Desbordamiento del informe TSUBAME (abril-junio de 2023) – JPCERT/CC Eyes
Esta serie de informes de desbordamiento de TSUBAME analiza las tendencias de monitoreo de los sensores TSUBAME en el extranjero y otras actividades que el Informes trimestrales de seguimiento de amenazas en Internet no incluye. Este artículo cubre los resultados del monitoreo para el período de abril a junio de 2023. Las tendencias de escaneo observadas con los sensores TSUBAME en Japón se presentan en gráficos. aquí.
Diferencia de paquetes observados en Japón y en el extranjero enviados desde Japón
Junto a la renovación del sistema TSUBAME, también hemos actualizado nuestros sensores. En particular, ha aumentado el número de sensores en el extranjero. Hemos instalado sensores en empresas de alojamiento en el extranjero y otras ubicaciones y, en julio de 2023, los sensores TSUBAME están en 17 regiones. Este artículo de blog se centra en cuánta diferencia existe en los paquetes observados entre las regiones. La Figura 1 resume la cantidad de paquetes enviados desde Japón a las regiones con múltiples sensores instalados. Se presentan los valores mínimo (MIN), máximo (MAX) y promedio (AVG), considerando las diferencias en el número de sensores entre regiones y las diferencias entre sensores en cada región.
| Figura 1: Comparación del número de paquetes enviados desde Japón a cada región |
Comparación de las tendencias de observación en Japón y en el extranjero.
Los paquetes de estas direcciones IP de origen fueron observados por sensores ubicados en Japón, así como por algunos de los sensores ubicados en Corea del Sur. Esto probablemente resultó en valores AVG más altos para los sensores en Japón y valores MAX para los sensores en Corea del Sur. Los escaneos se realizan para una variedad de propósitos. Creo que es importante saber qué tipo de exploraciones se suelen realizar. En particular, conocer las actividades de la fuente de escaneo puede ayudarnos a reconocer lo que les interesa, lo que a veces puede generar sugerencias de contramedidas para la red.
| Figura 2: Comparación mensual del número promedio de paquetes recibidos en Japón y en el extranjero |
Comparación de tendencias de seguimiento por sensor
Se asigna una dirección IP global a cada sensor TSUBAME. La Tabla 2 muestra los 10 puertos principales de cada sensor que recibieron más paquetes. Aunque el orden es diferente en cada sensor, casi todos los sensores observaron los paquetes para 23/TCP, 6379/TCP, 22/TCP y 80/TCP. Esto sugiere que estos protocolos se están escaneando en una amplia gama de redes.
Tabla 1: Comparación de los 10 paquetes principales por sensores nacionales y extranjeros
| #1 | #2 | #3 | #4 | #5 | #6 | #7 | #8 | #9 | #10 | |
| Sensor en Japón #1 | 23/TCP | ICMP | 22/TCP | 123/UDP | 6379/TCP | 8090/TCP | 80/TCP | 8088/TCP | 445/TCP | 3389/TCP |
| Sensor en Japón #2 | 23/TCP | 6379/TCP | ICMP | 22/TCP | 80/TCP | 445/TCP | 5555/TCP | 3389/TCP | 8080/TCP | 443/TCP |
| Sensor en Japón #3 | 23/TCP | 6379/TCP | 22/TCP | 80/TCP | 81/TCP | 5555/TCP | 445/TCP | 3389/TCP | 8080/TCP | 443/TCP |
| Sensor en el extranjero #1 | 37215/TCP | 23/TCP | 22/TCP | 52869/TCP | 80/TCP | 445/TCP | 5555/TCP | 5060/UDP | 3389/TCP | ICMP |
| Sensor en el extranjero #2 | 23/TCP | 6379/TCP | 22/TCP | 80/TCP | 5555/TCP | ICMP | 3389/TCP | 443/TCP | 1433/TCP | 8080/TCP |
| Sensor en el extranjero #3 | 23/TCP | 445/TCP | 6379/TCP | 123/UDP | 22/TCP | 139/TCP | 80/TCP | 5555/TCP | 3389/TCP | ICMP |
Para concluir
El monitoreo en múltiples puntos permite ver si algunas tendencias son exclusivas de una red en particular. Aunque no hemos publicado ninguna alerta especial como tema extra u otra información este trimestre, es importante prestar atención a los escáneres. Continuaremos publicando artículos de blog a medida que el Informe trimestral de monitoreo de amenazas en Internet esté disponible cada trimestre. También publicaremos un número adicional cuando observemos algún cambio inusual. Se agradecen mucho sus comentarios sobre esta serie. Utilice el formulario de comentarios a continuación para hacernos saber qué tema le gustaría que presentemos o analicemos más a fondo. Gracias por leer.
Keisuke Shikano
(Traducido por Takumi Nakano)