.co.jp. |4713 | 222.144.0.0/13 | OCN | JP | to-on.co.jp | To-On Music Publishing Co. Ltd.
222.151.228.138 | ns.iwafu.jp. |4713 | 222.144.0.0/13 | OCN | JP | iwafu.jp | Iwate Mitsubishi Fuso Car Sales Co. Ltd.
222.151.236.18 | dns.akropolis.ne.jp. |4713 | 222.144.0.0/13 | OCN | JP | akropolis.ne.jp | Akropolis
222.228.220.168 | s168.GosakaFL3.vectant.ne.jp. |2519 | 222.228.0.0/16 | VECTANT | JP | marubeni-access.com | Marubeni Access Solutions Inc.
42.99.131.50 | smtp.marveldigital.com. |10026 | 42.99.128.0/17 | PACNET | HK | pacnet.net | Marvel Digital Limited
42.99.131.52 | mx.marveldigital.com. |10026 | 42.99.128.0/17 | PACNET | HK | pacnet.net | Marvel Digital Limited
58.94.99.216 | i58-94-99-216.s30.a048.ap.plala.or.jp. |4713 | 58.88.0.0/13 | OCN | JP | plala.or.jp | NTT Plala Inc.
60.32.10.106 | ns1.gpcenter.jp. |4713 | 60.32.0.0/12 | OCN | JP | gpcenter.jp | Gpcenter Corporation
60.32.108.218 |  |4713 | 60.32.0.0/12 | OCN | JP | - | Pal Net Corporation
60.32.135.2 | ns.active.sc.,www.active.sc.,gw.active.sc.,mx.active.sc.,mx.axis-ing.com.,gw.heyasta.com.0.135.32.60.in-addr.arpa. |4713 | 60.32.0.0/12 | OCN | JP | axis-ing.com | Axis International Corporation
60.32.149.2 |  |4713 | 60.32.0.0/12 | OCN | JP | - | Nitto Corporation
60.32.184.66 | ns.mitsuchi.co.jp. |4713 | 60.32.0.0/12 | OCN | JP | mitsuchi.co.jp | Mitsuchi Corporation
60.32.191.76 | mx.ja-saito.or.jp. |4713 | 60.32.0.0/12 | OCN | JP | ja-saito.or.jp | Ja Saito
60.32.209.234 |  |4713 | 60.32.0.0/12 | OCN | JP | - | Serie Co. Ltd.
60.32.213.121 | pc1.kurushima-6-unet.ocn.ne.jp. |4713 | 60.32.0.0/12 | OCN | JP | ocn.ne.jp | Kurusima kaikyo Traffic Advisory Service Center
60.32.219.82 | ns.s-iwata.imabari.ehime.jp. |4713 | 60.32.0.0/12 | OCN | JP | s-iwata.imabari.ehime.jp | Iwata Shuji
60.32.80.162 | ns01.tsbrain.net. |4713 | 60.32.0.0/12 | OCN | JP | tsbrain.net | Tsbrain Inc.
60.32.97.114 | ns.sakataminami-h.ed.jp. |4713 | 60.32.0.0/12 | OCN | JP | sakataminami-h.ed.jp | Sakataminami High School
60.43.34.58 | i60-43-34-58.s30.a048.ap.plala.or.jp. |4713 | 60.32.0.0/12 | OCN | JP | plala.or.jp | NTT Plala Inc.
61.113.175.16 |  |4713 | 61.113.0.0/16 | OCN | JP | tonotv.com | City of Tono
61.115.12.163 | atcreation.jp. |9595 | 61.115.0.0/17 | XEPHION | JP | xephion.ne.jp | Xephion
61.119.52.34 |  |4713 | 61.119.0.0/16 | OCN | JP | nichibanmedical.co.jp | Nichiban Medical Corporation
61.119.52.36 |  |4713 | 61.119.0.0/16 | OCN | JP | nichibanmedical.co.jp | Nichiban Medical Corporation
61.121.244.77 | banana.fruitmail.net. |4694 | 61.121.240.0/20 | IDC | JP | fruitmail.net | Ibridge Co. Ltd
61.194.219.146 | st0226.nas811.p-kyoto.nttpc.ne.jp. |2514 | 61.194.128.0/17 | INFOSPHERE | JP | sphere.ad.jp | Infosphere
61.194.41.50 | ns.hwako.co.jp. |2514 | 61.194.0.0/17 | INFOSPHERE | JP | hwako.co.jp | Hokkaido Wako Purechemical Industries Ltd
61.194.53.162 | ns.hs-sec.co.jp. |2514 | 61.194.0.0/17 | INFOSPHERE | JP | hs-sec.co.jp | H.S.Securities Co. Ltd
61.194.81.194 |  |2514 | 61.194.0.0/17 | INFOSPHERE | JP | - | TYK Information Service Co. Ltd
61.194.81.196 |  |2514 | 61.194.0.0/17 | INFOSPHERE | JP | - | TYK Information Service Co. Ltd
61.194.88.105 | ns1.eco-dream.com. |2514 | 61.194.0.0/17 | INFOSPHERE | JP | eco-dream.com | CURLING CREATIVE CONSULT Incorporated.
61.195.31.190 | express.net.dti.ad.jp. |10013 | 61.195.0.0/19 | FBDC | JP | dream.jp | Dream Train Internet Inc.
61.196.191.91 | ns.shizcon.co.jp. |4725 | 61.196.0.0/16 | ODN | JP | - | ShizuokaSeigyo Corporation
61.196.227.41 |  |4725 | 61.196.0.0/16 | ODN | JP | kimden.co.jp | Kimura Electric Co. Ltd.
61.196.230.74 | ns01.nidec-tosok.co.jp. |4725 | 61.196.0.0/16 | ODN | JP | nidec-tosok.co.jp | Nidec tosok Corporation
61.197.170.138 | ns.cinet.co.jp. |2514 | 61.197.128.0/17 | INFOSPHERE | JP | cinet.co.jp | Climb Corporation
61.197.192.55 | speed6.winpal.net. |2514 | 61.197.128.0/17 | INFOSPHERE | JP | winpal.net | Winpal Corp.
61.197.217.34 | dmn-ns1.dominic.ed.jp. |2514 | 61.197.128.0/17 | INFOSPHERE | JP | dominic.ed.jp | St. dominic's Institute
61.197.226.220 | komomo.eof.co.jp. |2514 | 61.197.128.0/17 | INFOSPHERE | JP | eof.co.jp | E.O.F Co. Ltd.
61.199.241.2 | mail.komae-vfc.jp.,ns.komae-vfc.jp.,www.komae-vfc.jp. |4713 | 61.199.0.0/16 | OCN | JP | komae-vfc.jp | Komae City
61.202.247.106 | dns1.kenden.co.jp. |17676 | 61.202.192.0/18 | GIGAINFRA | JP | kenden.co.jp | Kenden.co. Ltd
61.203.130.81 | dc81.runsystem.co.jp. |17676 | 61.203.128.0/20 | GIGAINFRA | JP | runsystem.co.jp | Runsystem Co. Ltd.
61.205.54.25 | 25.54.205.61.west.global.crust-r.net. |10013 | 61.205.32.0/19 | FBDC | JP | freebit.com | Freebit Co. Ltd.
61.206.116.230 | 61.206.116.230.static.zoot.jp. |2514 | 61.206.112.0/20 | INFOSPHERE | JP | interlink-ltd.com | Interlink Co. Ltd
61.206.183.135 |  |17676 | 61.206.128.0/18 | GIGAINFRA | JP | - | Clubit Corporation
61.206.7.147 | www.kohboh.co.jp. |7522 | 61.206.0.0/20 | STCN | JP | kohboh.co.jp | Shikoku System Koh-Boh Corporation
61.208.23.226 | ns.jsibaraki.jp. |4713 | 61.208.0.0/16 | OCN | JP | jsibaraki.jp | Ibaraki Council of Institutions for the Elderly
61.208.91.162 | ns.nagahama-hp.jp. |4713 | 61.208.0.0/16 | OCN | JP | nagahama-hp.jp | Nagahama City Hospital
61.211.245.189 | flfk01-189.wind.ne.jp. |10013 | 61.211.240.0/20 | FBDC | JP | freebit.com | Freebit Co. Ltd.
61.213.136.106 | ns5.namabeer.ne.jp. |17524 | 61.213.128.0/20 | DSN | JP | file.ne.jp | Scepcom Inc.
61.215.198.35 | ns22.pa-co-ltd.co.jp. |17676 | 61.215.192.0/20 | GIGAINFRA | JP | pa-co-ltd.co.jp | PA Co. Ltd.


