Este informe identifica las direcciones IP de todos los dispositivos que se informaron a Shadowserver desde Microsoft después de comunicarse con servidores de sumidero que no son HTTP de Microsoft. El hundimiento es una técnica mediante la cual un recurso utilizado por actores maliciosos para controlar el malware se toma y se redirige a un oyente benigno que puede (en diversos grados) comprender las conexiones provenientes de dispositivos infectados.
En esta lista solo se deben ver los sistemas infectados o los investigadores de seguridad.
El formato del informe es el mismo que el Informe de eventos de sumidero
Puede obtener más información sobre el informe en el tutorial Informe de eventos de sumidero .
Puede obtener más información sobre los informes en general en la presentación Descripción general de los informes gratuitos de Shadowserver de beneficio público, que también explica ejemplos de casos de uso.
Nombres de archivo: event4_microsoft_sinkhole
CAMPOS
| timestamp | Marca de tiempo cuando se vio la IP en UTC+0 |
|---|---|
| protocol | Tipo de paquete del tráfico de conexión (UDP/TCP) |
| src_ip | La IP del dispositivo en cuestión |
| src_port | Puerto de origen de la conexión IP |
| src_asn | ASN de la IP de origen |
| src_geo | País de la IP de origen |
| src_region | Región de la IP de origen |
| src_city | Ciudad de la IP de origen |
| src_hostname | DNS inverso de la IP de origen |
| src_naics | Código del sistema de clasificación de la industria de América del Norte |
| src_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
| device_vendor | Proveedor del dispositivo de origen |
| device_type | Tipo de dispositivo de origen |
| device_model | Modelo de dispositivo de origen |
| dst_ip | IP de destino |
| dst_port | Puerto de destino de la conexión IP |
| dst_asn | ASN de la IP de destino |
| dst_geo | País de la IP de destino |
| dst_region | Región de la IP de destino |
| dst_city | Ciudad de la IP de destino |
| dst_hostname | DNS inverso de la IP de destino |
| dst_naics | Código del sistema de clasificación de la industria de América del Norte |
| dst_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
| public_source | Fuente de los datos del evento |
| infection | Descripción del malware/infección |
| family | Familia de malware o campaña asociada con el evento |
| tag | Atributos de eventos |
| application | Nombre de la aplicación asociada al evento |
| version | Versión de software asociada al evento |
| event_id | Identificador único asignado a la IP de origen o al evento |
EJEMPLO
"timestamp","protocol","src_ip","src_port","src_asn","src_geo","src_region","src_city","src_hostname","src_naics","src_sector","device_vendor","device_type","device_model","dst_ip","dst_port","dst_asn","dst_geo","dst_region","dst_city","dst_hostname","dst_naics","dst_sector","public_source","infection","family","tag","application","version","event_id"
"2021-06-07 00:00:00","tcp","190.229.x.x",52955,7303,"AR","BUENOS AIRES","CASEROS",,517311,,,,,"168.63.134.179",16464,8075,"HK","HONG KONG","HONG KONG",,334111,"Information","MSDCU","b68-zeroaccess-2-32bit",,"b68-zeroaccess-2-32bit",,,
"2021-06-07 00:00:00","tcp","96.20.x.x",16464,5769,"CA","QUEBEC","LAVAL",,517311,"Communications, Service Provider, and Hosting Service",,,,"52.169.x.x",16464,8075,"IE","DUBLIN","DUBLIN",,334111,"Information","MSDCU","b68-zeroaccess-2-32bit",,"b68-zeroaccess-2-32bit",,,
"2021-06-07 00:00:00","tcp","187.222.x.x",55049,8151,"MX","CIUDAD DE MEXICO","MEXICO CITY",,517311,,,,,"168.63.134.179",16464,8075,"HK","HONG KONG","HONG KONG",,334111,"Information","MSDCU","b68-zeroaccess-2-32bit",,"b68-zeroaccess-2-32bit",,,
"2021-06-07 00:00:00","tcp","75.84.x.x",64190,20001,"US","CALIFORNIA","NORTH HOLLYWOOD",,517311,"Communications, Service Provider, and Hosting Service",,,,"52.169.x.x",16464,8075,"IE","DUBLIN","DUBLIN",,334111,"Information","MSDCU","b68-zeroaccess-2-32bit",,"b68-zeroaccess-2-32bit",,,
"2021-06-07 00:00:00","tcp","24.15.x.x",60373,7922,"US","ILLINOIS","HOMER GLEN",,517311,"Communications, Service Provider, and Hosting Service",,,,"104.40.6.5",16464,8075,"US","CALIFORNIA","SAN FRANCISCO",,334111,"Information","MSDCU","b68-zeroaccess-2-32bit",,"b68-zeroaccess-2-32bit",,,
"2021-06-07 00:00:00","tcp","124.101.x.x",50386,4713,"JP","FUKUOKA","FUKUOKA",,517311,"Communications, Service Provider, and Hosting Service",,,,"23.99.101.165",16465,8075,"HK","HONG KONG","HONG KONG",,334111,"Information","MSDCU","b68-zeroaccess-2-64bit",,"b68-zeroaccess-2-64bit",,
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/microsoft-sinkhole-events-report/