ブログに書くネタもなかったのでずいぶん長い間サボってしまいました。最近、契約している複数のISP回線で、ポートスキャンの観測を始めました。仕組みは単純で、ファイアウォールで拒否されている外部からの通信ログをリアルタイムにデータベースに読み込み、その集計ビューをマイクロソフトのPower BIを使って可視化しています。IPの国別情報などについては、各NICで公開されている割り当て情報を使って判別しています。
観測しているのは、主にIoT系マルウエアに関連するポートや、Windows関連のポートなどです。使っているIPアドレスは、某ビジネスISPからの/29セグメント、コンシューマ向けISPの固定IP2個とダイナミックIP1個で、いずれも異なるレンジの物です。
とりあえず、全体はこんな感じのダッシュボードにまとめています。
1時間単位のイベント数とポート比率を積み上げグラフ化したものや、国ごとにポート番号別の頻度を積み上げたもの、ポート別のランキングなどをまとめています。ポート別では、あいかわらずtelnet(23/tcp)がトップで、依然としてMiraiなどのマルウエアに感染した機器が多いことが伺えます。2番目に445/tcpが来ているのは、Windows系のマルウエア等による脆弱なホスト探索でしょう。以下、上位にはやはりIoTマルウエアが狙うポートが並んでいます。
ポート別では、telnet(23/tcp)で、未明に米国(US)、朝6時台に中国(CN)からのスキャン増加が見られました。
ポート37215/tcpはHUAWEI製ルータの脆弱性を狙ったマルウエアのスキャンとみられますが、今日の午前から台湾(TW)発のスキャンが急増しています。このポートのスキャンでは、以前から台湾発が大半を占めており、発信元は、台湾最大のISPであるhinetがダイナミックに利用者に割り当てているIPがほとんどで、IP数にして8300個あまりを観測しています。
IoTマルウエアに関する通信としては、ルータの遠隔操作プロトコルCWMPを狙った7547/tcpやラトビアのMikrotik社製ルータの脆弱性を狙った8291/tcpへのスキャンも観測しています。これらの大半はネパール(NP)が発信元となっています。
また、中国 Netcore(海外向けブランドはNetis)製ルータの脆弱性を狙ったとみられる53413/udpや、Realtek SDKが組み込まれたWiFiルータの脆弱性を狙った52869/tcpなどへのスキャンも観測しています。前者はオランダ(NL)発信元のものが大半を占めます。後者については米国(US)発が中心でしたが、数日前からオランダ(NL)発のものが急増しています。
そんな感じで、こうして時系列で見ていると興味深い傾向も見えてきます。今後データがたまったら、あれこれ統計的な分析もしてみようと思っています。
0 件のコメント:
コメントを投稿