■リファレンス

DNS の再帰的な問合せを使った DDoS 攻撃の対策について(JPRS)
オープンリゾルバ(Open Resolver)に対する注意喚起 (JPNIC)
DNSの再帰的な問い合わせを使ったDDoS攻撃に関する注意喚起 (JPCERT)

@unixfreaxjp/0day.jp Sun Oct 16 18:23:04 JST 2016

水曜日, 7月 06, 2016

#OCJP-130: スパムボットに感染されたPCからのスパムメール(マルウェアurl)

昨日このスパムメールが届きました



そのメールを見たら、あれ?「JCOM」って「ZAQ.ne.jp」だっけ?とても怪しい…
さらに内容も英文で、そして海外のマルウェア転送URLが書いてあります…

ヘッターはこんな感じ↓


メールのルーティングと
MessageID<201607041021.u64AKeew025468@po.dcn.ne.jp>
を確認したら、「dcn.ne.jp」外部送信MTA(po.dcn.ne.jp / 219.105.32.8)から送信されたメールですね。
そして「dcn.ne.jp」さんの内部IP(ppp018.fc.pas.mobilenet.ne.jp / 219.105.46.50])経由でこのメールがリレーされていたそうです。

スパムメールのヘッターを見ると、送信元の情報は偽者ですが↓
J:COM <inf@JCOM.ZAQ.ne.jp>
↑このスパムテンプレを作った人が日本のサービスの事が分かると思われます。メールの内容は英文という事は海外から送信されたそうです。

全体的なメールテンプレのフォーマットを見たらスパムボットのテンプレっぽいですので、この件を見たら下記の2つ可能性が出て来ました↓
(1)2016年7月4日 19:21:24にあるボットネットに感染されたパソコンでppp018.fc.pas.mobilenet.ne.jpのIPに繋がって、このメールを送信されました。
(2)2016年7月4日 19:21:24にあるウェブ経由スパムボットをDCNさんの外部MTA(po.dcn.ne.jp)に繋ぎ、このメールを送信されました。

