nulltropic

NULLTROPIC

Análise de honeypots revela alvos de varredura automatizada.

Uma análise detalhada de honeypots web implantados durante o período de 1 a 16 de janeiro de 2026 revela padrões alarmantes de varredura automatizada na internet. Com 71.768 requisições coletadas de mais de 400 IPs únicos por dia, o estudo oferece uma visão sem precedentes sobre o que os scanners automatizados realmente procuram em infraestruturas expostas.

Padrões de Volume: Ruído Ambiental vs. Varreduras Coordenadas

O ruído de fundo da internet mostra consistência notável: dias tranquilos apresentam aproximadamente 2.500 requisições de 300-400 IPs únicos. Este é o scanning ambiental padrão que qualquer serviço exposto recebe diariamente. No entanto, os picos revelam operações mais sofisticadas: em 5 de janeiro, três redes AWS /24 (13.59.55.0/24, 54.234.91.0/24, 54.175.183.0/24) causaram aumento de 6x no volume através de enumeração coordenada. Em 7 de janeiro, um único /24 (144.91.101.0/24) disparou 19.873 requisições em 24 horas, testando quase 20.000 caminhos URI únicos – um scanner metódico executando um dicionário massivo de permutações de arquivos.

Top 10 Alvos de Varredura: O Que os Scanners Realmente Procuram

A classificação das URIs em famílias tecnológicas revela prioridades claras dos atacantes:

  • Arquivos de Ambiente e Segredos (12.365 hits): O alvo mais persistente, com verificações diárias para /.env, /config.zip, /.aws/credentials, /assets/credentials.json. Scanners modernos não buscam apenas /.env, mas também .env.ts, .env.production, env.zip e credenciais cloud específicas.
  • Arquivos de Aplicação e Supply Chain PHP (10.903 hits): Exploração de cadeia de suprimentos PHP legada permanece ativa, com foco em /vendor/phpunit/phpunit/src/util/php/eval-stdin.php – arquivo que não deveria existir em produção mas fornece RCE quando acessível.
  • Enumeração de Arquivos de Backup (6.500+ hits): Concentrado em picos, scanners testam sistematicamente prefixos /api, /admin, /core, /backup combinados com extensões .bak, .cfg, .conf, .old, .save, .sql.
  • Descoberta de Superfície de Autenticação (2.262 hits): Mapeamento de endpoints de login genéricos e específicos de produtos como ASP.NET, Outlook Web Access e APIs de autenticação.
  • Exposição de Repositório Git (686 hits): Verificação persistente de /.git/config, /.git/index, /.git/info/refs – acesso que permite reconstrução completa do código-fonte com segredos hardcoded.
  • WordPress (551 hits): Foco em arquivos de configuração de backup (wp-config.php.bak) e caminhos de plugins vulneráveis, não apenas brute-forcing de login.
  • Leitura de Arquivos Dev-Server Vite (/@fs/) (350 hits): Targeting específico de vulnerabilidades de leitura de arquivos em servidores de desenvolvimento Vite expostos, buscando /etc/passwd, .docker.env, /proc/self/environ.
  • Citrix Gateway (201 hits): Fingerprinting de dispositivos de perímetro Cisco/Citrix através de caminhos específicos como /+cscoe+/logon.html.
  • Descoberta de Endpoints API AI/LLM (140 hits): Adição recente a dicionários de scanners, buscando endpoints OpenAI-compatíveis como /v1/chat/completions, /openai/v1/chat/completions.
  • Superfícies de Gerenciamento: Verificação consistente de Spring Boot Actuator, Docker Remote API, Tomcat Manager, GeoServer e interfaces administrativas de dispositivos embarcados.

Evolução dos Dicionários de Scanner: IA/LLM como Novo Alvo

A análise diária de URIs “novas” revela evolução ativa dos dicionários de scanners. O padrão mais notável: a partir de 8 de janeiro, scanners começaram a procurar endpoints de API de IA/LLM, incluindo caminhos específicos do Azure OpenAI com parâmetros de versão. Esta adição recente sugere que ferramentas de scanning estão sendo atualizadas para refletir o panorama tecnológico atual, não apenas executando listas desatualizadas.

Concentração de Fontes: Poucos Operadores, Grande Impacto

As 5 principais redes de origem representaram a vasta maioria das requisições. O pico de 5 de janeiro veio de três /24s da AWS trabalhando em conjunto – provavelmente um único operador usando instâncias EC2 para scanning distribuído. O pico de 7 de janeiro foi um único /24 hospedado na Contabo executando um dicionário muito maior e mais abrangente contra menos alvos. O ruído de fundo vem de um elenco rotativo de 300-400 IPs por dia, executando checklists mais curtos e focados.

Takeaways Defensivos: Priorização Baseada em Dados Reais

Para construção de hunts e hardening baseado nestes dados:

  • Vitórias Rápidas (Superfície Externa): Bloqueie acesso a dotfiles (/.env, /.git/*, /.aws/*) na borda. Negue extensões de backup (.bak, .old, .cfg, .conf, .save, .sql) em todos os caminhos web-acessíveis. Valide que diretórios /vendor/ não são web-acessíveis em implantações PHP.
  • Alvos de Engenharia de Detecção: Requisições /@fs/ com parâmetro ?import= – indicador altamente específico de leitura de arquivos em servidores de desenvolvimento Vite. /v1/chat/completions ou /v1/messages em hosts inesperados – infraestrutura LLM exposta. /containers/json – verificação de exposição da API Remota Docker.
  • Hipóteses de Hunt: Servidores de desenvolvimento internos (Vite, webpack-dev-server, Next.js dev mode) acidentalmente vinculados a interfaces externas? Pipelines CI/CD publicam .env, .git ou diretórios de teste vendor para raízes web de produção? Proxies de API LLM, endpoints de inferência ou servidores de desenvolvimento expostos sem autenticação?

Metodologia e Limitações

Os honeypots foram instâncias nginx encaminhando todos os logs de acesso para uma instância Loki centralizada via stack de agregação de logs do Grafana. Um pipeline de análise Python diário puxou os logs brutos, classificou URIs em famílias tecnológicas usando regras baseadas em regex, rastreou concentrações de IPs de origem no nível /24 e gerou modelos de ameaça estruturados com análise delta dia-a-dia. Contagens de requisições foram limitadas a 20.000 por janela de 24 horas e 40.000 por janela de 7 dias, significando que volumes reais em dias de pico podem ter sido maiores que os reportados.

Esta análise fornece um snapshot valioso do estado atual do scanning automatizado na internet, destacando a necessidade urgente de organizações priorizarem a proteção contra vetores de ataque que scanners estão ativamente explorando. A inclusão recente de endpoints de IA/LLM nos dicionários de scanners serve como alerta para que organizações auditem rapidamente sua superfície de ataque para serviços de IA expostos.

Análise baseada no “Vibe Coding The Holidays Away” do THOR Collective Dispatch. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

N00-AI

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *