今週のアクセス数上位ポート Top Ports Accessed This Week
今週は169万件でした。
アクセス数上位ポート①123(NTP) ②SMB(445) ③22(SSH) ④3389(RDP) ⑤40293(???)
再び100万件を超えました。先週のT-Pot不具合と、今までの不具合を考えると、サーバーの調子が悪くなってくると、攻撃を受けきれずに、検出が減ってくるのかもしれません。
There were 1.69 million accesses this week.
Top accessed ports: 1) 123 (NTP) 2) SMB (445) 3) 22 (SSH) 4) 3389 (RDP) 5) 40293(???)
The number of cases exceeded 1,000,000 again. Considering the T-Pot glitch last week and the glitches we have seen so far, it may be that as the server gets worse, it is unable to handle more attacks and detection is decreasing.
さて、最近は、1024番ポートより上位のポートへのアクセスが増えているように感じます。
上図は、特に上位ポートだけを抜き出してみました。まんべんなくアクセスが来ているのではなく、10日(JST)~11日にかけて集中していました。その中身は、「Cookie: mstshash=a」です。RDP(リモートデスクトップ)の「a」ユーザー宛への試行のようです。
Now, recently, it seems that access to ports higher than port 1024 is increasing.
The above figure shows only the top ports in particular. The accesses were not evenly distributed, but were concentrated from the 10th (JST) to the 11th. The content is "Cookie: mstshash=a", which seems to be an attempt to the RDP (remote desktop) user "a".
そして、右図はロシアだけを抽出したグラフになります。特に10日~11日にかけてのアクセスが、上図と重なります。
上位ポートへのアクセスは、ロシアからのものが大半でした。
あと「サイバー空間をめぐる脅威の情勢等について(令和5年上半期)」を読むと、「IoT機器を対象としたぜい弱性探索行為」が増加していると書いてあります。特にIoT機器は1024以上の上位ポートを活用していることから、上位ポートへのアクセスが増加傾向にあるとのことです。
And the graph on the right shows only Russia extracted. The accesses, especially from the 10th to the 11th, overlap with the above figure.
The majority of accesses to the top ports were from Russia.
Also, if you read "Threats in Cyberspace (First Half of 2023)," it says that "vulnerability-seeking activities targeting IoT devices" are on the increase. In particular, since IoT devices utilize more than 1024 high-level ports, access to high-level ports is on the rise.
今週のアクセス数上位国 Top countries accessed this week
アクセス数上位国(DoS以外)
① ロシア(3389)RDP
② ベトナム(445)SMB
③ 中国(22)SSH
④ 台湾(22)SSH
⑤ アメリカ(22)SSH
今週はロシアが一番でした。ただロシアの3389番ポート(RDP)が一番だったとしても、それ以外の上位ポートでも、それぞれ軒並み1万件以上を超えるアクセスがありました。他国と比べてもダントツです。これこそIoT機器を特定するためのアクセスだったのでしょうか?
Top Access Countries (Non-DoS)
1) Russia (3389) RDP
2) Vietnam (445) SMB
3) China (22) SSH
4) Taiwan (22) SSH
5) U.S.A. (22) SSH
Russia was the best this week. But even if port 3389 (RDP) in Russia was the best, each of the other top ports had more than 10,000 accesses across the board. This is a dantotch compared to other countries. Was this the access to identify IoT devices?
今週の攻撃IDパスワード Attack ID & password of the week
「UPnP service discovery attempt」が目立ちます。桁が違い1,000万件台です。
UPnP service discovery attempt" stands out. The number of attempts is in the 10 million range.
その他
| 10/10 | フィッシング対策協議会によると、9月のフィッシング攻撃に関する報告は3か月振りに11万件を超え増加しているという。フィッシングサイトに悪用されたトップレベルドメインは「.com」が約53%、「cn」が約15%が目立つ。 | SecurityNext |
コメント