可能性(2)の確認でpo.dcn.ne.jpがSMTPオープンリレーがあるかどうかをテストしましょう↓

↑オープンリレーが無いとの事はウェブ経由スパムボットからの送信メールの可能性が低いですね。

本件の原因可能性(1)が高くなり、恐らくマルウェア・スパムボットに幹線されたPCから送られたスパムメールです。
取りあえずDCNさんとJP-CERTさんに本件を報告致します。
この件をきちんと対応してもらわないとDCNさんの外部MTA(po.dcn.ne.jp)が海外のSMTPブラックリストに登録される可能性が高いので、直ぐに対応した方がいいです。

因みにスパムメールに書いたURLはAngler ExploitKitに転送されてしまいましたので、そのURLを我々から連絡を行いクリーンアップ済みです。
もし今アクセスすると302の回答になります↓
Date: 2016-07-06 11:04:46
URL: http://coastalinfo.in/ck.htm
Resolving coastalinfo.in (coastalinfo.in)... 50.87.5.129
Connecting to coastalinfo.in (coastalinfo.in)|50.87.5.129|:80... connected.

---request begin---
GET /ck.htm HTTP/1.1
Referer: http://www.google.com
User-Agent: MalwareMustDie Checked You via Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 5.2) Java/1.6.0_26
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: identity
Host: coastalinfo.in
Connection: Keep-Alive
Accept-Language: en-us,en;q=0.5
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300

---response begin---
HTTP/1.1 302 Found
Date: Wed, 06 Jul 2016 02:04:46 GMT
Server: Apache
Location: http://coastalinfo.in/cgi-sys/suspendedpage.cgi
Content-Length: 295
Keep-Alive: timeout=10, max=500
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1
X-Pad: avoid browser bug

追加情報として本メールに書いたIP情報は下記となります↓
219.105.32.8|po.dcn.ne.jp.|18097 | 219.105.32.0/20 | DCN | JP | dcn.ne.jp | D.C.N. Corporation
{
  "ip": "219.105.32.8",
  "hostname": "po.dcn.ne.jp",
  "country": "JP",
  "loc": "35.6900,139.6900",
  "org": "AS18097 D.C.N. Corporation"
}

219.105.46.50|ppp018.fc.pas.mobilenet.ne.jp.|18097 | 219.105.32.0/20 | DCN | JP | dcn.ne.jp | D.C.N. Corporation
{
  "ip": "219.105.46.50",
  "hostname": "ppp018.fc.pas.mobilenet.ne.jp",
  "country": "JP",
  "loc": "35.6900,139.6900",
  "org": "AS18097 D.C.N. Corporation"

火曜日, 7月 05, 2016

Lockyランサムウェア: インフェックション仕組みのモニタリング・レコード

「カムバック」してからのLockyランサムウェアの感染をフォローし、ディストリビューション仕組みのデータをレコードしました。レコードしたのデータは日本国内に届いたスパムメールのみです。

レコードの目的は(1)ウェブサイトのハッキング攻撃モニター、(2)CNCの移動情報、(3)使われているスパムボットネットの動き、と、(4)LockyのDGAのモニター

毎日の仕事が終わってから他のマルウェアを調査しながらこのレコードを少しずつ書きますので、もし情報が足りなかったらすみません。

レコードは下記となります。

6月23日
6月24日
6月25日
6月27日
6月27日-2
6月28日
6月29日
6月30日
7月4日
7月5日~6日

※)本データの更新を続けております

木曜日, 6月 30, 2016

#OCJP-129: Lockyランサムウェアの感染 via 日本国内のハッキングされたウェブサイト

昨日から始まり、日本国内のウェブサイトがハッキングされ、そしてそのサイトにLockyランサムウェアのバイナリーを発見しました。いくつか証拠をオンラインで見たら狙われている脆弱性がばらばらで、恐らくハッカーはウェブ脆弱性スキャナーを使ったと考えています。

Lockyランサムウェアの最終感染キャンペーンで日本ウェブサイトからの感染URLが現在2番目となります↓


最新情報の更新> 6月30日の感染キャンペーンの時点で悪用されているハッキングされたウェブサイトの一番は....
...日本のです。


ランサムウェアの感染ファイルが悪用されている状況は良くない状況なので、早めにクリーンアップの対応をしてほしい、そして脆弱性を直してください。その他のウェブサイトの管理者の方々にはサイトの「hardening」テストを実行した方がいいと思います。

下記はスナップショットとなります↓















最新追加情報...









ウイルストータルのリンク↓

3b1fbf26bd154308004665c6768ffb0b459a389f52ac5b6425ecf77b81f138e5
8485fd8ef30aa7a9f473d5fd0961253de53620052ad2404e64fccda35c6dfb8a
6f6f79e66a7fb34255da1b74f93e3c4cb39e71feae63c8988c6a85560e3dbd86
079deff5ac50f1a1e032fae72c0666b16f82f568ed95ea5adfe5a3a8e68dd6b9
9450fa9e668b5458b0c613e243d7c2044e6c343ae5ebe992bbc0c592b52d402e
da62aa412a26fbff6146fd86921b4e0304238184e22d5bc19a5b5a8c16eeb2d4
51230b4c58610283a0d243720ebd37e440e56137aa9b58f5bd105b0ae4e0f1aa
[...]

