2003-09-26 [長年日記]

1 増加

port 80の増加(dshield.org)が目に見えて分かるみたい。同様にport 135も確かに増えてます(dshield.org)。ただport 135の増え方はport 80と違って見えます

2 次にMicrosoftのRPCのヤツを中心に見てみる。MS03-026CA-2003-19で取り上げられたTCP/UDPポートは135/TCP,135/UDP,139/TCP,139/UDP,445/TCP,445/UDP。またMS03-039CA-2003-23で取り上げられたTCP/UDPポートは135/TCP,135/UDP,137/UDP,138/UDP,139/TCP,445/TCP,445/UDP,593/TCP。

3 これらのTCP/UDPポートの中で特徴的なtrafficを見せているのはport 135の他にport 593があるようです(dshield.org)。port 593のグラフのレンジを広げてみても(dshield.org)それが分かります。最初に増加が認められる8/14にSources 23に対してTargets 34869、Records 67501が記録されている。8/14周辺でナニがあったかというとBlasterが発生した時期(@Samさんとこ)でもある。で、次に面白いのは増加が認められるのは8/23及び8/30は土曜日だったりする。この土曜日というのはLACのレポート「A Walk Through "Sombria": 侵入者の行動観察システム(PDF)」で記載されている、「攻撃者が侵入する場合、土曜日が多いことが分かります。」と一致して興味深い(笑 そして次に増加しているのは9/15,9/16/9/17となっていて、9/15より以前に起こった事を見てみると(@Samさんとこ)、9/11にMS03-039が報告され同日にはCA-2003-23となっている。更にport 593宛のスキャンが収まった9/17には「Full-Disclosure に "EXPLOIT : RPC DCOM (MS03-039) (09.16.MS03-039-exp.c)" が投稿される」たようで、こちらもこちらで妙に一致して興味深い。

4 だからどーだと言う事は全然ないのですが(笑

5 WelchiaまたはNachi

Snortのruleをメンテしないで放置していたらログの量が大変な事に。既にruleから外してしまいましたが、外すまでの状況を折角だからちょっとだけまとめてみる。なお、検出対象となっているIPアドレスの数は5IPです。

Welchiaが送出するICMPはSnortでCyberKitで検出される(セキュリティホールmemo)ことは知られています。ではこの1ヶ月どのくらい検出されたのか8/12〜9/19の日単位でスキャンしてきたソースアドレスの合計を集計してみたのが次。(都合により1日はだいたいその日の6:00〜次の日の6:00という感じ、9/11は都合により停止したので適当な数値で補完してます)

単純に言うと減っていないばかりかむしろ増えているように見える。

では、日を追って見てみる。最初に検出したのは8/12で、ソースアドレスが1件。1件なのでいわゆるCyberKitかもしれないが、手元での今までの傾向を見てもCyberKitで検出するのは極わずかなので本当にびみょー。しかも8/12は@Samさんとのこの時系列を見ても分かるように、Blasterがアンチウイルスな各社で確認されたのは8/11。この、何ともびみょーな一致。 8/13,8/14はなかったようだが、8/15,8/16/8/17にはスキャンしてきたソースアドレスが約100件になった後、8/18から急激に増加し出す。まさに8/18とはWelchiaがウイルスと確認され報告が上がってきた時期。

[追記] ふと増加傾向のグラフの中でくぼみが4カ所ありますが、定期的のような感じなので、曜日を調べたら土曜日と日曜日のスキャンが目に見えて減っているような感じ(笑 企業感染分か?(笑

次に連続した5IPアドレスへのスキャンの数が明らかに異なる。次のデータは8/12〜9/19の間 各IPアドレスで検出されたアラートを集計し、5IPアドレスで検出されたアラートの総計に対し、各IPアドレスがどの程度の割合をしめるか。
 Aアドレス 67%
 Bアドレス 16%
 Cアドレス 6%
 Dアドレス 6%
 Eアドレス 6%

ここのところ巡回ができていないので、どこで記載されている情報が一番細かくスキャンアルゴリズムを記載しているのか分かりかねるが、ざっと見たところトレンドマイクロが一番詳しいっぽい。でも、それ見てもよくワカラン(^^;

なお、トレンドマイクロは9/17のパターンファイルでWORM_MSBLAST.DからWORM_NACHI.Aに検出時の名称を変えたようだ。

6 地震

今日はお休みで朝がかなりユックリで、テレビを見たら地震だとか、知った人はとりあえず無事そうな感じで何より。

我が家は災害時に必要そうなものが全然無いのが一番のセキュリティ不安(^^;

7 [めも] エイリアス 2重スパイの女

BSで始まった海外ドラマ。9/24に放映された第一話の内容がここ。なかなかに面白いです。要チェキ。

8 めも

ラックの川口氏が指摘する今後の課題は「攻撃を受けたときどうするか」(ZDNet記事)
IDG とグローバルナレッジさんの講演?資料(いはらさん)
片手で打てるUNIXコマンド(りょうすけさん)

[ツッコミを入れる]
[]
This Diary is Running on tDiary.Net 2nd. Powered by fdiary.net and NaCl.
Generated by tDiary version 2.0.0
Powered by Ruby version 1.8.2