Objetivos Honeypot DDoS (Honeypot DDoS Target Events Report)

Este informe contiene información sobre los objetivos de ataques DDoS observados por drones honeypot. Estos drones emulan máquinas infectadas con bots de malware y pueden escuchar los comandos dados a esos bots. Estos comandos incluyen el C2 que emite el comando y la información de destino, la familia de malware, el protocolo que se usa para C2 y el destino del ataque, así como varios parámetros de ataque.

El dst_ip es la IP de la víctima del ataque, el src_ip a continuación es la IP C2 que emite los comandos. Si está recibiendo este informe, significa que una IP (dst_ip) que fue atacada se ubicó en su red o circunscripción (destino del ataque).

La actividad informada generalmente está relacionada con Mirai como bots. La convención de nomenclatura y la descripción son coherentes con el código fuente de Mirai publicado.

Este informe tiene su versión hermana que contiene la misma información pero filtrada por src_ip (dirección de los comandos de emisión de C2): el informe de eventos Honeypot DDoS.

Puede obtener más información sobre el informe en el tutorial Informe de eventos de destino de DDoS de Honeypot .

Puede obtener más información sobre los informes en general en la presentación Descripción general de los informes gratuitos de Shadowserver de beneficio público, que también explica ejemplos de casos de uso.

Este informe se habilitó como parte del proyecto HaDEA CEF VARIOT de la Unión Europea .

Nombre del archivo: event4_honeypot_ddos_target

CAMPOS

timestampMarca de tiempo cuando se vio la dirección IP, en UTC+0
protocolTipo de paquete del tráfico de conexión (UDP/TCP)
dst_ipIP de destino (siendo atacado por un DDoS)
dst_portPuerto de destino (siendo atacado por un DDoS)
dst_asnASN de la IP de destino
dst_geoPaís de la IP de destino
dst_regionRegión de la IP de destino
dst_cityCiudad de la IP de destino
dst_hostnameDNS inverso de la IP de destino
dst_naicsCódigo del sistema de clasificación de la industria de América del Norte
dst_sectorSector al que pertenece la IP de destino en cuestión; por ejemplo, Comunicaciones, Comercial
device_vendorProveedor del dispositivo de destino
device_typeTipo de dispositivo de destino
device_modelModelo de dispositivo de destino
src_ipIP de origen (IP que actúa como C2, es decir, emite comandos)
src_portPuerto de origen de los comandos de ataque
src_asnASN de la IP de origen
src_geoPaís de la IP de origen
src_regionRegión de la IP de origen
src_cityCiudad de la IP de origen
src_hostnameDNS inverso de la IP de origen
src_naicsCódigo del sistema de clasificación de la industria de América del Norte
src_sectorSector al que pertenece la IP de destino en cuestión; por ejemplo, Comunicaciones, Comercial
public_sourceFuente de los datos del evento
infectionDescripción del malware/infección
familyFamilia de malware o campaña asociada con el evento
tagAtributos de eventos
applicationNombre de la aplicación asociada al evento
versionVersión de software asociada al evento
event_idIdentificador único asignado a la IP de origen o al evento
dst_networkRed CIDR siendo atacada
dst_netmaskMáscara de la red de destino bajo ataque
attackTipo de ataque (comando emitido)
durationDuración del ataque
attack_src_ipIP de origen de ataque falsificado (si está configurado)
attack_src_portPuerto de origen del ataque falsificado (si está configurado)
domainDominio a atacar (en comando de ataque)
domain_transaction_idID de transacción de dominio, el valor predeterminado es aleatorio (nomenclatura interna de bot)
gcipSe puede usar para establecer la IP interna en la IP de destino, el valor predeterminado es 0 (no)
http_methodNombre del método HTTP utilizado para el ataque, el valor predeterminado es GET
http_pathRuta HTTP utilizada para el ataque observado, el valor predeterminado es /
http_postdataDatos POST si se está utilizando alguno en el ataque, el valor predeterminado es vacío/ninguno
http_usessl¿Se usa SSL en inundaciones HTTP?
ip_header_ackEstablezca el bit ACK en el encabezado IP, el valor predeterminado es 0 (no) excepto para la inundación ACK»
ip_header_acknumValor del número de reconocimiento en el encabezado TCP, el valor predeterminado es aleatorio
ip_header_dont_fragmentEstablezca el bit Dont-Fragment en el encabezado IP, el valor predeterminado es 0 (no)
ip_header_finConfigure el bit FIN en el encabezado IP, el valor predeterminado es 0 (no)
ip_header_identityValor del campo ID en el encabezado IP, el valor predeterminado es aleatorio
ip_header_pshConfigure el bit PSH en el encabezado IP, el valor predeterminado es 0 (no)
ip_header_rstEstablezca el bit RST en el encabezado IP, el valor predeterminado es 0 (no)
ip_header_seqnumValor del número de secuencia en el encabezado TCP, el valor predeterminado es aleatorio
ip_header_synEstablezca el bit ACK en el encabezado IP, el valor predeterminado es 0 (no), excepto para la inundación SYN
ip_header_tosValor del campo TOS en el encabezado IP, el valor predeterminado es 0
ip_header_ttlCampo TTL en el encabezado IP, el valor predeterminado es 255
ip_header_urgConfigure el bit URG en el encabezado IP, el valor predeterminado es 0 (no)
number_of_connectionsNúmero de conexiones
packet_lengthTamaño de los datos del paquete, el valor predeterminado es 512 bytes
packet_randomizedAleatorizar el contenido de los paquetes de datos, el valor predeterminado es 1 (sí)

