本日はまた韓国IP発で、32761/udpへの短時間の大量着信がありました。先日、日本のモバイルISPのIPから同様の着信が発生していますが、このポートへの着信の発生は韓国、日本、香港など一部に限られており、発信元が国ごとに単一のIPであることから、同一の発生源が国を移動しているという推測もできます。
ただ、これも推測に過ぎず、原因は不明です。23/tcpでは、中国発で活発化した時間帯がありました。
中国発では、23/tcpの他、22/tcp,445/tcpなどでも比較的活発な活動が継続しています。22/tcpでは、引き続き大半が中国発ですが、今日は、ロシア、ルーマニアなどでも活発化した時間帯がありました。
3389/tcp(RDP)では、活動の主体は中国、ロシア、ルーマニア、米国などで、ランサムウエアがらみの活動の比率が高いと思われます。
地域別では、香港発でスキャン活動が高まった時間帯がありました。増加の原因となったポートは、22/tcp, 2222/tcp, 12222/tcp, 22222/tcpなどで、いずれもSSHのサービス狙いとみられます。
ロシア発では、引き続き広範なポートへのスキャンが観測されていますが、機能から今日にかけて、活動が少し活発化しています。
日本発の活動は比較的少数ですが、今日は445/tcpの活動が若干高かった時間帯がありました。Windowsを狙ったマルウエアの活動の可能性があります。
以上、今日の概況でした。
0 件のコメント:
コメントを投稿