[ 0x00 ] TELEMETRIA GLOBAL E O RUÍDO DA INTERNET
O tráfego capturado em dashboards de inteligência contra ameaças não representa ataques direcionados ou ações coordenadas por agentes estatais persistentes. Trata-se do ruído de fundo da internet, um fluxo constante de varreduras automatizadas operadas por botnets e scanners comerciais. A exposição de qualquer endereço IPv4 público à internet resulta em tentativas de conexão e reconhecimento em menos de 60 segundos.
Este artigo apresenta uma análise de telemetria de sensores honeypot distribuídos globalmente, identificando a origem física das conexões, a infraestrutura abusada e os vetores de infecção explorados.
[ 0x01 ] O ABUSO DE INFRAESTRUTURA DE NUVEM (CLOUD-HOPPING)
A alta densidade de tráfego de varredura originada na Costa Leste dos EUA (regiões us-east-1 da AWS) deve-se ao fenômeno conhecido como Cloud-Hopping. Atacantes comprometem ou alocam instâncias efêmeras em provedores de nuvem utilizando contas criadas com cartões de crédito clonados ou abusando de credenciais vazadas.
Uma instância em nuvem provê recursos computacionais robustos e conexões de alta velocidade (frequentemente excedendo 1 Gbps), tornando o escaneamento do espaço de endereçamento IPv4 completo significativamente mais eficiente a partir de backbones de datacenters do que de redes residenciais ou conexões móveis convencionais.
[ 0x02 ] CONCENTRAÇÃO DE TRÁFEGO NA EUROPA (EIXO FLAP-D)
As regiões metropolitanas de Londres, Amsterdã, Frankfurt, Paris e Dublin (eixo FLAP-D) registram altos índices de conexões maliciosas devido à sua relevância geográfica. Nessas áreas estão concentrados os maiores Internet Exchange Points (IXPs) do mundo e infraestruturas de hosting de baixo custo (como Hetzner e OVH).
Botnets operam nesses provedores aproveitando a latência mínima e o atraso no processo de resposta a abusos (abuse reports). Isso permite que um único nó envie milhões de pacotes de força bruta antes que o endereço IP associado seja bloqueado ou a instância seja suspensa.
[ 0x03 ] BOTNETS IOT: ANÁLISE DE COMPORTAMENTO
Enquanto as instâncias em nuvem focam em escaneamento de portas e força bruta em larga escala, o tráfego originado em redes residenciais no Sudeste Asiático e na América do Sul provém de dispositivos embarcados e Internet das Coisas (IoT) comprometidos.
Dispositivos domésticos vulneráveis — como roteadores sem atualizações de firmware, câmeras IP expostas e gravadores de vídeo digital (DVRs) — são infectados por malwares adaptados para arquiteturas MIPS, ARM e MIPSEL. Famílias clássicas como o Mirai e variantes modernas realizam varreduras na porta TCP 23 (Telnet) e 22 (SSH) tentando credenciais padrão de fábrica (admin/admin, root/123456).
- Comportamento de Persistência: Ao obter acesso ao terminal do dispositivo infectado, o malware finaliza processos concorrentes (eliminando outros agentes maliciosos na memória), fecha a porta de entrada para impedir reinfecções por terceiros e estabelece comunicação criptografada com o servidor de Comando e Controle (C2).
- Nota de Diferenciação: O worm P2PInfect, frequentemente associado a varreduras de rede, não ataca dispositivos IoT domésticos, mas sim instâncias do banco de dados em memória Redis expostas na internet, utilizando recursos de replicação para replicação lateral.
[ 0x04 ] ANÁLISE DE CASO: CLUSTER DE SÃO PAULO
A região metropolitana de São Paulo registra taxas elevadas de tráfego de sensores honeypot devido à densidade populacional e à proliferação de conexões residenciais com políticas de segurança deficientes.
Em sensores Cowrie (honeypot SSH/Telnet de média interação) e Dionaea (honeypot de captura de payloads de malware e protocolos SMB/SIP), o tempo médio para o primeiro hit de conexão em um IP recém-alocado é de 45 segundos. O tráfego concentra-se nas portas clássicas: 22 (SSH), 23 (Telnet), 3389 (RDP) e 5060 (SIP). O objetivo primário é o recrutamento do dispositivo para redes de ataque distribuído de negação de serviço (DDoS) ou mineração não autorizada de criptoativos (como Monero).
