Este informe identifica los hosts que se han observado realizando actividades de escaneo basadas en HTTP, incluidos los intentos de explotación.
El escaneo HTTP puede ser una actividad benigna; por ejemplo, puede ser un motor de búsqueda que indexa la web, un proyecto de investigación o una organización como la Fundación Shadowserver que busca servicios abiertos o vulnerables que puede informar a los CERT nacionales y a los propietarios de la red para que pueden remediar sus redes.
Otros escaneos, sin embargo, pueden ser parte de un reconocimiento de red en la fase preparatoria de un ataque o intentos de explotación provenientes de una botnet que busca activamente infectar nuevos sitios o dispositivos. Los objetivos populares incluyen varios IoT (enrutadores, nas, dispositivos de cámara web) o dispositivos VPN, sistemas CMS, servidores de aplicaciones, controladores de entrega de aplicaciones o servidores de correo (como Microsoft Exchange).
El tipo de informe HTTP, introducido originalmente como parte del proyecto EU Horizon 2020 SISSDEN, se ha ampliado en el marco del proyecto INEA CEF VARIOT.
Ahora presenta información detallada sobre los ataques observados contra los honeypots HTTP, incluidos CVE, puntaje CVSS , asignaciones de tácticas y técnicas MITRE ATT&CK, información de proveedores y productos afectados y otra información de explotación que se puede asociar con las solicitudes HTTP recopiladas.
Puede obtener más información sobre el informe en el tutorial Informe de eventos del escáner HTTP de Honeypot .
Puede obtener más información sobre los informes en general en la presentación Descripción general de los informes gratuitos de Shadowserver de beneficio público, que también explica ejemplos de casos de uso.
Nombre de archivo: event4_honeypot_http_scan
CAMPOS
| timestamp | Marca de tiempo cuando se vio la IP en UTC+0 |
|---|---|
| protocol | Tipo de paquete del tráfico de conexión (UDP/TCP) |
| src_ip | La IP del dispositivo en cuestión |
| src_port | Puerto de origen de la conexión IP |
| src_asn | ASN de la IP de origen |
| src_geo | País de la IP de origen |
| src_region | Región de la IP de origen |
| src_city | Ciudad de la IP de origen |
| src_hostname | DNS inverso de la IP de origen |
| src_naics | Código del sistema de clasificación de la industria de América del Norte |
| src_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
| device_vendor | Proveedor del dispositivo de origen |
| device_type | Tipo de dispositivo de origen |
| device_model | Modelo de dispositivo de origen |
| dst_ip | IP de destino |
| dst_port | Puerto de destino de la conexión IP |
| dst_asn | ASN de la IP de destino |
| dst_geo | País de la IP de destino |
| dst_region | Región de la IP de destino |
| dst_city | Ciudad de la IP de destino |
| dst_hostname | DNS inverso de la IP de destino |
| dst_naics | Código del sistema de clasificación de la industria de América del Norte |
| dst_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
| public_source | Fuente de los datos del evento |
| infection | Descripción del malware/infección |
| family | Familia de malware o campaña asociada con el evento |
| tag | Atributos de eventos |
| application | Nombre de la aplicación asociada al evento |
| version | Versión de software asociada al evento |
| event_id | Identificador único asignado a la IP de origen o al evento |
| pattern | Solicite el patrón si lo reconoce el sensor objetivo (p. ej., ¿coincide con un RFI, LFI, SQLi…) |
| http_url | URL solicitada por la IP de escaneo |
| http_agent | Tipo de ataque (comando emitido) |
| http_request_method | Método de solicitud HTTP (GET, POST, HEAD …) |
| url_scheme | Ya sea solicitud HTTP o HTTPS |
| session_tags | Matriz de etiquetas adicionales que describen las características del ataque, ejemplo: pre-auth;remote-code-execution |
| vulnerability_enum | Vulnerabilidad o esquema de explotación que se utiliza, por ejemplo, CVE o EDB |
| vulnerability_id | ID de vulnerabilidad o explotación, por ejemplo CVE-2020-5902 |
| vulnerability_class | Si está configurado, entonces CVSS |
| vulnerability_score | Puntaje base CVSS |
| vulnerability_severity | Gravedad CVSS, por ejemplo, CRÍTICA o ALTA |
| vulnerability_version | Versión CVSS del framework utilizado, por ejemplo 3.1 o 3.0 |
| threat_framework | Establecido en MITRE ATT&CK |
| threat_tactic_id | Matriz de identificadores de táctica, ejemplo TA0001;TA0002 |
| threat_technique_id | Matriz de ID de técnicas, ejemplo T1190; T1059 |