検知率については、最初見つけたの段階で殆どゼロで、あちこちにサンプルを送ってから検知率が上がります↓

↑証拠のリンクはこちらです。

木曜日, 2月 04, 2016

マルウェアサンプルを送りたい場合

0day.jp又はMalwareMustDieに匿名でマルウェアのサンプルを送りたいだったら【このリンク】から「ファイル送る便」のアクセスが出来ます。「ファイル送る便」ページから私達にマルウェアサンプルを送る事が出来ます。
ページの画像は下記のようになっております↓

アップロードの手順が書いてあります。手順通りで作成をさせて頂ければ私達の調査サーバ迄にファイルが届きます。


念の為にメインリンクと「バックアップリンク」をブログの右メニューにも入れました。英語版のページも存在しています。

どっちでも、ぜひ、使って下さい。よろしくお願いします。



@unixfreaxjp

水曜日, 1月 13, 2016

【警告】ランサムウェアによるウェブサイトの暗号化

現在グーグルで検索したら6,000以上のウェブサイトがLinuxランサムウェアに感染されたそうです。
今すぐにウェブサイトのデータをバックアップして下さい。

火曜日, 11月 17, 2015

ELF Linuxランサムウェア:復号機能の解析メモ #reversing

《 ELFマルウェアワークショップの方々へ 》


AVTOKYO-2015ELFマルウェアワークショップ「Swimming in the Sea of ELF」を開催しました。来てくれた皆さんに有難う御座いました。丁度最近Linuxランサムウェアが流行ったので、ワークショップ上でunix shellでリバーシングが必要な理由を説明しました。ワークショップで説明したr2をセットアップした後、下記のリバーシングメモを参考に練習が出来ると思います。

=> >English version is here and here

目次



(1)感染のバックグラウンド
(2)どんなソースコードを使用しているのか
(3)何処から何処まで暗号化されているのか
(4)復号機能のリバーシング
(5)なぜPolarSSLのソースコードが沢山使われたのか
(6)ずっと最初から「PolarSSL」を使われたのか
(7)結論

《 感染のバックグラウンド 》

【目次へ戻る】


感染されたサイトは例えば↓(下のサイトにはwordpressのファイルアップロード脆弱性がある)

検索のキーワードは「README_FOR_DECRYPT.txt」でdorkで検索したら出てくる。

感染されたサイトからの「README_FOR_DECRYPT.txt」のメッセージを確認すると、こんな感じ↓
(※クリックで拡大)


《 どんなソースコードを使用しているのか 》

【目次へ戻る】


実はどんな物なのか「Linux/Encoder.1」ランサムウェアのELF x86-64x86-32のバイナリサンプルを調査した。
リバーシングしたら中身は単純すぎで、本当にがっかりした。もしかしたら素人が作ったんじゃないのかと思うほど。

ソースコードのセットは↓

↑全部C言語で、マルウェア全体に使っているシステムコールのコードはソースコードに入ってる、目的は分かり易い。恐らくランサムウェアのメインコードは「main.c」だと思う。

メモ:秀丸のgrepでソースコードはさくっと検索が出きるよw


《 何処から何処まで暗号化されているのか 》

【目次へ戻る】


調査した結果上で、マルウェアで暗号化されているファイル/DIRじゃ「OK」と「禁止」ルールがある↓
0x002F1FC  /root/.ssh (exclusion)_ / 暗号禁止
0x002F207  /usr/bin (exclusion)_ / 暗号禁止
0x002F210  /etc/ssh (exclusion)_ / 暗号禁止
0x002F219  /home
0x002F21F  /root
0x002F225  /var/lib/mysql
0x002F234  /var/www
0x002F23D  /etc/nginx
0x002F248  /etc/apache2
0x002F255  /var/log

メモ:最初段階の暗号化されているターゲット↓


メモ:その次は下記の暗号化除外↓(別途サンプルx86-32 ELF種類)


下記のファイル拡張子の全ては暗号化されている↓
0x002F25E  .php
0x002F263  .html
0x002F269  .tar
0x002F26E  .gz
0x002F272  .sql
0x002F277  .js
0x002F27B  .css
0x002F280  .pdf
0x002F285  .tgz
0x002F28A  .war
0x002F28F  .jar
0x002F294  .java
0x002F29A  .class
0x002F2A1  .ruby
0x002F2A7  .rar
0x002F2AC  .zip
0x002F2B1  .db
0x002F2B5  .7z
0x002F2B9  .doc
0x002F2BE  .xls
0x002F2C3  .properties
0x002F2CF  .xml
0x002F2D4  .jpg
0x002F2D9  .jpeg
0x002F2DF  .png
0x002F2E4  .gif
0x002F2E9  .mov
0x002F2EE  .avi
0x002F2F3  .wmv
0x002F2F8  .mp3
0x002F2FD  .mp4
0x002F302  .wma
0x002F307  .aac
0x002F30C  .wav
0x002F311  .pem
0x002F316  .pub
0x002F31B  .docx
0x002F321  .apk
0x002F326  .exe
0x002F32B  .dll
0x002F330  .tpl
0x002F335  .psd
0x002F33A  .asp
0x002F33F  .phtml
0x002F346  .aspx
0x002F34C  .csv
0x002F36B  .git
0x002F370  .svn

それとgrep/regexで下記の単語が入っているファイルも↓
0x002F351  public_html
0x002F35D  webapp
0x002F364  backup

