Este informe identifica hosts que están potencialmente comprometidos con el backdoor SYNful.
SYNful knock consiste en una imagen original de Cisco IOS en la que se ha implantado este backdoor posteriormente, permitiendo al atacante cargar varios módulos de forma anónima desde Internet. Este backdoor proporciona acceso de administrador al equipo comprometido gracias a una contraseña secreta oculta que integra. La comunicación con los módulos se realiza a través de HTTP con paquetes TCP especialmente diseñados ya que no tienen una secuencia ni unos ACK afines al estándar. El acceso remoto al router se realiza a través de Telnet o por consola, no por SSH.
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
CAMPOS
timestamp | Hora en que se sondeó la IP en UTC+0 |
ip | La dirección IP del dispositivo en cuestión. |
protocol | Protocolo en el que se produjo la respuesta SYNful (siempre TCP) |
port | Puerto en el que se produjo la respuesta SYNful (siempre 80/TCP) |
hostname | Nombre DNS inverso del dispositivo en cuestión |
tag | Esto siempre será synfulknock |
asn | ASN de donde reside el dispositivo en cuestión |
geo | País donde reside el dispositivo en cuestión |
region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
city | Ciudad en la que reside el dispositivo en cuestión |
naics | Código del sistema de clasificación de la industria de América del Norte |
sic | Código del sistema de clasificación industrial estándar |
sequence_number | Esto siempre será 0 |
ack_number | Esto siempre será 791102 |
window_size | Esto siempre será 8192 |
urgent_pointer | Esto siempre será 0 |
tcp_flags | Esto siempre será 4608 |
raw_packet | Todo el paquete synack que fue devuelto por nuestra sonda diseñada |
sector | Sector industrial proporcionado por un servicio comercial de terceros |
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/synful-scan-report/