Escaneo ICS de Honeypot (Honeypot ICS Scanner Events Report)

Este informe identifica los hosts que se han observado realizando actividades de escaneo contra sensores (honeypots) del Sistema de control industrial (ICS).

La búsqueda de dispositivos ICS puede ser una actividad benigna; por ejemplo, que tenga que ver con un proyecto de investigación, o realizado por una organización como la Fundación Shadowserver que busque servicios abiertos o vulnerables que pueda informar a los CERT nacionales y a los propietarios de redes para que puedan remediar sus redes.

Sin embargo, otros escaneos pueden ser parte de un reconocimiento de red en la fase preparatoria de un ataque, o un intento de explotar los dispositivos que se están escaneando.

La información básica recopilada incluye la fuente del escaneo y las solicitudes que se envían, incluido el estado de la comunicación y cualquier otro detalle específico del protocolo, si está disponible. Tenga en cuenta que debido a que los sensores ICS utilizados también son conscientes de HTTP, los escaneos observados también pueden incluir ataques no relacionados con ICS que también afectan a estos sensores. Estos pueden considerarse falsos positivos desde la perspectiva de un ataque relacionado con ICS, pero también pueden ser ataques en sí mismos.

Nombre del archivo: event4_honeypot_ics_scan

Este tipo de informe se creó originalmente como parte del proyecto EU Horizon 2020  SISSDEN.

CAMPOS

timestampMarca de tiempo cuando se vio la IP en UTC+0
protocolTipo de paquete del tráfico de conexión (UDP/TCP)
src_ipLa IP del dispositivo en cuestión
src_portPuerto de origen de la conexión IP
src_asnASN de la IP de origen
src_geoPaís de la IP de origen
src_regionRegión de la IP de origen
src_cityCiudad de la IP de origen
src_hostnameDNS inverso de la IP de origen
src_naicsCódigo del sistema de clasificación de la industria de América del Norte
src_sectorSector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial
device_vendorProveedor del dispositivo de origen
device_typeTipo de dispositivo de origen
device_modelModelo de dispositivo de origen
dst_ipIP de destino 
dst_portPuerto de destino de la conexión IP
dst_asnASN de la IP de destino
dst_geoPaís de la IP de destino
dst_regionRegión de la IP de destino
dst_cityCiudad de la IP de destino
dst_hostnameDNS inverso de la IP de destino
dst_naicsCódigo del sistema de clasificación de la industria de América del Norte
dst_sectorSector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial
public_sourceFuente de los datos del evento
infectionDescripción del malware/infección
familyFamilia de malware o campaña asociada con el evento
tagAtributos de eventos
applicationNombre de la aplicación asociada al evento
versionVersión de software asociada al evento
event_idIdentificador único asignado a la IP de origen o al evento
stateEstado de conexión (si corresponde)
sensor_idID del dispositivo de destino del sensor
slave_idSe solicita la identificación del esclavo Modbus (si corresponde)
function_codeTipo de ataque (comando emitido)
requestSolicitud registrada
responseRespuesta a consulta

EJEMPLO

"timestamp","protocol","src_ip","src_port","src_asn","src_geo","src_region","src_city","src_hostname","src_naics","src_sector","device_vendor","device_type","device_model","dst_ip","dst_port","dst_asn","dst_geo","dst_region","dst_city","dst_hostname","dst_naics","dst_sector","public_source","infection","family","tag","application","version","event_id","state","sensor_id","slave_id","function_code","request","response"
"2021-03-28 00:20:54","tcp","146.88.x.x",37230,20052,"US","MICHIGAN","SOUTHFIELD",,,"Communications, Service Provider, and Hosting Service",,,,"176.31.39.x.x",47808,16276,"FR","HAUTS-DE-FRANCE","ROUBAIX",,518210,"Communications, Service Provider, and Hosting Service","CAPRICA-EU","ics-scan",,"bacnet",,,,"NEW_CONNECTION","546a65b8-150f-4bb5-ac0b-65e1c111e2e2",,,,
"2021-03-28 03:06:37","tcp","162.142.x.x",40474,398324,"US","MICHIGAN","ANN ARBOR",,,,,,,"176.31.x.x",502,16276,"FR","HAUTS-DE-FRANCE","ROUBAIX",,518210,"Communications, Service Provider, and Hosting Service","CAPRICA-EU","ics-scan",,"modbus",,,,"NEW_CONNECTION","5b451268-bef9-4d03-86d0-c1fbd7de4363",,,,
"2021-03-28 04:58:08","tcp","192.241.x.x",43238,14061,"US","CALIFORNIA","SAN FRANCISCO",,518210,"Communications, Service Provider, and Hosting Service",,,,"176.31.x.x",102,16276,"FR","HAUTS-DE-FRANCE","ROUBAIX",,518210,"Communications, Service Provider, and Hosting Service","CAPRICA-EU","ics-scan",,"s7comm",,,,"NEW_CONNECTION","82673a92-7816-45a5-b723-4239dc3b118c",,,,
"2021-03-28 07:35:47","tcp","139.162.x.x",45828,63949,"UK","LONDON","LONDON",,518210,"Communications, Service Provider, and Hosting Service",,,,"176.31.x.x",102,16276,"FR","HAUTS-DE-FRANCE","ROUBAIX",,518210,"Communications, Service Provider, and Hosting Service","CAPRICA-EU","ics-scan",,"s7comm",,,,"NEW_CONNECTION","450f4305-2795-4bc4-b833-04c7dc8e7241",,,,
"2021-03-28 08:12:00","tcp","161.35.x.x",61953,14061,"US","NEW YORK","NEW YORK",,518210,"Communications, Service Provider, and Hosting Service",,,,"176.31.x.x",502,16276,"FR","HAUTS-DE-FRANCE","ROUBAIX",,518210,"Communications, Service Provider, and Hosting Service","CAPRICA-EU","ics-scan",,"modbus",,,,"NEW_CONNECTION","84a2ea3d-aed7-48c0-af9b-ac7d9aa501ff",,,,

Fuente: https://www.shadowserver.org/what-we-do/network-reporting/honeypot-ics-scanner-events-report/