Skip to main content

Desbordamiento del informe TSUBAME (enero-marzo de 2023) – JPCERT/CC Eyes

mayo 26, 2024


Esta serie de informes de desbordamiento de TSUBAME analiza las tendencias de monitoreo de los sensores TSUBAME en el extranjero y otras actividades que el Informes trimestrales de seguimiento de amenazas en Internet no incluye. Este artículo cubre los resultados del monitoreo para el período de enero a marzo de 2023. Las tendencias de escaneo observadas con los sensores TSUBAME en Japón se presentan en gráficos. aquí.

Observación de paquetes sospechosos enviados desde una empresa de hosting en Japón

De febrero a marzo, observamos un fuerte aumento en los paquetes enviados a Port22/TCP (ssh) y Port5900/TCP (vnc) desde múltiples direcciones IP asignadas a organizaciones en Japón. La Figura 1 muestra un gráfico del número de hosts de origen por día para 22/TCP y 5900/TCP. Los paquetes enviados a 22/TCP se observaron alrededor del 3 de febrero, y el mayor número se observó el 8 de febrero. Los paquetes enviados a 5900/TCP también se observaron después del 10 de febrero. JPCERT/CC proporcionó datos de observación a la organización varias veces durante el período mencionado anteriormente. para que ayudara a la investigación y la respuesta. El número de paquetes de características fue disminuyendo paulatinamente gracias a la respuesta de la organización, y creo que los datos que hemos aportado han contribuido a esta mejora. Las tendencias de paquetes observadas que se muestran en la Figura 1 tienen varias características además de los paquetes de escaneo enviados a 5900/TCP desde el 10 de febrero. Los paquetes sospechosos se observaron del 10 al 13 de febrero, del 18 al 19 de febrero y del 25 de febrero al 2 de marzo, y sugiere que las actividades de escaneo se realicen principalmente los fines de semana y al final del mes. Especulamos que esta serie de actividades tiene como objetivo evitar el seguimiento.

Figura 1: Tendencias de paquetes sospechosos enviados desde una empresa de hosting en Japón

La siguiente parte muestra brevemente cómo yo, un analista de TSUBAME, analicé los datos de observación en ese momento. Agradecería sus comentarios al respecto, ya que normalmente este tipo de análisis no se cubre en los informes trimestrales de monitoreo de amenazas en Internet.

Las direcciones IP de origen que TSUBAME observó pueden estar falsificadas. En estos datos, nos centramos en los valores TTL obtenidos de la observación para investigar si están falsificados o no. Hay sensores TSUBAME en múltiples regiones. Cuantos más paquetes de enrutadores pasen, menor será el valor TTL. Por lo tanto, para los paquetes realmente enviados desde Japón, los valores TTL deberían ser más pequeños en los sensores extranjeros que en los de Japón. La Tabla 1 resume los valores TTL para cada sensor. Esta vez se observaron 310 direcciones IP.

[Tabla 1: Valores TTL de paquetes observados por región]


valor TTL Región del sensor
243 ~ 249 J.P.
234 ~ 238 AU
240 ~ 243 BN
235 ~ 239 GH
235 ~ 239 Hong Kong
235 ~ 236 KR
237 ~ 241 LK
230 ~ 233 MAMÁ
244 ~ 246 MI
232 ~ 242 tw

Dado que el sensor en Japón observó valores TTL más altos, es probable que los paquetes realmente hayan sido enviados desde la red japonesa. En otras palabras, el atacante probablemente esté utilizando los recursos de una empresa de alojamiento japonesa como trampolín o aprovechándolo como usuario legítimo para realizar la actividad de escaneo. JPCERT/CC se puso en contacto con la empresa y le proporcionó los datos para ayudar en sus contramedidas.

Comparación de las tendencias de observación en Japón y en el extranjero.

Las figuras 2 y 3 muestran una comparación mensual del número promedio de paquetes recibidos por día por cada sensor en Japón y en el extranjero. Los sensores en el extranjero observaron más paquetes que los de Japón.

Figura 2: Número promedio de paquetes a sensores domésticos Figura 3: Número promedio de paquetes enviados a sensores en el extranjero

Comparación de tendencias de seguimiento por sensor

Se asigna una dirección IP global a cada sensor TSUBAME. La Tabla 2 muestra los 10 puertos principales de cada sensor que recibieron más paquetes. Aunque el orden es diferente en cada sensor, casi todos los sensores observaron los paquetes para 23/TCP, 6379/TCP, 22/TCP y 80/TCP. Esto sugiere que estos protocolos se están escaneando en una amplia gama de redes.

Tabla 2: Comparación de los 10 paquetes principales por sensores nacionales y extranjeros

  #1 #2 #3 #4 #5 #6 #7 #8 #9 #10
Sensor doméstico 1 23/TCP ICMP 22/TCP 123/UDP 6379/TCP 8090/TCP 80/TCP 8088/TCP 445/TCP 3389/TCP
Sensor doméstico 2 23/TCP 6379/TCP ICMP 22/TCP 80/TCP 445/TCP 5555/TCP 3389/TCP 8080/TCP 443/TCP
Sensor doméstico 3 23/TCP 6379/TCP 22/TCP 80/TCP 81/TCP 5555/TCP 445/TCP 3389/TCP 8080/TCP 443/TCP
Sensor de ultramar 1 37215/TCP 23/TCP 22/TCP 52869/TCP 80/TCP 445/TCP 5555/TCP 5060/UDP 3389/TCP ICMP
Sensor de ultramar 2 23/TCP 6379/TCP 22/TCP 80/TCP 5555/TCP ICMP 3389/TCP 443/TCP 1433/TCP 8080/TCP
Sensor de ultramar 3 23/TCP 445/TCP 6379/TCP 123/UDP 22/TCP 139/TCP 80/TCP 5555/TCP 3389/TCP ICMP

Para concluir

El monitoreo en múltiples puntos permite ver si algunas tendencias son exclusivas de una red en particular. Aunque no hemos publicado ninguna alerta especial como tema extra u otra información este trimestre, es importante prestar atención a los escáneres. Continuaremos publicando artículos de blog a medida que el Informe trimestral de monitoreo de amenazas en Internet esté disponible cada trimestre. También publicaremos un número adicional cuando observemos algún cambio inusual. Se agradecen mucho sus comentarios sobre esta serie. Utilice el formulario de comentarios a continuación para hacernos saber qué tema le gustaría que presentemos o analicemos más a fondo. Gracias por leer.

Keisuke Shikano

(Traducido por Takumi Nakano)



Source link

Saber más  Clima cibernético para abril de 2024
Translate »