《 復号機能のリバーシング 》

【目次へ戻る】


【重要】暗号化されているファイルは「.encrypted」という拡張子名が追加される。
コードを見た限りでは本物のファイルが「unlink」で削除されていただけww(未だ確認出来てないですが恐らくext4だとリストアが出来るかと思われる…)。

decrypter(復号関数)は2つがあり、decrypt_all()decrypt_file()なので、
decrypt_all()の*SNIP*リバースデータはこんな感じ↓
[ xrefs: 0x004014f1 0x00401502 0x00401523 0x004014a5 0x004014b6 0x0040098e 0x00400ad3 ]

【重要】上記のリバーシング情報の大して、いくつかのポイント↓
1. その関数を動かす為に引数(arguement)が必ず必要、引数無しだとこのランサムウェアの動かす意味が無い。
例えばこのコマンドラインみたいに⇒ ./ランサムウェアファイル名 [crypt|decrypt] [キー]
x86-32のサンプルには引数のスイッチ機能が下記のように見えます↓

2. リバースコードを見たらLinuxサーバ全体に"/"DIRからのdecrypt(復号)が可能。
3. decrypt_all()は結局最後にdecrypt_file()を実行する。

decrypt_file()の関数について下記のアドレスで見れる、準備はこんな感じ↓
[ addr: 0x00400617 xref: 0x00400a4f xcall: setChmod() ]

【重要】ヒント:"Decrypting file: %s"のstringを探してください(とても分かりやすい)

この辺は面白い、ランサムウェアなのに、システムコール使うよりもstdio.hが使われているww
開いたファイルのデータはfread_unlockedで(void *data, size_t size, size_t count, FILE *stream)読み込みされる


次のリバーシングコードでマルウェアに暗号化されたファイルのdecrypt(復号)仕方の説明。

【重要】まず、このランサムウェアの復号機能の仕組みは、RSAプライベートキー(犯罪者が持っている)とパブリックキー(被害者が持っている)を使い、バイナリに書いた暗号化されているAESキーを取り戻す。そして、そのAESキーを使ってマルウェアに暗号化されているファイルの取り戻すことも出来る。

そのAESキーはプライベートキーで暗号化されている(バイナリの中で)↓
0x002FF58  -----BEGIN ENCRYPTED PRIVATE KEY-----
0x002FF80  9292758453063D803DD603D5E777D7888ED1D5BF35786190FA2F23EBC0848AEADDA92CA6C3D80B32C4D109BE0F36D6AE7130B9CED7ACDF54CFC7555AC14EEBAB93A89813FBF3C4F8066D2D800F7C38A81AE31942917403FF4946B0A83D3D3E05EE57C6F5F5606FB5D4BC6CD34EE0801A5E94BB77B07507233A0BC7BAC8F90F79
0x0030088  24BF6185468786FDD303083D25E64EFC66CA472BC44D253102F8B4A9D3BFA75091386C0077937FE33FA3252D28855837AE1B484A8A9A45F7EE8C0C634F99E8CDDF79C5CE07EE72C7F123142198164234CABB724CF78B8173B9F880FC86322407AF1FEDFDDE2BEB674CA15F3E81A1521E071513A1E85B5DFA031F21ECAE91A34D
0x0030190  C36D0EB7FCD285223CFB5AABA5BDA3D82C01CAD19EA484A87EA4377637E75500FCB2005C5C7DD6EC4AC023CDA285D796C3D9E75E1EFC42488BB4F1D13AC30A57
0x0030218  C000DF51A7C77AE8D7C7370C1FF55B69E211C2B9E5DB1ED0BF61D0D9899620F4910E4168387E3C30AA1E00C339A795088452DD96A9A5EA5D9DCA68DA636032AF
0x00302A0  C1ACF567564274FB07A0BBAD5D26E2983C94D22288ACD763FD8E5600ED4A702DF84198A5F06C2E72236AE490C93F07F83CC559CD27BC2D1CA488811730BB5725
0x0030328  4959CBF6F8FEF750AEE6977C155579C7D8AAEA56749EA28623272E4F7D0592AF7C1F1313CAC9471B5C523BFE592F517B407A1BD76C164B93DA2D32A383E58357
0x00303B0  9AE7FBC99546432DF71896FC239EADAEF38D18D2B2F0E2DD275AA977E2BF4411F5A3B2A5D33605AEBBCCBA7FEB9F2D2FA74206CEC169D74BF5A8C50D6F48EA08
(などなど…)
メモ:「などなど…」の所にRSAコマンドのアウトプットがそのままで全て書いてある。ようはAESキーを暗号化された時のアウトプットがバイナリにパース(PARSE)されていたと分かった。恐らくそれぞれのLinuxランサムウェアのバイナリを作った時にビルダーを使ったよう。

AESの種類はCBC(下記のリバーシングのコードと確認が出来る↓)
[ xref: 0x0400836 xcall: aes_decrypt() ]


そして、decrypt_file()関数をリバーシングしたらこんな感じで↓(もっと大きい画像はこちら)
[ xref: 0x00400a4f xcall: setChmod() ]

