요약
- GreyNoise는 8월30일 전후 전체 미라이 감염 중 7%에 달하는 IP들이 NETsurveillance Acitve X 플러그인을 사용하는
DVR/IP 카메라를 대상으로 한 대 단위 스캔 포착.
- 해당 IP는 TCP 34567 포트를 스캔하며, 8월28일 변종 미라이 컨트롤러에 추가된 기능과 연관이 있을 것으로 추정
- 보안 전문가 Masafumi Negishi 는 이를 Moobot 스캔이라 판정
* 34567 포트 : 외부에서 공유기에 접속 시 사용하는 포트포워딩 디폴트 포드로도 사용되고 있음.
※ Moobot 로더에 Moobot C2 서버 : 80.82.65.213 (네덜란드)
https://twitter.com/bad_packets/status/1167336978041303040
<Sans 포트 공격 트랜드 >
https://isc.sans.edu/port.html?port=34567
<360 NetLab>
https://scan.netlab.360.com/#/dashboard?tsbeg=1564848000000&tsend=1567440000000&dstport=34567&toplistname=srcip&topn=10
<GreyNoise Anomaly 탐지 - 34567 포트 스캔>
8/29 월 평균 기준 대비 518% 증가
8/30 월 평균 기준 대비 793% 증가
9/1 월 평균 기준 대비 776% 증가
참고자료
출처 : https://twitter.com/GreyNoiseIO/status/1167582968241696772
https://twitter.com/MasafumiNegishi/status/1167074841586913280
https://twitter.com/bad_packets/status/1167336978041303040
https://isc.sans.edu/port.html?port=34567
https://scan.netlab.360.com/#/dashboard?tsbeg=1564848000000&tsend=1567440000000&dstport=34567&toplistname=srcip&topn=10
https://twitter.com/bad_packets/status/1167336978041303040
'Incident Report' 카테고리의 다른 글
| [2019.10.08] VPN 취약점을 APT 공격에 활용, 미국 NSA 주의 권고 (CVE-2019-11510,11539, 2018-13379) (0) | 2019.10.15 |
|---|---|
| [2019.09.19] WS-Discovery 프로토콜을 이용한 DDoS 공격 탐지 (0) | 2019.09.19 |
| [2019.08.30] Pulse Secure VPN(CVE-2019-11510) 취약점 공격 성행 (0) | 2019.09.02 |
| [2019.08.30] Webmin 취약점 공격 성행 (CVE-2019-15107) (0) | 2019.09.02 |
| [2019.08.06] WordPress 서비스를 이용한 리눅스 봇넷 백도어 다운로드 현황 포착 (0) | 2019.09.02 |