Ir para o conteúdo

Núcleo de Informação e Coordenação do Ponto BR

English

Você está em: CERT.br > Estatísticas > Honeypots

• Sobre o CERT.br
• CSIRTs
• Estatísticas
  • - Incidentes
  • - Amplificadores
  • - DNS Malicioso
  • - Honeypots
  • - Spam
• Cursos
• Projetos
• Publicações
• Palestras
• Links
• FAQ
• Mapa do site
• Contato
• Twitter
• RSS

Busca
Selecione o site Buscar em CGI.br Buscar em NIC.br Buscar em Registro.br Buscar em CERT.br Buscar em CETIC.br Buscar em CEPTRO.br Buscar em W3C.br

|
Acessibilidade do site

Estatísticas dos ataques mais frequentes contra os honeypots mantidos pelo CERT.br

| 2019 | 2018 |

Fonte dos dados

O CERT.br mantém o Projeto Honeypots Distribuídos, uma rede distribuída de honeypots de baixa interatividade em endereços IP da Internet no Brasil. Este projeto tem o objetivo de aumentar a capacidade de detecção de incidentes, correlação de eventos e determinação de tendências de ataques no Brasil.

Abaixo são apresentados alguns destaques das atividades registradas.

Além dos destaques desta página, também estão disponíveis outras estatísticas públicas:

• gráficos dos fluxos de rede do tráfego direcionado a todos os honeypots nas últimas 24 horas;
• gráficos diários dos fluxos de rede do tráfego direcionado a todos os honeypots, dados desde 01/01/2017.

2019 – Portas TCP que mais sofreram varreduras

A Tabela a seguir contém as 20 portas TCP que mais receberam tráfego no ano de 2019.

Cabe destacar alguns pontos interessantes nestes dados:

• As varreduras pelas portas TCP 23, 22, 81, 5555, 8000 e 8080 estão todas relacionadas com atividade de propagação de botnets de IoT, como a Mirai e suas variantes e a Bashlite e suas variantes. Os ataques nestas portas são tentativas de força bruta de credenciais ou tentativas de explorar vulnerabilidades nas interfaces de gerência de roteadores de banda larga ou de Wi-Fi.
• Como pode ser visto no gráfico que segue a Tabela, as varreduras pelas portas de RDP (3389/TCP) e HTTPS (443/TCP) eram relativamente baixas no primeiro semestre do ano, e ambas tiveram aumentos significativos no segundo semestre.
  • De 2018 para 2019 aumentou em 546% o número de pacotes contra a porta RDP, sendo que este aumento coincidiu com o período posterior à divulgação da vulnerabilidade chamada de BlueKeep (CVE-2019-0708). Esta vulnerabilidade passou a ser explorada por diversos códigos maliciosos.
  • De 2018 para 2019 aumentou em 460% o número de pacotes contra a porta HTTPS. Neste caso não há uma única causa que tenha sido identificada, o que observamos é que em 2019 cresceu o número de varreduras com objetivo de indetificar sevidores Web vulneráveis, bem como de capturar certificados SSL/TLS. Mas não foi possível associar este aumento com um CVE ou malware específico.
• Outro fato interessante foi o aumento de varreduras contra serviços relacionados com e-mail, mais notadamente as portas POP3 (110/TCP), SMTPS (465/TCP), IMAPS (993/TCP) e POPS (995/TCP). Este aumento pode ser relacionado com o aumento de força bruta em serviços de e-mail que temos visto nas notificações de incidentes de segurança recebidas pelo CERT.br.

