Este informe contiene eventos (conexiones) a HTTP Sinkholes. El sinkhole es una técnica mediante la cual un recurso utilizado por actores maliciosos para controlar el malware se toma y se redirige a un oyente benigno que puede (en diversos grados) comprender las conexiones provenientes de dispositivos infectados.
Este informe identifica las direcciones IP de todos los dispositivos que se unieron a un servidor sumidero que no llegó a través de una referencia HTTP.
Dado que solo se accede a un servidor de sumidero a través de nombres de dominio previamente maliciosos, en esta lista solo se deben ver los sistemas infectados o los investigadores de seguridad. Sin embargo, los sumideros también pueden detectar rastreadores web que solicitan dominios maliciosos.
Puede obtener más información sobre el informe en el tutorial Informe de eventos HTTP Sinkhole .
Puede obtener más información sobre los informes en general en la presentación Descripción general de los informes gratuitos de Shadowserver de beneficio público, que también explica ejemplos de casos de uso.
Nombres de archivo: event4_sinkhole_http y event6_sinkhole_http.
android_spams
android.bakdoor.prizmes
android.bankbot
android.banker.anubis
android.bankspy
android.darksilent
android.digitime.fota
android.fakeav
android.fakebank
android.fakedoc
android.fakemart
android.fobus
android.fungram
android.gopl
android.hqwar
android.hummer
android.iop
android.milipnot
android.nitmo
android.opfake
android.premiumtext
android.provar
android.rootnik
android.rotexy
android.skyfin
android.smsbot
android.smssilence
android.smsspy
android.smsspy.be24
android.sssaaa
android.teleplus
android.uupay
android.voxv
andromeda
andromeda-b66
avalanche-andromeda
avalanche-bolek
avalanche-citadel
avalanche-corebot
avalanche-dofoil
avalanche-generic
avalanche-gozi2
avalanche-goznym
avalanche-kins
avalanche-marcher
avalanche-matsnu
avalanche-nymaim
avalanche-pandabanker
avalanche-ranbyus
avalanche-rovnix
avalanche-smartapp
avalanche-teslacrypt
avalanche-tinba
avalanche-trusteer
avalanche-unknown
avalanche-urlzone
avalanche-vawtrak
avalanche-xswkit
b54-base
b54-code
b54-config
b54-old
b68-zeroaccess-1-32bit
b68-zeroaccess-1-64bit
b68-zeroaccess-2-32bit
b68-zeroaccess-2-64bit
banatrix
bankpatch
bebloh
bedep
beebone
betabot
bitcoinminer
blackbeard
blakamba
boaxxe
bolek
buhtrap
calypso
caphaw
carberp
chinad
citadel
cobaltstrike
coinminer
comment
conficker
corebot
cryptowall
cve-2009-4324
cycbot
diaminer
dipverdle
dircrypt
disorderstatus
dltminer
dmsniff
dofoil
domreg
dorkbot
dorkbot-ssl
downadup
dresscode
dybalom
emissary-panda
emotet
emotet-c2
enfal-apt
esfury
expiro
exploitkit.fallout
extenbro
fake_cs_updater
familyphotos-apt
flubot
fobber
foxbantrix
foxbantrix-unknown
generic
generic.malware
geodo
ghost-push
goldmax
gootkit
gozi
gozi2
goznym
gspy
gtfobot
hancitor
harnig
ibanking
icedid
iframe exploit
infected
infy-apt
iotreaper
ircbot-b58
isfb
jadtre
jdk-update-apt
js.worm.bondat
junk-domains
kasidet
kbot
kelihos
kelihos.e
keylogger
keylogger-ftp
keylogger-vbklip
kidminer
kingminer
kins
koobface
kovter
kronos
kwampirs
lethic
linux.backdoor.setag
linux.ngioweb
litemanager
loader
lurkbanker
machbot
machete-apt
magecart
maliciouswebsites
malwaretom
marcher
matrix
matsnu
menupass
mewsspy
minr
mirai
mix2
mkero
monero
mozi
muddywater
murofet
mysafeproxymonitor
nametrick
necurs
netsupport
nettraveler
neurevt
nitol
nivdort
nymaim
osiris
osx.fakeflash
pandabanker
phishing
phorpiex
pitou
plasma-tomas
poseidon
powerstats
proxyback
pushdo
pws.pony
pykspa
qadars
qakbot
qqblack
qrypter.rat
qsnatch
ramdo
ramnit
ranbyus
ransomware
ransomware.shade
renocide
rovnix
sality
sality_old
sality2
shadowpad
shifu
shiz
silon
sinowal
sisron
skunkx
smartapp
sodinokibi
sphinx
spyeye
ssl
ssl-az7
ssl-unknown-bot-test
ssl-vmzeus
stantinko
sunburst
sykipot-apt
teslacrypt
threatneedle
tick
tinba
tinba-dga
tonto-team
torpig
trickbot
trickbot-c2
trickbot-c2u
trickbot-fallback-c2
trickbot-iot-c2
trojan.click3
trojan.includer
trojan.win32.razy.gen
trusteer
