Dispositivo desconhecido na rede

[Tales22]

PORT STATE SERVICE VERSION 54321/udp open|filtered bo2k MAC Address: 60:DE:F4:X:X:X (Unknown)

 

Isso é algum bug do nmap? Ou é possível algo tão velho como o bo2k estar rodando em algum dispositivo iot da rede?

 

Quando faço sudo nmap -sU -sV -p 54321 192.168.100.2 não mostra nada também.  

 

nc -u 192.168.100.2 54321
test

Aparece a mensagem no wireshark com esse test aí. Sei não, alguém com conhecimento aí pra ajudar?

[Linio Alan]

A porta 54321/udp é usada pelo protocolo miIO certo?

 

Posso estar errado, talvez por tempos atrás na época em que o bo2k era relevante usasse essa mesma porta para entrega de payload malicioso, então os desenvolvedores/mantenedores do NMAP tenham comentado essa porta como potencialmente usada pelo Trojan, mas hoje não necessariamente isso é verdade dado o contexto em que estamos.

 

A única contra-prova mais confiável possível, é monitorar/debugar 100% do tráfego nessa porta/host e ver se está havendo qualquer comunicação potencialmente maliciosa ou não por um período de tempo razoável, caso não detecte nada dê por sanado o tráfego/host (se for paranóico o suficiente isole o host do restante da rede durante essa quarentena para observação).

[Tales22]

No wireshark não mostra nada de suspeito. Esse bo2k pelo nmap era de um trojan antigo para windows xp - 98 etc. Anos 2000. Então acho que é algum outro serviço usando essa porta. Mas não gera trafego nenhum esse é o problema. Só queria saber que tipo de dispositivo é esse aí, deixei tambem no post o mac: 60:DE:F4 que é da shenzen icomm. Sei lá que isso. tenho na rede, cameras, celulares e tv. 

[Linio Alan]

Certo, bom ali no print que mandei diz que a Xiaomi tem projetos em cima dessa porta/protocol então muito provavelmente se trate mesmo de algum dispositivo móvel de fato, embora o fato de o Wireshark não "pegar nada" não necessariamente signifca que não esta ocorrendo tráfego de/para aquele host, não sei exatamente o seu ponto-de-coleta, mas se você estiver apenas conectado à rede em uma interface que não esteja no modo "promiscuo/espelhando tráfego" certamente não conseguirá "sniffar" todo o tráfego gerado. O ideal seria que o dispositivo estivesse passando 100% do tráfego por um servidor DHCP Linux mesmo, aí sim você teria uma visão 360 para tirar conclusões mais aprofundadas.

 

Afinal de contas, mesmo um host que não esteja sendo usado sempre irá gerar algum tráfego mínimo, updates, pacotes hello e de controle etc etc..

[Tales22]

Está certo isso? Estou na interface do wifi em modo promiscuo. Vou ver só broadcast e multicast e arps ainda? ou vou precisar disso que tu falou aí. E descobri o dispositivo aqui com o miio que tu falou. NFO:miio.miioprotocol:Sending discovery to <broadcast> with timeout of 5s..
INFO:miio.miioprotocol:  IP 192.168.100.2 (ID: 3fee1f26) - token: b'ffffffffffffffffffffffffffffffff', só não consigo pegar o token, meu objetivo seria pegar o token pelo wireshark, será que da? O que você acha? entende disso?

[Linio Alan]

Eu acho que no final das contas você vai descobrir que se trata de uma SmarTV ou uma TVBox isso aí

 

Exato, sem que o tráfego esteja 100% passando pelo host de rede que está efetuando de fato o monitoramento, a captura de pacotes fica restrita à broadcast/multicast mesmo.

 

Mas qual a finalidade de verdade? Descobrir qual o host da rede com esse tráfego/IP ou se trata de pentest análise de vulnerabilidade? O escopo do seu trabalho me parece indefinido à esta altura.

[Tales22]

Finalidade é descobrir o aparelho mesmo. Dei um jeito de capturar o trafego, é tudo da cloud a xiaomi lá, sei lá, alibaba, não é tv, é uma camera. O problema é que mesmo pegando o token, não é possível saber qual dispositivo é, com as ferramentas que usei. O que é triste. Só daria certo, se resetasse de fato o dispositivo de fabrica. Vou marcar como solucionado até porque nem sei como esse forum funciona, mas você ajudou um pouco.