※このパラグラフが英語で説明した方が分かりやすいと思うので【こちらを】ご覧下さい。

《 なぜPolarSSLのソースコードが沢山使われたのか 》

【目次へ戻る】


本ランサムウェアをリバーシングしたら沢山のPolarSSLソースコードの関数を発見した。何故PolarSSLが使われたのか下記に説明する↓

AES復号機能の中にはmbedtls_aes_setkey_decmbedtls_aes_crypt_cbc のコードが使われ、両方はPolarSSL「mbedtls/pk.h」からかぱくってきたソースコードだと分かった。その関数の中でAESキーの長さとAESのCBC暗号種類を使ったのも分かった。AESビットの長さは、asmでコールの仕方を見たら何も設定されてないので標準のままで、128ビットだね。AES暗号・復号機能のために便利なオープンソース(polarSSL)からぱくってきたんだと思われる←PolarSSLを悪用する理由(1)

尚、暗号化されたファイルの復号機能の中で取り戻したファイルのデータもstdio.hでのfwrite_unlockedの書き込まれた。これでランサムウェアに暗号化されたファイル復号機能の説明は終わり。次はRSAで暗号化されているAESキーを復号する方法の説明。

RSA復号機能(AESキーのクラック機能)のasmコードを読むと、順序はこんな感じで↓(参考コードはこちらへ
0x400753でprivate_decrypt()の関数があり、その関数の中で分析を続けて行くとmbedtls_pk_decrypt()関数がある。mbedtls_pk_decrypt()関数の目的はバイナリで暗号化されたAESキーを復号する事。そして、そのAESキーを使うと暗号化されていたファイルをリストアする事が出来る。
mbedtls_pk_decryptコード自体もPolarSSLのソースコードであり、もともとSSLの上で暗号化されていたメッセージを復号する事がこの回数の目的。仕様書に確認するとmbedtls_pk_decryptは「RSA default padding type PKCS#1 v1.5」に対応している、という意味ではmbedtls_pk_decryptはRSA暗号の復号化が出来る←PolarSSLを悪用する理由(2)

上記の説明に当たり、AESキーの復号機能をリバーシングすると下記のように見える↓
[ xref: 0x0400753 xcall: private_decrypt() ]

※このパラグラフが英語で説明した方が分かりやすいと思うので【こちらを】ご覧下さい。


《 ずっと最初から「PolarSSL」を使われたのか 》

【目次へ戻る】


詰まり…PolarSSLの前は何のcryptoライブラリーを使用していたのか?何故最近になって「PolarSSL」が使われるようになったのか?
実は「Linux.Encoder.1」の前のLinuxランサムウェアのバーションがあったので、当時「PolarSSL」は使われず、「OpenSSL」だった。証拠は下記の2件↓

RSAプライベートキーの暗号化の機能のリバーシング↓


AESキーの暗号化機能のリバーシング↓

※最初から使われたAESキーの長さは128ビット。

cryptoライブラリーが変わった原因は恐らくPolarSSLの方がバグのない、かつ新しいコードが入っているからかと思われる。



《 結論 》

【目次へ戻る】


APIみたいな使い方で引数が必要 arg1=暗号|復号 arg2=RSA、感染されたサーバに残したスクリプトを確認が出来たら使い方が直ぐに分かると思われる。暗号機能がほぼPolarSSLからのコード。読み込みと書き込みはstdio.hの関数で作られた。システム周りのコマンドも結構そのままで実行される(unlink,chmod,など)…ブロックも行けそう。journaldに対応しているシステムではリストアが可能かと。いくつかの攻撃元アドレスと確認したので作者は東ヨーロッパの人っぽいね。

メモ以上


reversing by @unixfreaxjp - founder & team leader of MalwareMustDie

月曜日, 11月 16, 2015

【イベント】 ELFマルウェア解析ワークショップ - AVTOKYO 2015

平成27年11月14日の16時半から「AVTOKYO 2015」のイベントでELFマルウェア解析ワークショップを開きました。ELFバイナリーについてのマルウェアの調査・解析の話ばかりなのでワークショップのタイトルは「Swimming in the Sea of ELF」でした。タイムテーブルはこちらです。本イベントはおそらく、世界初のELFマルウェア解析のワークショップだと思います。マルチarchitectureのELFバイナリー解析とマルチOSでのELFマルウェア調査・解析・デバッグングをデモする事となります。

この先必ず「IoT」に色んなELFマルウェアが流行ると思いますので、先に日本国内でELFマルウェア対策が出来る様にしたいので、このワークショップを開きました。

unixfreaxjpはスライドの説明とshellでのELFのリバーシング・デバッグとradare(r2)のツール紹介をやりました、IDA PROでのELFリバーシング・ELFデバギンッグとデコンパイルのデモはUCQさんがやりました。

流れ的にワークショップの最初はスライドでELF解析必要な情報から始まりました。その後はIDA PROの説明・デモが始まり、大体一時間弱、そして残りの時間はshellでのリバーシングとQ&A(となどなど)でした。ワークショップの間に説明をしながら質問にも答えます。解析で使っていたELFマルウェアサンプルは「MalwareMustDie」からでした。

UCQさんはWindowsOSとLinuxVM経由でIDA基本の使い方から始まり、そしてプラクティカルなレベルのデモも行い、ELFのバイナリーのロード仕方の調整、見る方法、デバギンッグ方法とデモ、そして最後はデコンパイルの説明。その後いくつかELFサンプルを見せられたのでそれぞれのサンプルリバーシングの情報・コメント。非常に面白かったです。綺麗にご対応していました。有難う御座いました。