tsifiri
unityminer
unknown
unknown-apt
unknown-bot-test
urlzone
valak
vawtrak
vbklip
verst
victorygate.a
victorygate.b
victorygate.c
vinself
virut
vmzeus
vpnfilter
wannacrypt
wauchos
win.neurevt
winnti
worm.phorpiex
wowlik
wrokni
x-agent
xcodeghost
xmrminer
xshellghost
xswkit
yash rat
yoddos
yzf
zeus
zeus_gameover
zeus_panda
zloader
CAMPOS
timestamp | Marca de tiempo cuando se vio la IP en UTC+0 |
protocol | Tipo de paquete del tráfico de conexión (UDP/TCP) |
src_ip | La IP del dispositivo en cuestión |
src_port | Puerto de origen de la conexión IP |
src_asn | ASN de la IP de origen |
src_geo | País de la IP de origen |
src_region | Región de la IP de origen |
src_city | Ciudad de la IP de origen |
src_hostname | DNS inverso de la IP de origen |
src_naics | Código del sistema de clasificación de la industria de América del Norte |
src_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
device_vendor | Proveedor del dispositivo de origen |
device_type | Tipo de dispositivo de origen |
device_model | Modelo de dispositivo de origen |
dst_ip | IP de destino |
dst_port | Puerto de destino de la conexión IP |
dst_asn | ASN de la IP de destino |
dst_geo | País de la IP de destino |
dst_region | Región de la IP de destino |
dst_city | Ciudad de la IP de destino |
dst_hostname | DNS inverso de la IP de destino |
dst_naics | Código del sistema de clasificación de la industria de América del Norte |
dst_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
public_source | Fuente de los datos del evento |
infection | Descripción del malware/infección |
family | Familia de malware o campaña asociada con el evento |
tag | Atributos de eventos |
application | Nombre de la aplicación asociada al evento |
version | Versión de software asociada al evento |
event_id | Identificador único asignado a la IP de origen o al evento |
http_url | Solicitud HTTP |
http_host | Host HTTP extraído de la URL |
http_agent | agente de usuario HTTP |
forwarded_by | Encabezado de proxy HTTP |
ssl_cipher | Cifrado SSL utilizado |
http_referer | Contenido del referente HTTP |
EJEMPLO
"timestamp","protocolo","src_ip","src_port","src_asn","src_geo","src_region","src_city","src_hostname","src_naics","src_sector","device_vendor","device_type ","device_model","dst_ip","dst_port","dst_asn","dst_geo","dst_region","dst_city","dst_hostname","dst_naics","dst_sector","public_source","infection", "familia","etiqueta","aplicación","versión","event_id","http_url","http_host","http_agent","forwarded_by","ssl_cipher","http_referer"
"2021-03-04 00:00:00","tcp","103.196.xx",60902,134707,"PH","NUEVA ECIJA","DEL PILAR","184.105. xx",80,6939,"US","CALIFORNIA","FREMONT","518210,"Comunicaciones, proveedor de servicios y servicio de hospedaje","andromeda","avalanche-andromeda","avalanche-andromeda"," diferencia.ru",,,,
"2021-03-04 00:00:00","tcp","5.14.xx",55002,8708,"RO","CONSTANTA","CONSTANTA","517311,"Comunicaciones, proveedor de servicios y hosting Service",,,,"184.105.xx",80,6939,"US","CALIFORNIA","FREMONT","518210,"Comunicaciones, proveedor de servicios y servicio de alojamiento","andromeda","avalanche -andrómeda",,,,,"diferencia.ru",,,,
"2021-03-04 00:00:00","tcp","49.145.xx",31350,9299,"PH","CEBU","CEBU","517311","184.105.xx ",80,6939,"US","CALIFORNIA","FREMONT","518210,"Comunicaciones, proveedor de servicios y servicio de hospedaje","andromeda","avalanche-andromeda","disorderstatus .ru",,,,
"2021-03-04 00:00:00","tcp","200.44.xx",28063,8048,"VE","CARABOBO","VALENCIA","517311","184.105.xx ",80,6939,"US","CALIFORNIA","FREMONT","518210,"Comunicaciones, proveedor de servicios y servicio de hospedaje","andromeda","avalanche-andromeda","diferencia .ru",,,,
"2021-03-04 00:00:00","tcp","187.189.xx",45335,17072,"MX","CHIHUAHUA","JUAREZ","184.105.xx" ,80,6939,"US","CALIFORNIA","FREMONT","518210,"Comunicaciones, proveedor de servicios y servicio de hospedaje","andromeda","avalanche-andromeda"," Differentia. ru",,,,
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/sinkhole-http-events-report/