HTTP Scan

一昔前まではbotと言えば自動増殖やターゲットリスト作成のために自動的にWindowsの脆弱性をもつPCを検索するためにTCP135やTCP445などのパケットを投げまくっていたものだが、最近ではSMTP ScanとHTTP Scanを行うものが増えた。HTTP Scanに関しては無作為というわけではなく何かの準備のために定期的に１ヶ月程度集中的に実施されることが多く、年末に向けて12月に入ってから活発にHTTP Scanしているbotnetがある。

内容的には単純に特定のNWに対してGET requestを投げるだけで、一見DDoSに見えるが1IPに対して数回しかGET Requestを投げない、対象のNWをいろいろ変えながら（主に中国やヨーロッパ）繰り返し行われている。単純にリストの作成を行っているだけのものではないかと想定しているが、このようなscanに対して大量のWebサイト、Windowsマシン、そしてたくさんのブロードバンドルータが検出されていっているようだ。このように収集された情報はきれいに分類されて、Forum等で公開/交換され次の段階の攻撃に利用される。

ブロードバンドルータが攻撃に利用される例もあることから、WAN側から管理画面にアクセスできないようにすべきであり、それができない機種は任意IPからのアクセスを許容してはいけない。（本当は使わないでもらいたい）

[カテゴリ:botnet観察日記]

by jyake