20 Portas TCP que mais sofreram varreduras em 2019 Ordenadas por número de pacotes
#	Porta TCP	Pacotes	Bytes	Flows	IPs	Top 5 Country Codes (número de IPs de origem do tráfego)
01	23	40,4 G	2,0 TB	908,0 M	12.249.689	BR	(2.760.966)	EG	(2.204.417)	CN	(1.560.926)	IR	(644.207)	GR	(550.392)
02	22	2,3 G	195,8 GB	513,5 M	1.643.848	BR	(579.791)	CN	(239.927)	RU	(111.382)	US	(68.976)	NL	(60.746)
03	445	1,7 G	119,4 GB	875,6 M	6.633.372	VN	(1.043.802)	ID	(914.282)	IN	(840.407)	VE	(543.393)	RU	(491.102)
04	80	940,0 M	48,1 GB	687,8 M	5.880.732	BR	(2.341.688)	IR	(506.336)	CN	(391.499)	RU	(275.548)	TR	(210.015)
05	3389	422,1 M	19,5 GB	181,5 M	236.975	CN	(139.399)	US	(15.284)	BR	(9.519)	IT	(4.835)	RU	(4.615)
06	443	256,5 M	10,1 GB	232,5 M	253.081	US	(68.035)	NL	(58.456)	CN	(47.778)	UA	(14.410)	DE	(8.689)
07	110	233,4 M	9,6 GB	87,1 M	47.861	US	(17.934)	DE	(11.671)	GB	(4.659)	IT	(3.062)	CA	(2.102)
08	8080	210,2 M	10,0 GB	159,3 M	5.770.253	BR	(2.520.208)	IR	(576.942)	CN	(339.258)	RU	(265.493)	TR	(218.246)
09	139	205,3 M	8,0 GB	182,0 M	151.799	US	(28.368)	DE	(27.337)	CN	(8.606)	IN	(8.236)	CA	(6.037)
10	1433	197,2 M	8,1 GB	162,2 M	392.558	CN	(151.802)	VE	(31.504)	BR	(22.720)	US	(21.859)	IN	(19.166)
11	8000	78,9 M	3,5 GB	63,9 M	415.436	VN	(39.099)	BR	(37.198)	CN	(31.596)	TH	(25.127)	US	(22.139)
12	465	71,6 M	2,7 GB	66,0 M	54.158	US	(17.912)	DE	(13.496)	GB	(4.425)	CN	(4.167)	IT	(2.830)
13	81	67,7 M	2,6 GB	64,3 M	999.450	BR	(174.322)	IN	(79.070)	CN	(76.539)	VN	(70.217)	MX	(48.471)
14	8545	64,4 M	2,4 GB	63,9 M	1.911	US	(509)	CN	(403)	SG	(358)	GB	(129)	EE	(86)
15	8291	63,5 M	2,5 GB	60,4 M	91.183	BR	(33.503)	VN	(10.553)	ID	(7.904)	IN	(7.839)	TH	(4.543)
16	21	59,5 M	2,5 GB	46,1 M	254.126	IN	(95.189)	PK	(24.240)	RU	(21.612)	CN	(13.783)	US	(12.272)
17	993	58,8 M	2,3 GB	54,0 M	43.622	US	(17.169)	DE	(10.841)	GB	(4.491)	IT	(2.843)	NL	(1.186)
18	995	57,8 M	2,2 GB	53,5 M	38.367	US	(17.249)	DE	(5.159)	GB	(3.872)	IT	(2.812)	CA	(1.816)
19	5555	55,7 M	2,3 GB	53,2 M	1.941.249	CN	(385.341)	KR	(248.003)	HK	(203.206)	TW	(155.924)	IR	(142.328)
20	5900	50,8 M	2,3 GB	23,1 M	451.752	IN	(104.525)	TH	(31.258)	RU	(24.631)	IR	(24.570)	KZ	(23.299)

topo

2019 – Portas UDP que mais sofreram varreduras

A Tabela a seguir contém as 20 portas UDP que mais receberam tráfego no ano de 2019.

