UTM、週報、07/21

Weekly Report 07/21

	TOP10 dropped services
Total dropped packets: 26 674 Top Service Name Protocol Service Packets % 1 MICROSOFT-DS TCP 445 3 216 12.06 % 2 TELNET TCP 23 2 371 8.89 % 3 TCP 52869 1 362 5.11 % 4 MS-SQL-S TCP 1433 580 2.17 % 5 PERSONAL-AGENT TCP 5555 542 2.03 % 6 HTTP TCP 80 507 1.90 % 7 TCP 37215 504 1.89 % 8 HTTP-ALT TCP 8080 409 1.53 % 9 HOSTS2-NS TCP 81 357 1.34 % 10 HTTPS TCP 443 334 1.25 %

・port 52869/tcp

・国内における Mirai 亜種の感染急増 (2017年11月の観測状況) (2017/12/07)

　https://sect.iij.ad.jp/d/2017/12/074702.html

後述 37215と52869のスキャンは、Satoriによるものが含まれていそう。

　↓

・拡がるSATORIボットネットの脅威。Miraiボットネットとの関連も (2017/12/08)

　https://nanashi0x.hatenablog.com/entry/2017/12/08/212942

・ルーターの脆弱性を突くbotネットが相次ぐ、攻撃に加担させられる恐れも (07/23)

　http://www.itmedia.co.jp/news/articles/1807/23/news054.html

『Huaweiのルーター「HG532」の脆弱性（CVE-2017-17215）を狙ったスキャンが2018年7月18日から観測され、その日のうちに1万8000台のルーターがbotネットのネットワークに組み込まれた』

その他、Dasan GPON, D-LINK 2750Bのスキャン急増。Realtekルータへの攻撃予告。

・port 5555/tcp

https://www.speedguide.net/port.php?port=5555

SoftEther VPN, HP Data Protector, XBox 360 Media Center, 他 各種trojan でも使用

・ポートスキャン機能を増強した「Mirai」、Windowsも踏み台に追加 (2017/02/14)

　https://blog.trendmicro.co.jp/archives/14455

『デフォルトの管理認証情報を試行し、ポート7547 と 5555（TCP／UDP）、23（Telnet）、22（SSH）を介している機器を乗っ取ります』

・port 37215/tcp

https://www.speedguide.net/port.php?port=37215

このポートを使うHuawei HG 532 routerには、directory traversal問題があるとのこと(2015)。