Este informe identifica hosts que se han observado realizando ataques de fuerza bruta, utilizando diferentes redes de honeypots. Esto incluye ataques de fuerza bruta en las credenciales para obtener acceso utilizando varios protocolos, como SSH, telnet, VNC, RDP, FTP, etc.
Una vez obtenido el acceso, los dispositivos pueden utilizarse para otros ataques, que pueden implicar la instalación de software malicioso que permite que el dispositivo funcione como parte de una botnet. Por ejemplo, las conocidas botnets Mirai se utilizaron de esta manera para lanzar ataques DDoS.
Los dispositivos pirateados también pueden usarse para iniciar escaneos en otros dispositivos de Internet vulnerables. En otros casos, el uso de la fuerza bruta para violar los dispositivos de red puede permitir que un delincuente intente robar dinero. Al insertar entradas de servidor DNS no autorizadas en la configuración de red de un enrutador doméstico, pueden redirigir el tráfico de usuarios a páginas web maliciosas, lo que provoca ataques de phishing en el usuario de la red doméstica.
Cuando se detectan ataques de fuerza bruta, el sistema informa a los propietarios de la red desde la que se originan los ataques, o a los CERT nacionales responsables de esa red.
Puede obtener más información sobre el informe en el tutorial Informe de eventos de fuerza bruta Honeypot .
Puede obtener más información sobre los informes en general en la presentación Descripción general de los informes gratuitos de Shadowserver de beneficio público, que también explica ejemplos de casos de uso.
Nombre de archivo: event4_honeypot_brute_force
CAMPOS
timestamp | Marca de tiempo cuando se vio la IP en UTC+0 |
---|---|
protocol | Tipo de paquete del tráfico de conexión (UDP/TCP) |
src_ip | La IP del dispositivo en cuestión |
src_port | Puerto de origen de la conexión IP |
src_asn | ASN de la IP de origen |
src_geo | País de la IP de origen |
src_region | Región de la IP de origen |
src_city | Ciudad de la IP de origen |
src_hostname | DNS inverso de la IP de origen |
src_naics | Código del sistema de clasificación de la industria de América del Norte |
src_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
device_vendor | Proveedor del dispositivo de origen |
device_type | Tipo de dispositivo de origen |
device_model | Modelo de dispositivo de origen |
dst_ip | IP de destino |
dst_port | Puerto de destino de la conexión IP |
dst_asn | ASN de la IP de destino |
dst_geo | País de la IP de destino |
dst_region | Región de la IP de destino |
dst_city | Ciudad de la IP de destino |
dst_hostname | DNS inverso de la IP de destino |
dst_naics | Código del sistema de clasificación de la industria de América del Norte |
dst_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
public_source | Fuente de los datos del evento |
infection | Descripción del malware/infección |
family | Familia de malware o campaña asociada con el evento |
tag | Atributos de eventos |
application | Nombre de la aplicación asociada al evento |
version | Versión de software asociada al evento |
id | Identificador único asignado a la IP de origen o al evento |
service | El tipo de servicio que fue atacado, es decir, SSH, RDP, Telnet, etc. |
start_time | Marca de tiempo de la última actividad vista en el ataque |
end_time | Marca de tiempo de la última actividad vista en el ataque |
client_version | La cadena de versión proporcionada por el atacante, si corresponde y registrada |
username | El primer nombre de usuario que se intentó, si se registró |
password | La primera contraseña que se intentó, si se registró |
payload_url | Si se descargó una carga útil en el destino, la URL desde donde se descargó la carga útil, si se registró |
payload_md5 | El md5sum de la carga útil descargada en el destino, si se registra. |
EJEMPLO
"timestamp","protocol","src_ip","src_port","src_asn","src_geo","src_region","src_city","src_hostname","src_naics","src_sector","device_vendor","device_type","device_model","dst_ip","dst_port","dst_asn","dst_geo","dst_region","dst_city","dst_hostname","dst_naics","dst_sector","public_source","infection","family","tag","application","version","event_id","service","start_time","end_time","client_version","username","password","payload_url","payload_md5"
"2021-03-27 00:00:00","tcp","141.98.x.x",30123,209588,"NL","NOORD-HOLLAND","AMSTERDAM",,,,,,,"162.250.x.x",22,26832,"CA","QUEBEC","MONTREAL",,,,"CAPRICA-EU","ssh-brute-force",,,"ssh",,,,"2021-03-27T00:00:00.521730Z","2021-03-27T00:00:01.710968Z","b'SSH-2.0-Go'",,,,
"2021-03-27 00:00:00","tcp","5.188.x.x",55690,57172,"NL","NOORD-HOLLAND","AMSTERDAM",,518210,,,,,"162.250.x.x",22,26832,"CA","QUEBEC","MONTREAL",,,,"CAPRICA-EU","ssh-brute-force",,,"ssh",,,,"2021-03-27T00:00:00.520927Z","2021-03-27T00:00:01.670993Z","b'SSH-2.0-Go'",,,,
"2021-03-27 00:00:00","tcp","45.14.x.x",38636,44220,"RO","BIHOR","ORADEA",,,,,,,"82.118.x.x",23,204957,"PL","MAZOWIECKIE","WARSAW",,,,"CAPRICA-EU","telnet-brute-force",,,"telnet",,,,"2021-03-27T00:00:00.781774Z","2021-03-27T00:00:00.857244Z",,,,,
"2021-03-27 00:00:00","tcp","5.188.x.x",56385,49453,"NL","NOORD-HOLLAND","AMSTERDAM",,518210,,,,,"102.16.x.x",22,37054,"MG","ANTANANARIVO","ANTANANARIVO",,,"Communications, Service Provider, and Hosting Service","CAPRICA-EU","ssh-brute-force",,,"ssh",,,,"2021-03-27T00:00:00.163870Z","2021-03-27T00:00:02.896640Z","b'SSH-2.0-Go'",,,,
"2021-03-27 00:00:00","tcp","45.14.x.x",35802,44220,"RO","BIHOR","ORADEA",,,,,,,"82.118.x.x",23,204957,"PL","MAZOWIECKIE","WARSAW",,,,"CAPRICA-EU","telnet-brute-force",,,"telnet",,,,"2021-03-27T00:00:00.781272Z","2021-03-27T00:00:00.856606Z",,,,,
"2021-03-27 00:00:00","tcp","5.188.x.x",33289,49453,"NL","NOORD-HOLLAND","AMSTERDAM",,518210,,,,,"60.234.x.x,22,9790,"NZ","WELLINGTON","LOWER HUTT",,,"Communications, Service Provider, and Hosting Service","CAPRICA-EU","ssh-brute-force",,,"ssh",,,,"2021-03-27T00:00:00.044871Z","2021-03-27T00:00:00.077322Z","b'SSH-2.0-Go'",,,,
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/honeypot-brute-force-events-report/