Este informe identifica hosts que tienen una instancia SMB ejecutándose en el puerto 445/TCP a los que se puede acceder en Internet. Server Message Block es un protocolo de red que permite compartir archivos, impresoras, etcétera, entre nodos de una red de computadoras que usan el sistema operativo Microsoft Windows.
Este servicio no debe estar expuesto a Internet, ya que el tráfico de SMB/CIFS/SAMBA no está cifrado. Cualquiera que pueda interceptar la comunicación, como por ejemplo a través de un ataque Man in the Middle, podría interceptar todos los archivos que enviados. Por otra parte, si no es utilizada una contraseña para controlar el acceso al servidor, cualquiera podría acceder al mismo. De igual forma, si se utiliza una contraseña la misma viajará por la red sin cifrar, en texto plano, y también podría ser interceptada por un hipotético atacante.
Este reporte no indica indicios de compromiso o ataques desde las IPs en cuestión, sino sólo representa la presencia de un equipo o servicio potencialmente vulnerable y/o expuesto.
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
Nombre(s) de archivo: scan_smb, scan6_smb
CAMPOS
| timestamp | Hora en que se sondeó la IP en UTC+0 |
| ip | La dirección IP del dispositivo en cuestión. |
| protocol | Protocolo en el que se produjo la respuesta (siempre TCP) |
| port | Puerto del que provino la respuesta (445/TCP) |
| hostname | Nombre DNS inverso del dispositivo en cuestión |
| tag | siempre sere smb |
| asn | ASN de donde reside el dispositivo en cuestión |
| geo | País donde reside el dispositivo en cuestión |
| region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
| city | Ciudad en la que reside el dispositivo en cuestión |
| naics | Código del sistema de clasificación de la industria de América del Norte |
| sic | Código del sistema de clasificación industrial estándar |
| smb_implant | Indica si hay un implante smb presente (S/N) |
| arch | Si hay un implante smb, indica si la arquitectura del sistema es de 32 bits (x86) o de 64 bits (x64). |
| key | Si hay un implante smb, indica la clave criptográfica |
| smbv1_support | Compatibilidad con SMBv1 (S/N) |
| smb_major_number | Número de versión principal de SMB |
| smb_minor_number | Número de versión secundaria de SMB |
| smb_revision | Número de revisión de SMB |
| smb_version_string | Cadena de versión de SMB |
EJEMPLO
"timestamp","ip","port","hostname","tag","asn","geo","region","city","naics","sic","smb_implant","arch","key","smbv1_support","smb_major_number","smb_minor_number","smb_revision","smb_version_string"
"2010-02-10 00:00:00",192.168.0.1,445,node01.example.com,smb,64512,ZZ,Region,City,0,0,N,,,N,2,1,0,"SMB 2.1"
"2010-02-10 00:00:01",192.168.0.2,445,node02.example.com,smb,64512,ZZ,Region,City,0,0,N,,,N,2,1,0,"SMB 2.1"
"2010-02-10 00:00:02",192.168.0.3,445,node03.example.com,smb,64512,ZZ,Region,City,0,0,N,,,N,2,1,0,"SMB 2.1"