[ 0x05 ] EXTRAÇÃO DE TELEMETRIA DE ATAQUE
Abaixo está um registro bruto coletado por um honeypot Cowrie, demonstrando a automatização de tentativas consecutivas de conexão:
2025-07-18T02:06:15+0000 [SSHTransport,47.238.151.234] login attempt [ubuntu/qwe123456] failed
2025-07-18T02:06:18+0000 [SSHTransport,47.238.151.234] login attempt [web/P@ssw0rd] failed
2025-07-18T02:07:09+0000 [SSHTransport,47.238.151.234] login attempt [adam/adam123] failed
2025-07-18T02:07:19+0000 [SSHTransport,47.238.151.234] login attempt [app/111111] failed
2025-07-18T02:07:50+0000 [SSHTransport,47.238.151.234] login attempt [demo/demo] failed
O host de origem localiza-se em Hong Kong (47.238.151.234) e utiliza o cliente SSH compilado libssh2_1.11.1. O intervalo fixo e a curta duração das conexões indicam um scanner de script automatizado, projetado para descartar alvos inválidos em milissegundos após falha no handshake.
[ 0x06 ] ANOMALIA IDENTIFICADA: ATAQUES DE CHAVE PÚBLICA
Sensores registram tentativas complexas de autenticação baseadas em chaves criptográficas vazadas ou chaves públicas associadas a repositórios de controle de versão expostos.
O IP 182.92.11.80 enviou uma tentativa de autenticação utilizando chave pública SSH específica para o usuário NL5xUDpV2xRa. Falhas no formato da chave causaram uma exceção interna no parser do honeypot, registrando o comportamento anômalo. Esse vetor demonstra que atacantes automatizam não apenas dicionários de senhas, mas também chaves SSH públicas colhidas de vazamentos históricos e repositórios GitHub mal configurados.
[ 0x07 ] DIRETRIZES DE HARDENING DE INFRAESTRUTURA SSH
- Desabilitar Autenticação por Senha: Restringir o acesso SSH exclusivamente à autenticação baseada em chaves criptográficas fortes, utilizando o algoritmo Ed25519.
- Mudar Porta Padrão: Alterar a escuta da porta
22 para portas altas atenua varreduras automatizadas simples, embora ferramentas ativas de service discovery ainda identifiquem o serviço.
- Defesa Ativa (Throttling e Reputation): Implementar soluções de reputação IP distribuída (como Crow crowdSec ou Fail2ban) para bloquear IPs na camada do firewall corporativo com base em telemetria compartilhada.
- Isolamento de Redes IoT: Dispositivos embarcados não devem possuir portas administrativas expostas diretamente para a internet e devem ser confinados em redes locais isoladas (VLANs).
[ 0x08 ] RECONHECIMENTO DE ALTA VELOCIDADE: VARREDURAS AGRESSIVAS
A varredura rápida de portas é realizada através de ferramentas de geração de pacotes assíncronos (como masscan ou Nmap com controle de taxa). O log abaixo demonstra a identificação de alvos ativos em tempo recorde:
# sudo nmap -n -Pn -T5 --min-rate 5000 --open -p 25565 152.67.32.0/20 -vvvv
Scanning 4096 hosts [1 port/host]
Discovered open port 25565/tcp on 152.67.32.10
Discovered open port 25565/tcp on 152.67.34.19
Nmap done: 4096 IP addresses scanned in 3.58 seconds
Raw packets sent: 8175 (359.700KB) | Rcvd: 19 (928B)
A flag --min-rate 5000 força o envio mínimo de 5000 pacotes por segundo, permitindo varrer sub-redes /20 em menos de 4 segundos. Contudo, timing templates agressivos (-T5) sob redes ruidosas podem induzir a falsos negativos (perda de portas abertas devido ao descarte de pacotes sob congestionamento).