私の方はMacOSXとFreeBSD上でエミュレータ(QEMU)環境で、何故shellで解析が必要なのかの説明、shellでのELF解析ツール紹介から始まり、インストールの仕方、コマンドの周りデモとヒント、staticとdynamicリバーシングのデモをしました。その後はELFマルウェアのデバギングのデモをしました。その後ハニーポットのデモ・便利なshellツールのデモ。その後にいくつかELFマルウェア感染対策のビデオと説明をやりました。

ワークショップが終わったらAVTOKYO 2015の終わり迄にワークショップのメンバーが部屋に残りましたので、色んな「MalwareMustDie」のELFマルウェア情報交換もやりました。そして、始まりから終わりまで居て下さった2名にMalwareMustDieのTシャツをプレゼントしました。

結果的に良かったので、次回もバイナリーリバーシングのワークショップをまたやります。

スライドは下記となります↓(いくつかshellのリバーシング・デバッギングのスクリーンショットを添付しました)

ツイート↓


AVTOKYO2015のスタッフ/チームと友達の皆様に感謝です。有難う御座いました。
Special thank's to @avtokyo @tessy_jp @moton @sen_u @ucq to make this great leap happens!

日曜日, 10月 11, 2015

#OCJP-128: ロシア系マルウェアボットネットのカムバック

以前の0day.jp記事にも日本国内に対して「Kelihosマルウェア・ボットネット」の感染を報告しましたが

今回このロシア系マルウェア感染ボットネットが「カムバック」しましたので、
今日我々「MalwareMustDie」が12時間モニターしたら、日本国内の感染IP11件を発見しました。

全国の感染されたPC/IPは合計164IPを発見しました。これから情報が増えると思っています(監視し始めたばかり)。

感染されたIPの一覧は下記となります↓
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.

いくつかダウンロードの証拠を画像キャップチャーしました↓


【重要】アンチウイルスの検知率は今市で弱いです、ご認識を下さい(VT = 3/56)。最新のダウンロードしたマルウェアに確認しました。下記 VTスキャン結果の画像キャップチャーです(使われてい「crypter」のせいで別途マルウェア名が出てしまいました。実はkelihosボットネットのマルウェアPEです)↓



全国の感染されたIPからマルウェアダウンロードのログを取りましたので、
タイムスタンプの確認の為に【このURLに】上記の国内IPの「grep」が出来ます。

尚、全国の感染されたIP情報は現時点で合計164件です、情報は【こちらへ】

感染モニターリングの監視はこれからも続けますので、この情報を定期的にアップデートします。

=================================================
【アップデート】Mon Oct 12 03:35:40 JST 2015
=================================================


1. 全国の感染、19時間モニターリング、合計:260件


2. 日本国内の感染、合計;13件
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.114.22|60-62-114-22.rev.home.ne.jp.|9824 | 60.62.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.137.2|60-62-137-2.rev.home.ne.jp.|9824 | 60.62.128.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd. 

=================================================
【アップデート】Mon Oct 12 22:31:29 JST 2015
=================================================


1. 全国の感染、39時間モニターリング、合計:349件


2. 日本国内の感染、合計;14件
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
49.101.255.74|u755074.xgsfm6.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
60.62.114.22|60-62-114-22.rev.home.ne.jp.|9824 | 60.62.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.137.2|60-62-137-2.rev.home.ne.jp.|9824 | 60.62.128.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.


=================================================
【アップデート】Tue Oct 13 06:41:43 JST 2015
=================================================


1. 全国の感染、合計:425件
2. 日本国内の感染、合計;17件↓
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
119.82.192.176|192.176.net3.hinocatv.ne.jp.|23788 | 119.82.192.0/20 | HICT | JP | jcom.co.jp | Jupiter Telecommunications Co. Ltd.
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
126.62.102.209|softbank126062102209.bbtec.net.|17676 | 126.62.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
210.148.156.28|j210148156028.nct9.ne.jp.|2497 | 210.148.0.0/16 | IIJ | JP | nct9.ne.jp | N.C.T Co. Ltd.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
49.101.255.74|u755074.xgsfm6.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
60.62.114.22|60-62-114-22.rev.home.ne.jp.|9824 | 60.62.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.137.2|60-62-137-2.rev.home.ne.jp.|9824 | 60.62.128.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.

=================================================
【アップデート】Wed Oct 14 04:18:12 JST 2015
=================================================


