Este informe contiene eventos (conexiones) a sumideros que no son http. El sinkhole es una técnica mediante la cual un recurso utilizado por actores maliciosos para controlar el malware se toma y se redirige a un oyente benigno que puede (en diversos grados) comprender las conexiones provenientes de dispositivos infectados.
En esta lista solo se deben ver los sistemas infectados o los investigadores de seguridad.
Para obtener una lista de ejemplo de las amenazas que se detectan en un sumidero, consulte la lista de etiquetas de malware notificadas en el Informe de eventos HTTP de Sinkhole.
Puede obtener más información sobre el informe en nuestro tutorial Informe de eventos de sumidero .
Puede obtener más información sobre los informes en general en la presentación Descripción general de los informes gratuitos de Shadowserver de beneficio público , que también explica ejemplos de casos de uso.
Nombres de archivo: event4_sinkhole
CAMPOS
| timestamp | Marca de tiempo cuando se vio la IP en UTC+0 |
| protocol | Tipo de paquete del tráfico de conexión (UDP/TCP) |
| src_ip | La IP del dispositivo en cuestión |
| src_port | Puerto de origen de la conexión IP |
| src_asn | ASN de la IP de origen |
| src_geo | País de la IP de origen |
| src_region | Región de la IP de origen |
| src_city | Ciudad de la IP de origen |
| src_hostname | DNS inverso de la IP de origen |
| src_naics | Código del sistema de clasificación de la industria de América del Norte |
| src_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
| device_vendor | Proveedor del dispositivo de origen |
| device_type | Tipo de dispositivo de origen |
| device_model | Modelo de dispositivo de origen |
| dst_ip | IP de destino |
| dst_port | Puerto de destino de la conexión IP |
| dst_asn | ASN de la IP de destino |
| dst_geo | País de la IP de destino |
| dst_region | Región de la IP de destino |
| dst_city | Ciudad de la IP de destino |
| dst_hostname | DNS inverso de la IP de destino |
| dst_naics | Código del sistema de clasificación de la industria de América del Norte |
| dst_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
| public_source | Fuente de los datos del evento |
| infection | Descripción del malware/infección |
| family | Familia de malware o campaña asociada con el evento |
| tag | Atributos de eventos |
| application | Nombre de la aplicación asociada al evento |
| version | Versión de software asociada al evento |
| event_id | Identificador único asignado a la IP de origen o al evento |
EJEMPLO
"timestamp","protocol","src_ip","src_port","src_asn","src_geo","src_region","src_city","src_hostname","src_naics","src_sector","device_vendor","device_type","device_model","dst_ip","dst_port","dst_asn","dst_geo","dst_region","dst_city","dst_hostname","dst_naics","dst_sector","public_source","infection","family","tag","application","version","event_id"
"2021-03-04 00:00:00","tcp","190.113.x.x",17409,12252,"PE","METROPOLITANA DE LIMA","LIMA",,,,,,,"178.162.x.x",4455,28753,"DE","HESSEN","FRANKFURT AM MAIN",,518210,"Communications, Service Provider, and Hosting Service","eset","victorygate.b",,,,,
"2021-03-04 00:00:00","tcp","217.173.x.x",28940,8220,"IE","DUBLIN","DUBLIN",,541611,"Communications, Service Provider, and Hosting Service",,,,"137.116.x.x",16464,8075,"SG","CENTRAL","SINGAPORE",,334111,"Information","MSDCU",,,"b68-zeroaccess-2-32bit",,,
"2021-03-04 00:00:00","tcp","37.212.x.x",36735,6697,"BY","VITEBSKAJA OBLAST'","VITEBSK",,,,,,,"168.63.x.x",16464,8075,"HK","HONG KONG","HONG KONG",,334111,"Information","MSDCU",,,"b68-zeroaccess-2-32bit",,,
"2021-03-04 00:00:00","tcp","86.130.x.x",50395,2856,"UK","MID ULSTER","DUNGANNON",,517311,"Communications, Service Provider, and Hosting Service",,,,"40.71.228.10",16471,8075,"US","VIRGINIA","ASHBURN",,334111,"Information","MSDCU",,,"b68-zeroaccess-1-32bit",,,
"2021-03-04 00:00:00","tcp","35.205.x.x",44696,15169,"BE","BRUXELLES-CAPITALE","BRUSSELS","x.x.205.35.bc.googleusercontent.com",519130,"Communications, Service Provider, and Hosting Service",,,,"148.81.x.x",80,1887,"PL","MAZOWIECKIE","WARSAW",,,,,"virut",,,,,
"2021-03-04 00:00:00","tcp","35.197.x.x",36968,15169,"US","OREGON","THE DALLES","x.x.197.35.bc.googleusercontent.com",519130,"Communications, Service Provider, and Hosting Service",,,,"148.81.111.x.x",80,1887,"PL","MAZOWIECKIE","WARSAW",,,,,"virut",,,,,Fuente: https://www.shadowserver.org/what-we-do/network-reporting/sinkhole-events-report/