Skip to main content

Desbordamiento del informe TSUBAME (julio-septiembre de 2023) – JPCERT/CC Eyes

mayo 23, 2024


Esta serie de informes adicionales de TSUBAME analiza las tendencias de monitoreo de los sensores TSUBAME en el extranjero y otras actividades que los informes trimestrales de monitoreo de amenazas de Internet no incluyen. Este artículo cubre los resultados del monitoreo para el período de julio a septiembre de 2023. Las tendencias de escaneo observadas con los sensores TSUBAME en Japón se presentan en gráficos aquí.

Paquetes sospechosos enviados desde enrutadores vendidos por un fabricante japonés

Concéntrese en los enrutadores vendidos por un fabricante japonés que encontré mientras investigaba las direcciones IP de origen de los escaneos. Los enrutadores se utilizan para una variedad de propósitos en todo el mundo, no solo como enrutadores Wi-Fi en el hogar, y se puede encontrar una variedad de dispositivos investigando la dirección IP de origen de los escaneos. Aquí, echemos un vistazo a los enrutadores utilizados con fines industriales. Un día, encontré en los datos de observación que las direcciones IP de origen de los escaneos se concentraban en ciertos ISP nacionales y comencé a analizar los datos más a fondo. Finalmente, lo reduje a dos ISP. La Figura 1 muestra la cantidad diaria de direcciones IP que enviaron paquetes a través de los dos ISP.

Figura 1: Número de direcciones IP que enviaron paquetes sospechosos a través de los dos ISP

Los paquetes sospechosos indican que los dispositivos pueden haber sido comprometidos por malware o que información que no debería divulgarse puede haber quedado expuesta debido a una configuración incorrecta. Compartí los datos de observación con los ISP y los expliqué a través de una reunión en línea. Al comprender la situación que JPCERT/CC explicamos, ambos ISP cooperaron con nosotros para tomar las medidas necesarias y, desde entonces, ya no observamos tales escaneos. También me gustaría agradecer nuevamente a todos los que han tomado las medidas necesarias en respuesta a las notificaciones del ISP. Mientras tanto, también es importante considerar por qué se produjeron tales exploraciones. Si los enrutadores se vuelven a utilizar sin resolver el problema subyacente, volverán a infectarse con malware y causarán otros daños. Para analizar la causa raíz, primero investigué qué tipo de dispositivos estaban conectados a algunas de las direcciones IP de origen. Como resultado, descubrí que la interfaz de administración de los enrutadores estaba expuesta a Internet y el fabricante y el producto se determinaron a partir de información como direcciones IP, números de teléfono de tarjetas SIM y versiones de software de los enrutadores. Actualmente, estamos trabajando con el equipo de coordinación de vulnerabilidades de JPCERT/CC para contactar al fabricante. Aunque la empresa nos respondió una vez, lamentablemente la información obtenida del análisis de datos de TSUBAME aún no les ha sido proporcionada. Seguiremos intentando comunicarnos con la empresa.

Comparación de las tendencias de observación en Japón y en el extranjero.

La Figura 2 es una comparación mensual del número promedio de paquetes recibidos en Japón y en el extranjero. Los sensores extranjeros recibieron más paquetes que los de Japón.

Figura 2: Comparación mensual del número promedio de paquetes recibidos en Japón y en el extranjero

Comparación de tendencias de seguimiento por sensor

Se asigna una dirección IP global a cada sensor TSUBAME. La Tabla 1 muestra los 10 puertos principales de cada sensor que recibieron más paquetes. Aunque el orden es diferente en cada sensor, casi todos los sensores observaron los paquetes para 23/TCP, 6379/TCP, 22/TCP y 80/TCP. 443/TCP, 8080/TCP, etc. también están subiendo en el ranking. Esto sugiere que estos protocolos se están escaneando en una amplia gama de redes.

Tabla 1: Comparación de los 10 paquetes principales por sensores nacionales y extranjeros

  #1 #2 #3 #4 #5 #6 #7 #8 #9 #10
Sensor en Japón #1 23/TCP 6379/TCP 80/TCP 8080/TCP 22/TCP ICMP 443/TCP 445/TCP 3389/TCP 1433/TCP
Sensor en Japón #2 23/TCP 6379/TCP 80/TCP 22/TCP 8080/TCP 443/TCP ICMP 3389/TCP 445/TCP 5060/UDP
Sensor en Japón #3 23/TCP 6379/TCP 80/TCP 22/TCP 8080/TCP 443/TCP ICMP 445/TCP 3389/TCP 5060/UDP
Sensor en el extranjero #1 23/TCP ICMP 443/TCP 80/TCP 6379/TCP 8080/TCP 22/TCP 445/TCP 8443/TCP 3389/TCP
Sensor en el extranjero #2 23/TCP ICMP 6379/TCP 80/TCP 443/TCP 22/TCP 8080/TCP 3389/TCP 8443/TCP 5060/UDP
Sensor en el extranjero #3 23/TCP ICMP 445/TCP 80/TCP 443/TCP 22/TCP 3389/TCP 8080/TCP 5060/UDP/TCP 1433/TCP

Para concluir

El monitoreo en múltiples puntos permite ver si algunas tendencias son exclusivas de una red en particular. Aunque no hemos publicado ninguna alerta especial como tema extra u otra información este trimestre, es importante prestar atención a los escáneres. Continuaremos publicando artículos de blog a medida que el Informe trimestral de monitoreo de amenazas en Internet esté disponible cada trimestre. También publicaremos un número adicional cuando observemos algún cambio inusual. Se agradecen mucho sus comentarios sobre esta serie. Utilice el formulario de comentarios a continuación para hacernos saber qué tema le gustaría que presentemos o analicemos más a fondo. Gracias por leer.

Keisuke Shikano

(Traducido por Takumi Nakano)



Source link

Translate »