1. 全国の感染、合計:540件

2. 日本国内の感染、合計;28件↓
101.96.32.57|u057.d032096101.ctt.ne.jp.|7672 | 101.96.32.0/19 | FITWEB | JP | ctt.ne.jp | Cable Television Toyama Incorporeted.
110.172.0.188|0.188.net4.hinocatv.ne.jp.|23788 | 110.172.0.0/20 | HICT | JP | jcom.co.jp | Jupiter Telecommunications Co. Ltd.
113.43.111.32|113x43x111x32.ap113.ftth.ucom.ne.jp.|17506 | 113.40.0.0/14 | UCOM | JP | fttx.co.jp | UCOM Corporation
114.49.2.173|em114-49-2-173.pool.e-mobile.ne.jp.|37903 | 114.48.0.0/15 | EMOBILE | JP | ymobile.jp | YMobile Corporation
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
116.65.15.63|116-65-15-63.rev.home.ne.jp.|9824 | 116.65.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
119.82.192.176|192.176.net3.hinocatv.ne.jp.|23788 | 119.82.192.0/20 | HICT | JP | jcom.co.jp | Jupiter Telecommunications Co. Ltd.
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
126.62.102.209|softbank126062102209.bbtec.net.|17676 | 126.62.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
180.146.88.221|180-146-88-221f1.shg1.eonet.ne.jp.|17511 | 180.144.0.0/14 | K | JP | eonet.ne.jp | K-Opticom Corporation
202.78.188.153|202-78-188-153.kakt.j-cnet.jp.|4721 | 202.78.184.0/21 | JCN | JP | koalanet.ne.jp | Jcom Tokatsukatsushika Co. Ltd.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
210.148.156.28|j210148156028.nct9.ne.jp.|2497 | 210.148.0.0/16 | IIJ | JP | nct9.ne.jp | N.C.T Co. Ltd.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
219.193.80.100|softbank219193080100.bbtec.net.|17676 | 219.193.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network of SoftBank BB Corp
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
49.101.187.252|u687252.xgsfm38.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.194.73|u694073.xgsfm1.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.210.204|u710204.xgsfm2.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.255.74|u755074.xgsfm6.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
60.62.114.22|60-62-114-22.rev.home.ne.jp.|9824 | 60.62.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.137.2|60-62-137-2.rev.home.ne.jp.|9824 | 60.62.128.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.

=================================================
【アップデート】Thu Oct 15 06:52:43 JST 2015
=================================================


四日間のモニターリング、感染されたPCのダイアルアップのIPが落ちたりして、IPがころころ変わっています。
1. 全国の感染IP、合計:669件


2. 日本国内の感染IP、合計;37件↓
101.96.32.57|u057.d032096101.ctt.ne.jp.|7672 | 101.96.32.0/19 | FITWEB | JP | ctt.ne.jp | Cable Television Toyama Incorporeted.
110.172.0.188|0.188.net4.hinocatv.ne.jp.|23788 | 110.172.0.0/20 | HICT | JP | jcom.co.jp | Jupiter Telecommunications Co. Ltd.
113.43.111.32|113x43x111x32.ap113.ftth.ucom.ne.jp.|17506 | 113.40.0.0/14 | UCOM | JP | fttx.co.jp | UCOM Corporation
114.49.2.173|em114-49-2-173.pool.e-mobile.ne.jp.|37903 | 114.48.0.0/15 | EMOBILE | JP | ymobile.jp | YMobile Corporation
115.162.63.177|p73a23fb1.ymgtnt01.ap.so-net.ne.jp.|2527 | 115.162.0.0/15 | SO | JP | so-net.ne.jp | So-net Service
116.193.112.202|202.112.193.116.ip4.winknet.ne.jp.|38628 | 116.193.96.0/19 | WINK | JP | winknet.ne.jp | Himeji Cable Television Corporation
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
116.65.15.63|116-65-15-63.rev.home.ne.jp.|9824 | 116.65.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
116.67.133.177|p744385b1.sitmnt01.ap.so-net.ne.jp.|2527 | 116.67.128.0/17 | SO | JP | so-net.ne.jp | So-net Service
119.82.192.176|192.176.net3.hinocatv.ne.jp.|23788 | 119.82.192.0/20 | HICT | JP | jcom.co.jp | Jupiter Telecommunications Co. Ltd.
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
126.62.102.209|softbank126062102209.bbtec.net.|17676 | 126.62.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
180.146.88.221|180-146-88-221f1.shg1.eonet.ne.jp.|17511 | 180.144.0.0/14 | K | JP | eonet.ne.jp | K-Opticom Corporation
183.72.178.229|u678229.xgsfm7.imtp.tachikawa.mopera.net.|9605 | 183.72.0.0/16 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
202.125.60.36|u036.d060125202.ctt.ne.jp.|7672 | 202.125.48.0/20 | FITWEB | JP | ctt.ne.jp | Cable Television Toyama Incorporeted
202.78.188.153|202-78-188-153.kakt.j-cnet.jp.|4721 | 202.78.184.0/21 | JCN | JP | koalanet.ne.jp | Jcom Tokatsukatsushika Co. Ltd.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
210.148.156.28|j210148156028.nct9.ne.jp.|2497 | 210.148.0.0/16 | IIJ | JP | nct9.ne.jp | N.C.T Co. Ltd.
210.149.77.107|j210149077107.nct9.ne.jp.|2497 | 210.149.0.0/16 | IIJ | JP | nct9.ne.jp | N.C.T Co. Ltd.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
211.19.245.151|dhcp22-151.ctb.ne.jp.|23780 | 211.19.224.0/19 | CTB | JP | ctb.ne.jp | CTB Media Inc.
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
219.193.80.100|softbank219193080100.bbtec.net.|17676 | 219.193.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network of SoftBank BB Corp
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
49.101.163.175|u663175.xgsfm36.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.178.76|u678076.xgsfm37.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.187.252|u687252.xgsfm38.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.194.73|u694073.xgsfm1.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.210.204|u710204.xgsfm2.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.255.74|u755074.xgsfm6.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
60.62.114.22|60-62-114-22.rev.home.ne.jp.|9824 | 60.62.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.137.2|60-62-137-2.rev.home.ne.jp.|9824 | 60.62.128.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
今迄の情報を見たら日本国内感染されたPCは大体20台以下と思われます。