Ataques de Fuerza Bruta (Honeypot Brute Force Events Report)

Este informe identifica hosts que se han observado realizando ataques de fuerza bruta, utilizando diferentes redes de honeypots. Esto incluye ataques de fuerza bruta en las credenciales para obtener acceso utilizando varios protocolos, como SSH, telnet, VNC, RDP, FTP, etc.

Una vez obtenido el acceso, los dispositivos pueden utilizarse para otros ataques, que pueden implicar la instalación de software malicioso que permite que el dispositivo funcione como parte de una botnet. Por ejemplo, las conocidas botnets Mirai se utilizaron de esta manera para lanzar ataques DDoS.

Los dispositivos pirateados también pueden usarse para iniciar escaneos en otros dispositivos de Internet vulnerables. En otros casos, el uso de la fuerza bruta para violar los dispositivos de red puede permitir que un delincuente intente robar dinero. Al insertar entradas de servidor DNS no autorizadas en la configuración de red de un enrutador doméstico, pueden redirigir el tráfico de usuarios a páginas web maliciosas, lo que provoca ataques de phishing en el usuario de la red doméstica.

Cuando se detectan ataques de fuerza bruta, el sistema informa a los propietarios de la red desde la que se originan los ataques, o a los CERT nacionales responsables de esa red.

Puede obtener más información sobre el informe en el  tutorial Informe de eventos de fuerza bruta Honeypot .

Puede obtener más información sobre los informes en general en la presentación Descripción general de los informes gratuitos de Shadowserver de beneficio público, que también explica ejemplos de casos de uso.

Nombre de archivo: event4_honeypot_brute_force

CAMPOS

timestampMarca de tiempo cuando se vio la IP en UTC+0
protocolTipo de paquete del tráfico de conexión (UDP/TCP)
src_ipLa IP del dispositivo en cuestión
src_portPuerto de origen de la conexión IP
src_asnASN de la IP de origen
src_geoPaís de la IP de origen
src_regionRegión de la IP de origen
src_cityCiudad de la IP de origen
src_hostnameDNS inverso de la IP de origen
src_naicsCódigo del sistema de clasificación de la industria de América del Norte
src_sectorSector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial
device_vendorProveedor del dispositivo de origen
device_typeTipo de dispositivo de origen
device_modelModelo de dispositivo de origen
dst_ipIP de destino
dst_portPuerto de destino de la conexión IP
dst_asnASN de la IP de destino
dst_geoPaís de la IP de destino
dst_regionRegión de la IP de destino
dst_cityCiudad de la IP de destino
dst_hostnameDNS inverso de la IP de destino
dst_naicsCódigo del sistema de clasificación de la industria de América del Norte
dst_sectorSector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial
public_sourceFuente de los datos del evento
infectionDescripción del malware/infección
familyFamilia de malware o campaña asociada con el evento
tagAtributos de eventos
applicationNombre de la aplicación asociada al evento
versionVersión de software asociada al evento
idIdentificador único asignado a la IP de origen o al evento
serviceEl tipo de servicio que fue atacado, es decir, SSH, RDP, Telnet, etc.
start_timeMarca de tiempo de la última actividad vista en el ataque
end_timeMarca de tiempo de la última actividad vista en el ataque
client_versionLa cadena de versión proporcionada por el atacante, si corresponde y registrada
usernameEl primer nombre de usuario que se intentó, si se registró
passwordLa primera contraseña que se intentó, si se registró
payload_urlSi se descargó una carga útil en el destino, la URL desde donde se descargó la carga útil, si se registró
payload_md5El md5sum de la carga útil descargada en el destino, si se registra.

EJEMPLO

"timestamp","protocol","src_ip","src_port","src_asn","src_geo","src_region","src_city","src_hostname","src_naics","src_sector","device_vendor","device_type","device_model","dst_ip","dst_port","dst_asn","dst_geo","dst_region","dst_city","dst_hostname","dst_naics","dst_sector","public_source","infection","family","tag","application","version","event_id","service","start_time","end_time","client_version","username","password","payload_url","payload_md5"
"2021-03-27 00:00:00","tcp","141.98.x.x",30123,209588,"NL","NOORD-HOLLAND","AMSTERDAM",,,,,,,"162.250.x.x",22,26832,"CA","QUEBEC","MONTREAL",,,,"CAPRICA-EU","ssh-brute-force",,,"ssh",,,,"2021-03-27T00:00:00.521730Z","2021-03-27T00:00:01.710968Z","b'SSH-2.0-Go'",,,,
"2021-03-27 00:00:00","tcp","5.188.x.x",55690,57172,"NL","NOORD-HOLLAND","AMSTERDAM",,518210,,,,,"162.250.x.x",22,26832,"CA","QUEBEC","MONTREAL",,,,"CAPRICA-EU","ssh-brute-force",,,"ssh",,,,"2021-03-27T00:00:00.520927Z","2021-03-27T00:00:01.670993Z","b'SSH-2.0-Go'",,,,
"2021-03-27 00:00:00","tcp","45.14.x.x",38636,44220,"RO","BIHOR","ORADEA",,,,,,,"82.118.x.x",23,204957,"PL","MAZOWIECKIE","WARSAW",,,,"CAPRICA-EU","telnet-brute-force",,,"telnet",,,,"2021-03-27T00:00:00.781774Z","2021-03-27T00:00:00.857244Z",,,,,
"2021-03-27 00:00:00","tcp","5.188.x.x",56385,49453,"NL","NOORD-HOLLAND","AMSTERDAM",,518210,,,,,"102.16.x.x",22,37054,"MG","ANTANANARIVO","ANTANANARIVO",,,"Communications, Service Provider, and Hosting Service","CAPRICA-EU","ssh-brute-force",,,"ssh",,,,"2021-03-27T00:00:00.163870Z","2021-03-27T00:00:02.896640Z","b'SSH-2.0-Go'",,,,
"2021-03-27 00:00:00","tcp","45.14.x.x",35802,44220,"RO","BIHOR","ORADEA",,,,,,,"82.118.x.x",23,204957,"PL","MAZOWIECKIE","WARSAW",,,,"CAPRICA-EU","telnet-brute-force",,,"telnet",,,,"2021-03-27T00:00:00.781272Z","2021-03-27T00:00:00.856606Z",,,,,
"2021-03-27 00:00:00","tcp","5.188.x.x",33289,49453,"NL","NOORD-HOLLAND","AMSTERDAM",,518210,,,,,"60.234.x.x,22,9790,"NZ","WELLINGTON","LOWER HUTT",,,"Communications, Service Provider, and Hosting Service","CAPRICA-EU","ssh-brute-force",,,"ssh",,,,"2021-03-27T00:00:00.044871Z","2021-03-27T00:00:00.077322Z","b'SSH-2.0-Go'",,,,

Fuente: https://www.shadowserver.org/what-we-do/network-reporting/honeypot-brute-force-events-report/