[ 0x09 ] ANÁLISE DE VULNERABILIDADE (CVE-2020-1938 / CVE-2019-0232)
Sensores identificam vulnerabilidades de serviços web populares a partir do reconhecimento de cabeçalhos de versão (banner grabbing). Um host ativo na porta 8080 executando Apache Tomcat/7.0.92 expõe a aplicação a múltiplos vetores de ataque:
- Ghostcat (CVE-2020-1938): Permite a leitura de arquivos arbitrários e execução remota de código (RCE) na pasta de aplicação através do conector AJP (porta 8009) exposto sem autenticação.
- RCE via CGI Servlet (CVE-2019-0232): Injeção de comandos no Windows se a diretiva
enableCmdLineArguments estiver habilitada no servlet CGI do Tomcat.
[ 0x0A ] CONSIDERAÇÕES FINAIS
A segurança de servidores públicos expostos reside na redução da superfície de ataque e no monitoramento constante de anomalias comportamentais. O hardening de chaves e o controle rígido de portas expostas são defesas básicas obrigatórias no cenário atual de ameaças.
[ 0x00 ] GLOBAL TELEMETRY AND INTERNET BACKGROUND NOISE
The traffic captured on threat intelligence dashboards does not represent targeted attacks or coordinated actions by persistent nation-state actors. Instead, it is the internet background noise, a constant stream of automated scans operated by botnets and commercial scanner engines. Exposing any public IPv4 address to the internet results in connection and reconnaissance attempts in less than 60 seconds.
This article presents a technical analysis of telemetry data from globally distributed honeypot sensors, identifying source origins, abused infrastructures, and common infection vectors.
[ 0x01 ] CLOUD INFRASTRUCTURE ABUSE (CLOUD-HOPPING)
The high density of scanning traffic originating from the US East Coast (us-east-1 AWS regions) is driven by a phenomenon known as Cloud-Hopping. Attackers compromise or allocate ephemeral cloud instances using accounts created with stolen credit cards or leaked API credentials.
A cloud instance provides robust computing resources and high-bandwidth interfaces (often exceeding 1 Gbps), making the scanning of the entire IPv4 address space significantly more efficient from datacenter backbones than from residential or mobile networks.
[ 0x02 ] EUROPEAN TRAFFIC CONCENTRATION (FLAP-D AXIS)
The metropolitan regions of London, Amsterdam, Frankfurt, Paris, and Dublin (the FLAP-D axis) register high levels of malicious connections due to their network relevance. These areas host the world's largest Internet Exchange Points (IXPs) and low-cost hosting infrastructures (such as Hetzner and OVH).
Botnets operate within these hosting providers to leverage minimal latencies and take advantage of delays in abuse-report handling processes. This allows a single node to send millions of brute-force packets before its IP address is blocked or the instance is suspended.
[ 0x03 ] IOT BOTNETS: BEHAVIORAL ANALYSIS
While cloud instances focus on large-scale port scans and credential brute-forcing, traffic originating from residential networks in Southeast Asia and South America is primarily generated by compromised embedded devices and Internet of Things (IoT) hardware.
Vulnerable home devices — such as routers lacking firmware updates, exposed IP cameras, and digital video recorders (DVRs) — are infected by malware compiled for MIPS, ARM, and MIPSEL architectures. Classic families like Mirai and modern variants scan TCP port 23 (Telnet) and 22 (SSH) using factory-default credentials (admin/admin, root/123456).
- Persistence Behavior: Upon gaining shell access to the infected device, the malware terminates competing processes (purging other agents from memory), blocks the inbound port to prevent re-infection, and establishes encrypted communication with its Command and Control (C2) server.
- Technical Distinction: The P2PInfect worm, frequently associated with network scans, does not target home IoT devices. Instead, it targets exposed Redis in-memory database instances in cloud/datacenter environments, leveraging replication features for lateral movement.
[ 0x04 ] CASE STUDY: SÃO PAULO CLUSTER
The São Paulo metropolitan area registers elevated connection rates on honeypot sensors due to population density and the prevalence of residential connections with poor security configurations.
On Cowrie (a medium-interaction SSH/Telnet honeypot) and Dionaea (a honeypot designed to capture malware payloads and protocols like SMB/SIP), the average time to register the first connection attempt on a newly allocated public IP is 45 seconds. Traffic is concentrated on classic ports: 22 (SSH), 23 (Telnet), 3389 (RDP), and 5060 (SIP). The primary goal is recruiting the device into distributed denial of service (DDoS) botnets or mining cryptocurrency (such as Monero).
