Este informe contiene información sobre los comandos de ataque DDoS observados por drones honeypot. Estos drones emulan máquinas infectadas con bots de malware y pueden escuchar los comandos dados a esos bots. Estos comandos incluyen el C2 que emite el comando y la información de destino, la familia de malware, el protocolo que se usa para C2 y el destino del ataque, así como varios parámetros de ataque.
El src_ip a continuación es la IP C2 que emite los comandos, el dst_ip es la IP de la víctima del ataque. Si recibe este informe, significa que se ubicó un C2 (src_ip) que emitió el comando de ataque en su red o circunscripción.
La actividad informada generalmente está relacionada con Mirai como bots. La convención de nomenclatura y la descripción son coherentes con el código fuente de Mirai publicado.
Este informe tiene su versión hermana que contiene la misma información pero filtrada por dst_ip (dirección de las víctimas del ataque): Honeypot DDoS Target Events Report .
Puede obtener más información sobre el informe en nuestro tutorial Informe de eventos DDoS de Honeypot .
Puede obtener más información sobre los informes en general en la presentación Descripción general de los informes gratuitos de Shadowserver de beneficio público, que también explica ejemplos de casos de uso.
Este informe se habilitó como parte del proyecto HaDEA CEF VARIOT de la Unión Europea .
Nombre del archivo: event4_honeypot_ddos
CAMPOS
timestamp | Marca de tiempo cuando se vio la IP en UTC+0 |
---|---|
protocol | Tipo de paquete del tráfico de conexión (UDP/TCP) |
src_ip | La IP de origen del C2 que emite comandos de ataque DDoS |
src_port | Puerto de origen de la conexión IP |
src_asn | ASN de la IP de origen |
src_geo | País de la IP de origen |
src_region | Región de la IP de origen |
src_city | Ciudad de la IP de origen |
src_hostname | DNS inverso de la IP de origen |
src_naics | Código del sistema de clasificación de la industria de América del Norte |
src_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
device_vendor | Proveedor del dispositivo de origen |
device_type | Tipo de dispositivo de origen |
device_model | Modelo de dispositivo de origen |
dst_ip | IP de destino (IP atacada) |
dst_port | Puerto de destino de la IP atacada |
dst_asn | ASN de la IP de destino |
dst_geo | País de la IP de destino |
dst_region | Región de la IP de destino |
dst_city | Ciudad de la IP de destino |
dst_hostname | DNS inverso de la IP de destino |
dst_naics | Código del sistema de clasificación de la industria de América del Norte |
dst_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
public_source | Fuente de los datos del evento |
infection | Descripción del malware/infección |
family | Familia de malware o campaña asociada con el evento |
tag | Atributos de eventos |
application | Nombre de la aplicación asociada al evento |
version | Versión de software asociada al evento |
event_id | Identificador único asignado a la IP de origen o al evento |
dst_network | Red CIDR siendo atacada |
dst_netmask | Máscara de la red de destino bajo ataque |
attack | Tipo de ataque (comando emitido) |
duration | Duración del ataque |
attack_src_ip | IP de origen de ataque falsificado (si está configurado) |
attack_src_port | Puerto de origen del ataque falsificado (si está configurado) |
domain | Dominio a atacar (en comando de ataque) |
domain_transaction_id | ID de transacción de dominio, el valor predeterminado es aleatorio (nomenclatura interna de bot) |
gcip | Se puede usar para establecer la IP interna en la IP de destino, el valor predeterminado es 0 (no) |
http_method | Nombre del método HTTP utilizado para el ataque, el valor predeterminado es GET |
http_path | Ruta HTTP utilizada para el ataque observado, el valor predeterminado es / |
http_postdata | Datos POST si se está utilizando alguno en el ataque, el valor predeterminado es vacío/ninguno |
http_usessl | ¿Se usa SSL en inundaciones HTTP? |
ip_header_ack | Establezca el bit ACK en el encabezado IP, el valor predeterminado es 0 (no), excepto para la inundación ACK |
