大きな動きとしては、9001/tcpへのスキャンが、台湾(TW)を中心に、ロシア、ベトナム、ブラジル、韓国といった国を発信元として活性化している点です。全体のランキングでも4位に浮上しています。
このポートはTorのリレーポートとして知られていますが、他にも使われているため実際の目的は今のところ不明です。ただ、傾向から見てなんらかのマルウエア活動の可能性が高いと考えられるため、注視が必要でしょう。
23/tcp(telnet)も引き続き活発ですが、こちらは間欠的にエストニア(EE)からの活動の活発化が観測されています。
1433/tcp(MS SQLサーバポート)の活動も引き続き中国発を中心に高止まりしています。
発信元の多くがISPのダイナミック割り当てアドレスとみられることから、発信元の主体は、なんらかのマルウエアに感染したPCである可能性が高いと考えられます。検索してみると、トレンドマイクロブログの2017年の記事でWindows PCを踏み台にして拡散するIoTマルウエアについて書かれていますが、こうしたマルウエアが拡散している可能性も考えられます。いずれにせよ、PCを狙って感染し、内部ネットワークで感染を広げようとするマルウエアの可能性が高いため、万一の持ち込みに備えて注意が必要でしょう。内部ネットワークから外向きの1433/tcp通信を監視する必要がありそうです。
国別では、中国発の活動が引き続き活発です。1433/tcpや23/tcpのほか多くのポートで活動がありますが、非標準ポートを含めたWebサーバに対するスキャンとみられる活動が高まった時間帯があり、IoT系マルウエアに関連した活動である可能性も考えられます。
香港発では、本日未明に23/tcpの活動が高まったほか、1433/tcpの活動も散見されています。
台湾発では、先に述べたように9001/tcp活動が活発です。以前から続いている23/tcpの活動も引き続き活発な状態が続いています。
ベトナム発でも従来からの445/tcpなどに加え、1433/tcp, 9001/tcpなどの活動が相対的に高まっています。
従来、23/tcp, 7547/tcp, 8291/tcpとルーター系に感染するIoTマルウエアとみられるスキャンが大量に発生していたネパールでも、このところ445/tcp, 1433/tcpなどの活動がみられるようになっています。
韓国でも、1433/tcpに加え、9001/tcpの活発化が見られます。
米国発では引き続き広範なポートへのスキャンが発生していますが、23/tcp, 445/tcp,1433/tcpの活動は相対的に高止まりしています。
ロシア発では、ごく少数のホストを発信元に、非常に広範なスキャンが行われており、人為的な探索活動が疑われます。特に、RDPなどの特定のサービスに関して、標準以外で使われる可能性が高いポートの周辺を念入りにスキャンしている様子が見られます。
日本発のスキャンは絶対数は少ないですが、一時的に139/tcp(netbios), 445/tcp(SMB)の活動が活発化した時間帯があるほか、22/tcp(ssh), 23/tcp(telnet), 1433/tcp(MS SQL)などの活動も相対的に高い状態にあります。9001/tcpに関してはいまのところ活動は観測されていません。
Webサーバ、DNSサーバなどへのDoSライクな着信は、引き続き間欠的に続いています。Webサーバに関しては、80/tcpと443/tcpがセットで同じようなレートで着信しています。53/tcp(DNSのTCPポート)には、米国を中心に多数の着信が見られています。
以上、ここ数日のまとめでした。
0 件のコメント:
コメントを投稿