マルウエアのスキャンパケットってソースポートがある程度限定的なのかもです。
下の絵の青のグラフがマルウエアからのスキャンと思われるパケットのソースポート番号です。
赤は通信先のポートでこの検体の場合はほぼ同じポートで、青のグラフのパケット数を足し算しても赤にならないのは赤のグラフにはスキャン以外の通信した時のパケットも入っているので、足し算しても同じにはならないのですが、波形の上下は似ているかと思います。
-
ハニーで観測さ れたaccessパケットの統計 4/4からMexicoからのaccess増加が目立ちます。 今年に入ってからある日本企業のメキシコ工場への攻撃と関連があるのでしょうか。 -
全体のaccessではPhilippines、Thailandが上位になっておりますが、miraiの特徴を持つパケットや、攻撃(exploit)と思われるパケットではChina、United Statesからのパケットが目立ちます。 miraiの特徴を持つパケット exploi...
0 件のコメント:
コメントを投稿