 EJEMPLO

"timestamp","protocol","dst_ip","dst_port","dst_asn","dst_geo","dst_region","dst_city","dst_hostname","dst_naics","dst_sector","device_vendor","device_type","device_model","src_ip","src_port","src_asn","src_geo","src_region","src_city","src_hostname","src_naics","src_sector","domain_source","public_source","infection","family","tag","application","version","event_id","dst_network","dst_netmask","attack","duration","attack_src_ip","attack_src_port","domain","domain_transaction_id","gcip","http_method","http_path","http_postdata","http_usessl","ip_header_ack","ip_header_acknum","ip_header_dont_fragment","ip_header_fin","ip_header_identity","ip_header_psh","ip_header_rst","ip_header_seqnum","ip_header_syn","ip_header_tos","ip_header_ttl","ip_header_urg","number_of_connections","packet_length","packet_randomized"
"2022-03-14 17:02:28",,"115.238.x.x",80,136190,"CN","HUBEI SHENG","WUHAN",,517311,,,,,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"115.238.x.x/32",32,"atk0",30,,,,,,,,,,,,,,,,,,,,,,,1440,
"2022-03-14 17:09:46",,"52.184.x.x",43437,8075,"HK","HONG KONG","HONG KONG",,334111,"Information",,,,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"52.184.x.x/32",32,"atk0",30,,,,,,,,,,,,,,,,,,,,,,,1440,
"2022-03-14 17:23:17",,"211.99.x.x",80,134763,"CN","SHANDONG SHENG","JINAN",,,,,,,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"211.99.x.x/32",32,"atk10",30,,,,,,,,,,,,,,,,,,,,,,,1440,
"2022-03-14 17:26:59",,"117.172.x.x",80,9808,"CN","SICHUAN SHENG","CHENGDU",,517312,,,,,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"117.172.x.x/32",32,"atk0",30,,,,,,,,,,,,,,,,,,,,,,,1440,
"2022-03-14 17:31:53",,"103.100.x.x",80,136970,"HK","HONG KONG","HONG KONG",,,,,,,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"103.100.x.x/32",32,"atk8",30,,,"103.100.x.x",,,,,,,,,,,,,,,,,,,3000,,
"2022-03-14 17:35:35",,"45.117.x.x",57991,137697,"CN","BEIJING SHI","BEIJING",,,,,,,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"45.117.10.xx/32",32,"atk1",30,,,,,,,,,,,,,,,,,,,,,,,1440,

Fuente: https://www.shadowserver.org/what-we-do/network-reporting/honeypot-ddos-target-events-report/