Este informe identifica los hosts que se han observado realizando actividades de escaneo contra sensores (honeypots) del Sistema de control industrial (ICS).
La búsqueda de dispositivos ICS puede ser una actividad benigna; por ejemplo, que tenga que ver con un proyecto de investigación, o realizado por una organización como la Fundación Shadowserver que busque servicios abiertos o vulnerables que pueda informar a los CERT nacionales y a los propietarios de redes para que puedan remediar sus redes.
Sin embargo, otros escaneos pueden ser parte de un reconocimiento de red en la fase preparatoria de un ataque, o un intento de explotar los dispositivos que se están escaneando.
La información básica recopilada incluye la fuente del escaneo y las solicitudes que se envían, incluido el estado de la comunicación y cualquier otro detalle específico del protocolo, si está disponible. Tenga en cuenta que debido a que los sensores ICS utilizados también son conscientes de HTTP, los escaneos observados también pueden incluir ataques no relacionados con ICS que también afectan a estos sensores. Estos pueden considerarse falsos positivos desde la perspectiva de un ataque relacionado con ICS, pero también pueden ser ataques en sí mismos.
Nombre del archivo: event4_honeypot_ics_scan
Este tipo de informe se creó originalmente como parte del proyecto EU Horizon 2020 SISSDEN.
CAMPOS
timestamp | Marca de tiempo cuando se vio la IP en UTC+0 |
---|---|
protocol | Tipo de paquete del tráfico de conexión (UDP/TCP) |
src_ip | La IP del dispositivo en cuestión |
src_port | Puerto de origen de la conexión IP |
src_asn | ASN de la IP de origen |
src_geo | País de la IP de origen |
src_region | Región de la IP de origen |
src_city | Ciudad de la IP de origen |
src_hostname | DNS inverso de la IP de origen |
src_naics | Código del sistema de clasificación de la industria de América del Norte |
src_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
device_vendor | Proveedor del dispositivo de origen |
device_type | Tipo de dispositivo de origen |
device_model | Modelo de dispositivo de origen |
dst_ip | IP de destino |
dst_port | Puerto de destino de la conexión IP |
dst_asn | ASN de la IP de destino |
dst_geo | País de la IP de destino |
dst_region | Región de la IP de destino |
dst_city | Ciudad de la IP de destino |
dst_hostname | DNS inverso de la IP de destino |
dst_naics | Código del sistema de clasificación de la industria de América del Norte |
dst_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
public_source | Fuente de los datos del evento |
infection | Descripción del malware/infección |
family | Familia de malware o campaña asociada con el evento |
tag | Atributos de eventos |
application | Nombre de la aplicación asociada al evento |
version | Versión de software asociada al evento |
event_id | Identificador único asignado a la IP de origen o al evento |
state | Estado de conexión (si corresponde) |
sensor_id | ID del dispositivo de destino del sensor |
slave_id | Se solicita la identificación del esclavo Modbus (si corresponde) |
function_code | Tipo de ataque (comando emitido) |
request | Solicitud registrada |
response | Respuesta a consulta |
EJEMPLO
"timestamp","protocol","src_ip","src_port","src_asn","src_geo","src_region","src_city","src_hostname","src_naics","src_sector","device_vendor","device_type","device_model","dst_ip","dst_port","dst_asn","dst_geo","dst_region","dst_city","dst_hostname","dst_naics","dst_sector","public_source","infection","family","tag","application","version","event_id","state","sensor_id","slave_id","function_code","request","response"
"2021-03-28 00:20:54","tcp","146.88.x.x",37230,20052,"US","MICHIGAN","SOUTHFIELD",,,"Communications, Service Provider, and Hosting Service",,,,"176.31.39.x.x",47808,16276,"FR","HAUTS-DE-FRANCE","ROUBAIX",,518210,"Communications, Service Provider, and Hosting Service","CAPRICA-EU","ics-scan",,"bacnet",,,,"NEW_CONNECTION","546a65b8-150f-4bb5-ac0b-65e1c111e2e2",,,,
"2021-03-28 03:06:37","tcp","162.142.x.x",40474,398324,"US","MICHIGAN","ANN ARBOR",,,,,,,"176.31.x.x",502,16276,"FR","HAUTS-DE-FRANCE","ROUBAIX",,518210,"Communications, Service Provider, and Hosting Service","CAPRICA-EU","ics-scan",,"modbus",,,,"NEW_CONNECTION","5b451268-bef9-4d03-86d0-c1fbd7de4363",,,,
"2021-03-28 04:58:08","tcp","192.241.x.x",43238,14061,"US","CALIFORNIA","SAN FRANCISCO",,518210,"Communications, Service Provider, and Hosting Service",,,,"176.31.x.x",102,16276,"FR","HAUTS-DE-FRANCE","ROUBAIX",,518210,"Communications, Service Provider, and Hosting Service","CAPRICA-EU","ics-scan",,"s7comm",,,,"NEW_CONNECTION","82673a92-7816-45a5-b723-4239dc3b118c",,,,
"2021-03-28 07:35:47","tcp","139.162.x.x",45828,63949,"UK","LONDON","LONDON",,518210,"Communications, Service Provider, and Hosting Service",,,,"176.31.x.x",102,16276,"FR","HAUTS-DE-FRANCE","ROUBAIX",,518210,"Communications, Service Provider, and Hosting Service","CAPRICA-EU","ics-scan",,"s7comm",,,,"NEW_CONNECTION","450f4305-2795-4bc4-b833-04c7dc8e7241",,,,
"2021-03-28 08:12:00","tcp","161.35.x.x",61953,14061,"US","NEW YORK","NEW YORK",,518210,"Communications, Service Provider, and Hosting Service",,,,"176.31.x.x",502,16276,"FR","HAUTS-DE-FRANCE","ROUBAIX",,518210,"Communications, Service Provider, and Hosting Service","CAPRICA-EU","ics-scan",,"modbus",,,,"NEW_CONNECTION","84a2ea3d-aed7-48c0-af9b-ac7d9aa501ff",,,,
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/honeypot-ics-scanner-events-report/