Desbordamiento del informe TSUBAME (enero-marzo de 2024) – JPCERT/CC Eyes
Esta serie de informes adicionales de TSUBAME analiza las tendencias de monitoreo de sensores TSUBAME en el extranjero y otras actividades que los informes trimestrales de monitoreo de amenazas de Internet no incluyen. Este artículo cubre los resultados del monitoreo para el período de enero a marzo de 2024. Las tendencias de escaneo observadas con los sensores TSUBAME en Japón se presentan en gráficos aquí.
Impactos en Japón a partir de las observaciones en el año fiscal 2023
JPCERT/CC analiza los datos recopilados por TSUBAME diariamente. En este artículo, me centraré en los incidentes en Japón según las observaciones del año fiscal 2023. De los paquetes enviados a sensores instalados en Japón y en el extranjero, la mayor cantidad de paquetes estaban dirigidos a 23/TCP, y de los paquetes dirigidos a 23/TCP, aproximadamente el 70% eran paquetes tipo Mirai, ambos para paquetes enviados desde IP en el extranjero. direcciones a sensores instalados en Japón y para paquetes enviados desde Japón a sensores instalados en el extranjero. Además, cuando se recopiló información utilizando navegadores web y SHODAN para direcciones IP en Japón para identificar dispositivos, las cámaras de vigilancia y los DVR fabricados por proveedores extranjeros fueron los productos más comunes identificados, seguidos por los NAS y enrutadores fabricados por proveedores extranjeros. Hubo cambios en la naturaleza de los ataques, incluido el uso de vulnerabilidades descubiertas recientemente en 2023, así como combinaciones de paquetes a números de puerto distintos de 23/TCP. Aunque el número es pequeño, hubo casos en los que los DVR fabricados por proveedores nacionales o productos en desarrollo por proveedores se vieron afectados por ataques. Basándonos en los resultados de las observaciones e investigaciones de JPCERT/CC, proporcionamos información sobre las vulnerabilidades utilizadas en los ataques a los desarrolladores de productos relevantes y discutimos con ellos las contramedidas. También visitamos el sitio para ver el equipo y los registros y discutimos contramedidas. Además, investigamos información relacionada con las direcciones IP de origen utilizando WHOIS y proporcionamos datos de observación a empresas nacionales a través de comunidades como CSIRT. Como resultado, hemos confirmado que el problema se ha resuelto. Al instalar nuevos dispositivos en una organización, se recomienda verificar qué tipo de reglas existen para el acceso desde Internet. Después de la instalación, también se recomienda realizar un escaneo de puertos para verificar si hay puertos innecesarios abiertos, o usar SHODAN u otras herramientas para verificar. Suponiendo que habrá información de ataques de este tipo sobre productos nacionales y fuentes de paquetes sospechosos en el año fiscal 2024, TSUBAME planea continuar proporcionando datos de observación y ayudar a resolver problemas.
Comparación de las tendencias de observación en Japón y en el extranjero.
La Figura 1 es una comparación mensual del número promedio de paquetes recibidos en Japón y en el extranjero. Los sensores extranjeros recibieron más paquetes que los de Japón.
Figura 1: Comparación mensual del número promedio de paquetes recibidos en Japón y en el extranjero |
Comparación de tendencias de seguimiento por sensor
Se asigna una dirección IP global a cada sensor TSUBAME. La Tabla 1 muestra los 10 puertos principales de cada sensor que recibieron más paquetes. Aunque el orden es diferente en cada sensor, casi todos los sensores observaron los paquetes para 23/TCP, 6379/TCP, 22/TCP, 8080/TCP, 80/TCP e ICMP. Esto sugiere que estos protocolos se están escaneando en una amplia gama de redes.
Tabla 1: Comparación de los 10 paquetes principales por sensores nacionales y extranjeros
#1 | #2 | #3 | #4 | #5 | #6 | #7 | #8 | #9 | #10 | |
Sensor en Japón #1 | 23/TCP | 6379/TCP | 22/TCP | 80/TCP | 3389/TCP | 8080/TCP | ICMP | 443/TCP | 8728/TCP | 445/TCP |
Sensor en Japón #2 | 23/TCP | ICMP | 80/TCP | 443/TCP | 6379/TCP | 8080/TCP | 22/TCP | 8088/TCP | 8443/TCP | 445/TCP |
Sensor en Japón #3 | 23/TCP | 6379/TCP | 22/TCP | ICMP | 80/TCP | 3389/TCP | 8080/TCP | 8728/TCP | 443/TCP | 37215/TCP |
Sensor en el extranjero #1 | 445/TCP | 23/TCP | 443/TCP | 80/TCP | ICMP | 37215/TCP | 6379/TCP | 22/TCP | 3389/TCP | 8080/TCP |
Sensor en el extranjero #2 | 23/TCP | 445/TCP | 80/TCP | 3389/TCP | 6379/TCP | 22/TCP | 8080/TCP | 443/TCP | ICMP | 8728/TCP |
Sensor en el extranjero #3 | ICMP | 23/TCP | 80/TCP | 443/TCP | 6379/TCP | 8080/TCP | 8088/TCP | 22/TCP | 8443/TCP | 3389/TCP |
Para concluir
El monitoreo en múltiples ubicaciones nos permite determinar si ciertos cambios están ocurriendo solo en una red en particular. Aunque no hemos publicado ninguna alerta especial como tema extra u otra información este trimestre, es importante prestar atención a los escáneres. Continuaremos publicando artículos de blog a medida que el Informe trimestral de monitoreo de amenazas en Internet esté disponible cada trimestre. También publicaremos un número adicional cuando observemos algún cambio inusual. Se agradecen mucho sus comentarios sobre esta serie. Utilice el formulario de comentarios a continuación para hacernos saber qué tema le gustaría que presentemos o analicemos más a fondo. Gracias por leer.
Keisuke Shikano
(Traducido por Takumi Nakano)