Desbordamiento del informe TSUBAME (enero-marzo de 2023) – JPCERT/CC Eyes
Esta serie de informes de desbordamiento de TSUBAME analiza las tendencias de monitoreo de los sensores TSUBAME en el extranjero y otras actividades que el Informes trimestrales de seguimiento de amenazas en Internet no incluye. Este artículo cubre los resultados del monitoreo para el período de enero a marzo de 2023. Las tendencias de escaneo observadas con los sensores TSUBAME en Japón se presentan en gráficos. aquí.
Observación de paquetes sospechosos enviados desde una empresa de hosting en Japón
De febrero a marzo, observamos un fuerte aumento en los paquetes enviados a Port22/TCP (ssh) y Port5900/TCP (vnc) desde múltiples direcciones IP asignadas a organizaciones en Japón. La Figura 1 muestra un gráfico del número de hosts de origen por día para 22/TCP y 5900/TCP. Los paquetes enviados a 22/TCP se observaron alrededor del 3 de febrero, y el mayor número se observó el 8 de febrero. Los paquetes enviados a 5900/TCP también se observaron después del 10 de febrero. JPCERT/CC proporcionó datos de observación a la organización varias veces durante el período mencionado anteriormente. para que ayudara a la investigación y la respuesta. El número de paquetes de características fue disminuyendo paulatinamente gracias a la respuesta de la organización, y creo que los datos que hemos aportado han contribuido a esta mejora. Las tendencias de paquetes observadas que se muestran en la Figura 1 tienen varias características además de los paquetes de escaneo enviados a 5900/TCP desde el 10 de febrero. Los paquetes sospechosos se observaron del 10 al 13 de febrero, del 18 al 19 de febrero y del 25 de febrero al 2 de marzo, y sugiere que las actividades de escaneo se realicen principalmente los fines de semana y al final del mes. Especulamos que esta serie de actividades tiene como objetivo evitar el seguimiento.
Figura 1: Tendencias de paquetes sospechosos enviados desde una empresa de hosting en Japón |
La siguiente parte muestra brevemente cómo yo, un analista de TSUBAME, analicé los datos de observación en ese momento. Agradecería sus comentarios al respecto, ya que normalmente este tipo de análisis no se cubre en los informes trimestrales de monitoreo de amenazas en Internet.
Las direcciones IP de origen que TSUBAME observó pueden estar falsificadas. En estos datos, nos centramos en los valores TTL obtenidos de la observación para investigar si están falsificados o no. Hay sensores TSUBAME en múltiples regiones. Cuantos más paquetes de enrutadores pasen, menor será el valor TTL. Por lo tanto, para los paquetes realmente enviados desde Japón, los valores TTL deberían ser más pequeños en los sensores extranjeros que en los de Japón. La Tabla 1 resume los valores TTL para cada sensor. Esta vez se observaron 310 direcciones IP.
[Tabla 1: Valores TTL de paquetes observados por región]
valor TTL | Región del sensor |
---|---|
243 ~ 249 | J.P. |
234 ~ 238 | AU |
240 ~ 243 | BN |
235 ~ 239 | GH |
235 ~ 239 | Hong Kong |
235 ~ 236 | KR |
237 ~ 241 | LK |
230 ~ 233 | MAMÁ |
244 ~ 246 | MI |
232 ~ 242 | tw |
Dado que el sensor en Japón observó valores TTL más altos, es probable que los paquetes realmente hayan sido enviados desde la red japonesa. En otras palabras, el atacante probablemente esté utilizando los recursos de una empresa de alojamiento japonesa como trampolín o aprovechándolo como usuario legítimo para realizar la actividad de escaneo. JPCERT/CC se puso en contacto con la empresa y le proporcionó los datos para ayudar en sus contramedidas.
Comparación de las tendencias de observación en Japón y en el extranjero.
Las figuras 2 y 3 muestran una comparación mensual del número promedio de paquetes recibidos por día por cada sensor en Japón y en el extranjero. Los sensores en el extranjero observaron más paquetes que los de Japón.
Figura 2: Número promedio de paquetes a sensores domésticos | Figura 3: Número promedio de paquetes enviados a sensores en el extranjero |
Comparación de tendencias de seguimiento por sensor
Se asigna una dirección IP global a cada sensor TSUBAME. La Tabla 2 muestra los 10 puertos principales de cada sensor que recibieron más paquetes. Aunque el orden es diferente en cada sensor, casi todos los sensores observaron los paquetes para 23/TCP, 6379/TCP, 22/TCP y 80/TCP. Esto sugiere que estos protocolos se están escaneando en una amplia gama de redes.
Tabla 2: Comparación de los 10 paquetes principales por sensores nacionales y extranjeros
#1 | #2 | #3 | #4 | #5 | #6 | #7 | #8 | #9 | #10 | |
Sensor doméstico 1 | 23/TCP | ICMP | 22/TCP | 123/UDP | 6379/TCP | 8090/TCP | 80/TCP | 8088/TCP | 445/TCP | 3389/TCP |
Sensor doméstico 2 | 23/TCP | 6379/TCP | ICMP | 22/TCP | 80/TCP | 445/TCP | 5555/TCP | 3389/TCP | 8080/TCP | 443/TCP |
Sensor doméstico 3 | 23/TCP | 6379/TCP | 22/TCP | 80/TCP | 81/TCP | 5555/TCP | 445/TCP | 3389/TCP | 8080/TCP | 443/TCP |
Sensor de ultramar 1 | 37215/TCP | 23/TCP | 22/TCP | 52869/TCP | 80/TCP | 445/TCP | 5555/TCP | 5060/UDP | 3389/TCP | ICMP |
Sensor de ultramar 2 | 23/TCP | 6379/TCP | 22/TCP | 80/TCP | 5555/TCP | ICMP | 3389/TCP | 443/TCP | 1433/TCP | 8080/TCP |
Sensor de ultramar 3 | 23/TCP | 445/TCP | 6379/TCP | 123/UDP | 22/TCP | 139/TCP | 80/TCP | 5555/TCP | 3389/TCP | ICMP |
Para concluir
El monitoreo en múltiples puntos permite ver si algunas tendencias son exclusivas de una red en particular. Aunque no hemos publicado ninguna alerta especial como tema extra u otra información este trimestre, es importante prestar atención a los escáneres. Continuaremos publicando artículos de blog a medida que el Informe trimestral de monitoreo de amenazas en Internet esté disponible cada trimestre. También publicaremos un número adicional cuando observemos algún cambio inusual. Se agradecen mucho sus comentarios sobre esta serie. Utilice el formulario de comentarios a continuación para hacernos saber qué tema le gustaría que presentemos o analicemos más a fondo. Gracias por leer.
Keisuke Shikano
(Traducido por Takumi Nakano)