[ 0x05 ] ATTACK TELEMETRY EXTRACTION
Below is a raw log captured by a Cowrie honeypot, demonstrating automated consecutive login attempts:
2025-07-18T02:06:15+0000 [SSHTransport,47.238.151.234] login attempt [ubuntu/qwe123456] failed
2025-07-18T02:06:18+0000 [SSHTransport,47.238.151.234] login attempt [web/P@ssw0rd] failed
2025-07-18T02:07:09+0000 [SSHTransport,47.238.151.234] login attempt [adam/adam123] failed
2025-07-18T02:07:19+0000 [SSHTransport,47.238.151.234] login attempt [app/111111] failed
2025-07-18T02:07:50+0000 [SSHTransport,47.238.151.234] login attempt [demo/demo] failed
The source host is located in Hong Kong (47.238.151.234) and uses the SSH client library libssh2_1.11.1. The fixed interval and short duration of the connections indicate an automated script scanner designed to discard invalid targets within milliseconds of a failed handshake.
[ 0x06 ] ANOMALY IDENTIFIED: PUBLIC KEY ATTACKS
Sensors also register complex authentication attempts based on leaked cryptographic keys or public keys harvested from exposed version control repositories.
The IP 182.92.11.80 initiated an authentication attempt using a specific SSH public key for the user NL5xUDpV2xRa. Formatting errors in the key structure triggered an internal exception in the honeypot parser, registering the anomalous behavior. This vector demonstrates that attackers automate authentication using SSH public keys harvested from public leaks and misconfigured GitHub repositories.
[ 0x07 ] SSH INFRASTRUCTURE HARDENING DIRECTIVES
- Disable Password Authentication: Restrict SSH access exclusively to strong cryptographic keys, using the Ed25519 algorithm.
- Modify Default Port: Changing the SSH port from
22 to a high port mitigates simple automated scans, though active service discovery tools can still identify the service.
- Active Defense (Throttling and Reputation): Implement distributed IP reputation solutions (like CrowdSec or Fail2ban) to block malicious IPs at the firewall layer based on shared telemetry.
- Isolate IoT Networks: Embedded hardware must not expose management interfaces directly to the internet and should be confined to isolated local networks (VLANs).
[ 0x08 ] HIGH-SPEED RECONNAISSANCE: AGGRESSIVE SCANS
High-speed port scanning is performed using asynchronous packet generation tools (like masscan or Nmap with rate limiting). The log below shows active target discovery:
# sudo nmap -n -Pn -T5 --min-rate 5000 --open -p 25565 152.67.32.0/20 -vvvv
Scanning 4096 hosts [1 port/host]
Discovered open port 25565/tcp on 152.67.32.10
Discovered open port 25565/tcp on 152.67.34.19
Nmap done: 4096 IP addresses scanned in 3.58 seconds
Raw packets sent: 8175 (359.700KB) | Rcvd: 19 (928B)
The --min-rate 5000 flag forces a minimum packet rate of 5000 packets per second, scanning /20 subnets in under 4 seconds. However, aggressive timing templates (-T5) under noisy network conditions can drop response packets, leading to false negatives (missed open ports).
[ 0x09 ] VULNERABILITY ANALYSIS (CVE-2020-1938 / CVE-2019-0232)
Sensors identify vulnerable web services using banner grabbing. A host running Apache Tomcat/7.0.92 on port 8080 exposes the application to multiple attack vectors:
- Ghostcat (CVE-2020-1938): Allows arbitrary file read and remote code execution (RCE) via the AJP connector (port 8009) if it is exposed without authentication.
- CGI Servlet RCE (CVE-2019-0232): Command injection on Windows if the
enableCmdLineArguments directive is enabled in Tomcat's CGI servlet.
[ 0x0A ] CONCLUSION
Securing public-facing servers requires minimizing the attack surface and monitoring for behavioral anomalies. Core practices like key-based authentication and strict port management are essential defenses against modern automated scanning infrastructure.