| target_vendor | Proveedor al que se dirige, por ejemplo, Linksys |
| target_product | Producto al que se apunta, por ejemplo, Linksys E-Series |
| target_class | Clase de dispositivo/software objetivo, por ejemplo, enrutador |
| file_md5 | Hash MD5 del archivo descargado, si corresponde |
| file_sha256 | SHA256 hash del archivo descargado, si lo hay |
| request_raw | Solicitud sin procesar enviada por la IP de escaneo (puede estar codificada en base64 según el tipo de trampa de informes) |
| body_raw | Solicitud de cuerpo sin procesar (puede codificarse en base64 según el tipo de señuelo de informes) |
EJEMPLO
"timestamp","protocolo","src_ip","src_port","src_asn","src_geo","src_region","src_city","src_hostname","src_naics","src_sector","device_vendor","device_type ","device_model","dst_ip","dst_port","dst_asn","dst_geo","dst_region","dst_city","dst_hostname","dst_naics","dst_sector","public_source","infection", "familia","etiqueta","aplicación","versión","event_id","patrón","http_url","http_agent","http_request_method","url_scheme","session_tags","vulnerability_enum","vulnerability_id ","vulnerability_class","vulnerability_score","vulnerability_severity","vulnerability_version","threat_framework","threat_tactic_id","threat_technique_id","target_vendor","target_product","target_class","file_md5","file_sha256","request_raw ","cuerpo_crudo"CensysInspect/1.1; +https://about.censys.io/)","GET","http",,,,,,,,,,,,,,,,"R0VUIC8gSFRUUC8xLjENCkhvc3Q6IDEwMy4xMDQuNjEuNTI6MTUyMQ0KVXNlci1BZ2VudDogTW96aWxsYS81LjAgKGNvbXBhdGlibGU7IENlbnN5c0luc3BlY3QvMS4xOyAraHR0cHM6Ly9hYm91dC5jZW5zeXMuaW8vKQ0KQWNjZXB0OiAqLyoNCkFjY2VwdC1FbmNvZGluZzogZ3ppcA0KDQo=",
"2021-03-28 00:00:00","tcp","198.54.xx",44538,11878,"US","WASHINGTON","SEATTLE","static-198-54-xx.cliente. example.com",518210,,,,,"45.77.191.125",59134,20473,"US","CALIFORNIA","SAN JOSE","Comunicaciones, proveedor de servicios y servicio de hospedaje","CAPRICA- UE","exploración de http",,,,,,,"/","Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0","HEAD","https ",,,,,,,,,,,,,,,,"SEVBRCAvIEhUVFAvMS4xDQpVc2VyLUFnZW50OiBNb3ppbGxhLzUuMCAoV2luZG93cyBOVCAxMC4wOyBXaW42NDsgeDY0OyBydjo4Ni4wKSBHZWNrby8yMDEwMDEwMSBGaXJlZm94Lzg2LjANCkhvc3Q6IHd3dw0KDQo=",
"2021-03-28 00:00:04","tcp","128.199.xx",41760,14061,"SG","CENTRAL","SINGAPORE","518210,"Comunicaciones, proveedor de servicios y hosting Servicio",,,,"103.204.xx",8088,134835,"JP","OSAKA","OSAKA","CAPRICA-EU","http-scan"," /ws/v1/cluster/apps/new-application","python-requests/2.12.4","POST","http",,,,,,,,,,,,,,,,"UE9TVCAvd3MvdjEvY2x1c3Rlci9hcHBzL25ldy1hcHBsaWNhdGlvbiBIVFRQLzEuMQ0KSG9zdDogMTAzLjIwNC4xNzIuMTE5OjgwODgNCkNvbm5lY3Rpb246IGtlZXAtYWxpdmUNCkFjY2VwdC1FbmNvZGluZzogZ3ppcCwgZGVmbGF0ZQ0KQWNjZXB0OiAqLyoNClVzZXItQWdlbnQ6IHB5dGhvbi1yZXF1ZXN0cy8yLjEyLjQNCkNvbnRlbnQtTGVuZ3RoOiAwDQoNCg= =",
"2021-03-28 00:00:14","tcp","172.245.xx",57286,36352,"US","CALIFORNIA","UPLAND","518210,"Comunicaciones, proveedor de servicios y alojamiento Servicio",,,"37.59.130.87",9999,16276,"FR","ILE-DE-FRANCE","PARIS","518210,"Comunicaciones, Proveedor de Servicios y Servicio de Hosting","CAPRICA-EU ","http-scan","enterprise","/run","Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:78.0) Gecko/20100101 Firefox/78.0","POST" ","http","ejecución remota de código;autorización previa;inyección de comandos;inyección de shell","CVE","CVE-2020-16846","CVSS","9.8","Critical"," 3.1","MITRE ATT&CK","TA0001;TA0002","T1190;T1059","SaltStack","Salt","otro software","","ewogICJqb2JJZCI6IDEsCiAgImV4ZWN1dG9ySGFuZGxlciI6ICJkZW1vSm9iSGFuZGxlciIsCiAgImV4ZWN1dG9yUGFyYW1zIjogImRlbW9Kb2JIYW5kbGVyIiwKICAiZXhlY3V0b3JCbG9ja1N0cmF0ZWd5IjogIkNPVkVSX0VBUkxZIiwKICAiZXhlY3V0b3JUaW1lb3V0IjogMCwKICAibG9nSWQiOiAxLAogICJsb2dEYXRlVGltZSI6IDE1ODY2MjkwMDM3MjksCiAgImdsdWVUeXBlIjogIkdMVUVfU0hFTEwiLAogICJnbHVlU291cmNlIjogIiIsCiAgImdsdWVVcGRhdGV0aW1lIjogMTYxNjg4OTYxNDQyNywKICAiYnJvYWRjYXN0SW5kZXgiOiAwLAogICJicm9hZGNhc3RUb3RhbCI6IDAKfQ=="
"2021-03-28 00:00:21","tcp","122.115.xx",30876,23724,"CN","PEKÍN SHI","PEKÍN","41.223.xx ",52869,32437,"ZA","KWAZULU-NATAL","DURBAN","Comunicaciones, proveedor de servicios y servicio de alojamiento","CAPRICA-EU","http-scan","iot;consumer ",,,,,"/picsdesc.xml","Hello-World","POST","http","remote-code-execution;pre-auth;command-injection","CVE","CVE- 2014-8361","MITRE ATT&CK","TA0001;TA0002","T1190;T1059","Realtek","Realtek SDK","sistema integrado","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","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"
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/honeypot-http-scanner-events/