Cabe destacar alguns pontos interessantes nestes dados:

• A porta UDP com mais varreduras continua sendo a 5060/UDP, que teve aumento de 32% de 2018 para 2019. Esta atividade está relacionada com o abuso de servidores SIP para realização de ligações de longa distância. Uma análise detalhada deste tipo de abuso pode ser encontrada neste artigo, de autoria de analistas do CERT.br: Anatomy of SIP Attacks, publicado na revista Usenix ;login:.
• Outro ponto que chama a atenção é a continuidade das varreduras a procura de serviços passíveis de serem abusados para amplificação de tráfego, são eles: SNMP (161/UDP), NTP (123/UDP), DNS (53/UDP), SSDP (1900/UDP), Netbios (137/UDP), Chargen (19/UDP), Portmap (111/UDP), mDNS (5353/UDP), TFTP (69/UDP) e qotd (17/UDP).

20 Portas UDP que mais sofreram varreduras em 2019 Ordenadas por número de pacotes
#	Porta UDP	Pacotes	Bytes	Flows	IPs	Top 5 Country Codes (número de IPs de origem do tráfego)
01	5060	836,3 M	453,6 GB	488,7 M	22.739	CN	(9.729)	PS	(3.767)	US	(2.897)	FR	(1.653)	EE	(970)
02	161	25,3 M	1,7 GB	10,8 M	4.146	US	(1.668)	PL	(618)	SG	(355)	CN	(270)	CH	(243)
03	8080	24,9 M	24,0 GB	506,0 k	12.602	CN	(12.167)	KR	(102)	EE	(63)	DE	(41)	US	(30)
04	123	18,5 M	1,4 GB	18,2 M	7.853	US	(2.664)	KR	(1.090)	CN	(939)	SG	(376)	GB	(277)
05	53	15,7 M	1023,4 MB	15,2 M	27.362	BR	(5.429)	US	(5.418)	CN	(3.769)	IN	(1.261)	DE	(1.126)
06	1900	15,1 M	1,7 GB	15,1 M	18.012	CN	(9.977)	US	(3.541)	JP	(1.760)	PK	(238)	SG	(212)
07	389	10,9 M	841,8 MB	10,9 M	2.368	US	(802)	GB	(210)	NL	(171)	RU	(143)	DE	(137)
08	137	8,3 M	621,3 MB	6,2 M	15.064	CN	(2.160)	US	(1.664)	BR	(1.555)	DE	(1.146)	MX	(1.022)
09	53413	7,5 M	1,6 GB	7,4 M	1.442	US	(403)	SG	(353)	CN	(140)	FR	(103)	NL	(95)
10	3702	7,4 M	1,0 GB	2,6 M	490	US	(211)	NL	(47)	CN	(44)	RO	(23)	EE	(22)
11	11211	7,0 M	328,5 MB	6,9 M	11.821	CN	(10.062)	US	(512)	SG	(353)	GB	(163)	KR	(105)
12	69	5,3 M	244,3 MB	5,2 M	1.198	SG	(353)	CN	(240)	US	(238)	DE	(100)	EE	(43)
13	19	5,3 M	161,7 MB	5,3 M	1.135	US	(454)	CH	(244)	GB	(127)	NL	(71)	RU	(40)
14	111	4,4 M	281,5 MB	4,4 M	2.158	US	(1.244)	SG	(351)	CN	(262)	GB	(114)	HK	(40)
15	5353	4,3 M	315,3 MB	4,2 M	14.501	CN	(12.033)	US	(1.231)	SG	(353)	GB	(126)	KR	(102)
16	1434	3,9 M	112,6 MB	3,9 M	2.775	US	(1.344)	CN	(468)	SG	(335)	GB	(114)	ZA	(79)
17	17	3,6 M	107,6 MB	3,6 M	1.018	SG	(350)	US	(336)	CN	(129)	GB	(111)	HK	(39)
18	5683	3,6 M	153,2 MB	3,6 M	2.894	US	(470)	SG	(356)	CN	(289)	BR	(183)	GB	(124)
19	623	3,5 M	174,5 MB	3,5 M	2.048	US	(1.257)	SG	(351)	CN	(199)	GB	(115)	HK	(39)
20	1194	3,5 M	144,2 MB	3,5 M	251	CN	(80)	GB	(49)	US	(37)	NL	(19)	BR	(11)

topo

$Date: 2020/02/03 21:43:19 $