Este informe identifica las URL que se observaron en los intentos de explotación en las últimas 24 horas. Se supone que contienen una carga útil de malware o sirven como controladores C2. Si una carga útil se descargó con éxito en las últimas 24 horas, también se publicará su hash SHA256. Los datos provienen principalmente de honeypots (en cuyo caso a menudo estarán relacionados con IoT), pero son posibles otras fuentes. Como siempre, solo recibe información sobre las direcciones IP que se encuentran en su red/circunscripción.
Tenga en cuenta que es posible que existan falsos positivos en este informe..
Puede obtener más información sobre el informe en el tutorial Informe de URL de malware .
Puede obtener más información sobre los informes en general en la presentación Descripción general de los informes gratuitos de Shadowserver de beneficio público , que también explica ejemplos de casos de uso.
Nombre de archivo: malware_url
CAMPOS
timestamp | Marca de tiempo de cuando se vio la URL (en las últimas 24 horas) |
url | URL que se extrajo de un intento de explotación observado, que se supone que contiene una carga útil de malware |
host | Nombre de host de la ubicación de URL |
ip | IP de la URL |
asn | ASN donde reside la IP |
geo | Ubicación del país de la IP |
region | Ubicación regional de la IP en cuestión |
city | Ubicación de la ciudad de la IP en cuestión |
naics | Código del sistema de clasificación de la industria de América del Norte |
sector | Sector de la PI en cuestión |
tag | Matriz de etiquetas asociadas con la URL, si las hay. En este informe, normalmente será una entrada CVE, por ejemplo, CVE-2021-44228. Esto permite una mejor comprensión del contexto de URL observado (es decir, el uso asociado con un CVE en particular). |
source | Fuente de información, si es pública |
sha256 | SHA256 de la carga útil asociada (potencialmente maliciosa), si se descarga de la URL |
application | Protocolo de la capa de aplicación donde se observó la aparición de la URL. Ejemplos: http, https, ssh, telnet. |
EJEMPLO
"timestamp","url","host","ip","asn","geo","region","city","naics","sector","tag","source","sha256","application"
"2021-12-21 22:26:09","ldap://167.71.13.196:443/lx-ffffc431093bfb20087f54c261000000005d0447","167.71.13.196","167.71.13.196",14061,"NL","NOORD-HOLLAND","AMSTERDAM",518210,"Communications,
Service Provider, and Hosting Service","CVE-2021-44228",,,"https"
"2021-12-21 22:26:09","ldap://167.71.13.196:443/lx-ffffc431093bfb20047f54c26100000000452c3b","167.71.13.196","167.71.13.196",14061,"NL","NOORD-HOLLAND","AMSTERDAM",518210,"Communications,
Service Provider, and Hosting Service","CVE-2021-44228",,"b76e96fd11567cd7492b6994f55583db47bc2dec49eed5899ae0d761c6329d9b","https"
"2021-12-21 22:26:09","ldap://167.71.13.196:443/lx-ffffc431093bfb20057f54c261000000003fcaad","167.71.13.196","167.71.13.196",14061,"NL","NOORD-HOLLAND","AMSTERDAM",518210,"Communications,
Service Provider, and Hosting Service","CVE-2021-44228",,"b76e96fd11567cd7492b6994f55583db47bc2dec49eed5899ae0d761c6329d9b","https"
"2021-12-21 23:39:18","http://175.107.0.208:53289/Mozi.m","175.107.0.208","175.107.0.208",23888,"PK","ISLAMABAD","ISLAMABAD",,"Government","CVE-2014-8361",,,"http"
"2021-12-21 23:40:10","http://223.130.31.144:51032/Mozi.m","223.130.31.144","223.130.31.144",133661,"IN","PUNJAB","LUDHIANA",,,"CVE-2014-8361",,,"http"
"2021-12-21 23:44:12","http://175.11.169.105:52958/Mozi.m","175.11.169.105","175.11.169.105",4134,"CN","HUNAN SHENG","CHANGSHA",517311,,"CVE-2018-10562",,,"http"
"2021-12-21 23:49:09","http://42.192.23.206/xxmm203","42.192.23.206","42.192.23.206",45090,"CN","BEIJING SHI","HAIDIAN",518210,,,,,"https"