ip_header_acknum | Valor del número de reconocimiento en el encabezado TCP, el valor predeterminado es aleatorio |
ip_header_dont_fragment | Establezca el bit Dont-Fragment en el encabezado IP, el valor predeterminado es 0 (no) |
ip_header_fin | Configure el bit FIN en el encabezado IP, el valor predeterminado es 0 (no) |
ip_header_identity | Valor del campo ID en el encabezado IP, el valor predeterminado es aleatorio |
ip_header_psh | Configure el bit PSH en el encabezado IP, el valor predeterminado es 0 (no) |
ip_header_rst | Establezca el bit RST en el encabezado IP, el valor predeterminado es 0 (no) |
ip_header_seqnum | Valor del número de secuencia en el encabezado TCP, el valor predeterminado es aleatorio |
ip_header_syn | Establezca el bit ACK en el encabezado IP, el valor predeterminado es 0 (no), excepto para la inundación SYN |
ip_header_tos | Valor del campo TOS en el encabezado IP, el valor predeterminado es 0 |
ip_header_ttl | Campo TTL en el encabezado IP, el valor predeterminado es 255 |
ip_header_urg | Configure el bit URG en el encabezado IP, el valor predeterminado es 0 (no) |
number_of_connections | Número de conexiones |
packet_length | Tamaño de los datos del paquete, el valor predeterminado es 512 bytes |
packet_randomized | Aleatorizar el contenido de los paquetes de datos, el valor predeterminado es 1 (sí) |
EJEMPLO
"timestamp","protocol","src_ip","src_port","src_asn","src_geo","src_region","src_city","src_hostname","src_naics","src_sector","device_vendor","device_type","device_model","dst_ip","dst_port","dst_asn","dst_geo","dst_region","dst_city","dst_hostname","dst_naics","dst_sector","domain_source","public_source","infection","family","tag","application","version","event_id","dst_network","dst_netmask","attack","duration","attack_src_ip","attack_src_port","domain","domain_transaction_id","gcip","http_method","http_path","http_postdata","http_usessl","ip_header_ack","ip_header_acknum","ip_header_dont_fragment","ip_header_fin","ip_header_identity","ip_header_psh","ip_header_rst","ip_header_seqnum","ip_header_syn","ip_header_tos","ip_header_ttl","ip_header_urg","number_of_connections","packet_length","packet_randomized"
"2022-03-14 00:13:30",,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,,,"121.12.x.x",88,4134,"CN","HUBEI SHENG","WUHAN",,517311,,,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"121.12.x.x/32",32,"atk10",30,,,,,,,,,,,,,,,,,,,,,,,1440,
"2022-03-14 00:18:31",,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,,,"180.97.x.x",80,137697,"CN","JIANGSU SHENG","NANJING",,517311,,,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"180.97.x.x/32",32,"atk10",30,,,,,,,,,,,,,,,,,,,,,,,1440,
"2022-03-14 00:19:03",,"46.101.x.x",6379,14061,"DE","HESSEN","FRANKFURT AM MAIN",,518210,"Communications, Service Provider, and Hosting Service",,,,"104.237.x.x",,63949,"US","TEXAS","RICHARDSON",,518210,"Communications, Service Provider, and Hosting Service",,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"104.237.138.135/32",32,"atk7",10,,,,,,,,,,,,,,,,,,,,,,,,
"2022-03-14 00:26:09",,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,,,"42.51.x.x",80,56005,"CN","BEIJING SHI","BEIJING",,,,,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"42.51.x.x/32",32,"atk0",30,,,,,,,,,,,,,,,,,,,,,,,1440,
"2022-03-14 00:28:39",,"46.101.x.x",6379,14061,"DE","HESSEN","FRANKFURT AM MAIN",,518210,"Communications, Service Provider, and Hosting Service",,,,"141.94.x.x",22,16276,"FR","HAUTS-DE-FRANCE","ROUBAIX",,518210,"Communications, Service Provider, and Hosting Service",,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"141.94.x.x/32",32,"atk5",120,,,,,,,,,,,,,,,,,,,,,,,,
"2022-03-14 00:29:42",,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,,,"103.216.x.x",89,137697,"CN","BEIJING SHI","BEIJING",,,,,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"103.216.x.x/32",32,"atk10",30,,,,,,,,,,,,,,,,,,,,,,,1440,
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/honeypot-ddos-events/