昨日も書いていますが、発信元の地域によって発生するスキャンに大きな偏りが出ることがあります。最近では、台湾(TW)からのスキャンは、大半が37215/tcpつまり、
HUAWEIルータの脆弱性を狙ったと考えられるものです。これはその地域に、この種のマルウエア感染が多発している可能性を示します。一方、エストニアからのスキャンでは、5038/tcp、5060/udpといったVoIP, SIP関連のポートを狙ったものが多くなっています。これもまた、こうした機器を狙うマルウエアに感染した機器の存在を示唆します。ネパールは、23/tcp、7547/tcp、8291/tcpといった、IoT機器やルータ狙いのスキャンが非常に多くなっていて、MiraiやHajimeといったIoT系マルウエアの活動が活発であることを示唆しています。
近年、マルウエアの多くが、いわゆるボットなど遠隔操作型のものとなっており、通常の感染拡大のためのワーム活動に加え、指令によりポートスキャンや攻撃が実行される可能性も高いと言えます。時折、特定のポートへのバースト的なスキャンが発生するのも、特定のマルウエアの流行による感染活動に加え、こうした意図的なスキャンが行われている可能性も示唆します。
0 件のコメント:
コメントを投稿