Shadowserver utiliza cookies para recopilar análisis. Esto nos permite medir cómo se utiliza el sitio y mejorar la experiencia de nuestros usuarios. Para obtener más información sobre las cookies y cómo las utiliza Shadowserver, consulte nuestra Política de Privacidad. Necesitamos su consentimiento para utilizar cookies de esta manera en su dispositivo.
Descripción general del panel
El panel de Shadowserver presenta estadísticas de alto nivel que reflejan los principales conjuntos de datos que Shadowserver recopila y comparte a través de sus actividades diarias en más de 100 informes diarios. Los conjuntos de datos permiten identificar la superficie de ataque expuesta, vulnerabilidades, configuraciones incorrectas, exposición a riesgos en las redes y observaciones de ataques. Los datos, compartidos en forma de informes, contienen información detallada a nivel de IP sobre una red o área en particular. El panel de control de Shadowserver no permite este nivel de detalle. En cambio, presenta estadísticas de alto nivel que reflejan estas actividades. Esto permite obtener información sobre las últimas amenazas, vulnerabilidades e incidentes emergentes, proporcionando conocimiento de la situación a la comunidad en general y al mismo tiempo preservando el anonimato de las partes involucradas.
Orígenes y etiquetas
La presentación de datos se organiza en torno a orígenes y etiquetas. Un origen es esencialmente una agrupación de datos de alguna forma. Los orígenes básicos son honeypot, population (población), scan (escaneo) y sinkhole. Tanto la población como el escaneo son conjuntos de datos basados en escaneos, siendo la población un recuento de puntos finales de exposición sin una evaluación de vulnerabilidad/seguridad. Un sufijo 6 representa datos IPv6 (todas las entradas sin el sufijo se refieren a datos IPv4).
Los orígenes pueden tener etiquetas asociadas que proporcionen contexto adicional para los datos que se presentan. Por ejemplo, las etiquetas para scan incluirán los diferentes tipos de escaneo reales (es decir, servicios/protocolos que se escanean como telnet, ftp y rdp). Las etiquetas para sinkhole reflejarían las familias de malware reales que se conectan a un sinkhole (es decir, hosts infectados por un tipo de familia de malware como adload, andromeda y necurs).
Las etiquetas proporcionan información adicional sobre los datos presentados.
Además, también introducimos agrupaciones de fuentes adicionales para reflejar mejor las observaciones sobre hosts vulnerables o comprometidos, por ejemplo, http_vulnerable o compromised_website. Por lo general, contendrán etiquetas que reflejan vulnerabilidades CVE específicas, fabricantes o productos afectados o información sobre puertas traseras, webshells o implantes vistos. Un ejemplo para http_vulnerable sería citrix o cve-2023-3519.
Finalmente, a medida que añadimos más detecciones a nuestros conjuntos de datos, terminamos con más etiquetas. Esto significa que pueden aparecer nuevas categorías de fuentes entre las que elegir. Por ejemplo, aunque snmp es una etiqueta presente en la fuente scan (escaneo), también aparece como origen. Esto nos permite presentar resultados de escaneo SNMP más detallados que permiten ver resultados de escaneo SNMP específicos asociados con una vulnerabilidad como cve-2017-6736.
Enlaces rápidos a categorías de datos: barra de navegación izquierda
Los conjuntos de datos presentados se recopilan mediante diversos métodos de recopilación a gran escala, incluyendo sinkholes, escaneos y honeypots. Estas categorías principales de los conjuntos de datos se comparten en la barra de navegación izquierda, y cada tipo de categoría está simbolizada por un icono diferente.
El objetivo es permitir inmersiones más rápidas en categorías de orígenes particulares. Por ejemplo:
-
Sinkholes: devuelve una descripción general de los conjuntos de datos agrupados con origen
sinkhole. Luego puede ver el resultado de un sinkhole en particular seleccionando una etiqueta o grupo de etiquetas. -
Scans (Escaneos): devuelve una descripción general de los conjuntos de datos agrupados por origen
scan(escaneo) (esta categoría contiene resultados de escaneo para servicios que tienen algún tipo de problema de seguridad asociado con ellos, también puede ver los resultados del escaneo de población seleccionando fuentepopulation(población) en su lugar). Luego puede ver el resultado de un escaneo en particular seleccionando una etiqueta o grupo de etiquetas. -
Honeypots: devuelve una descripción general de los conjuntos de datos agrupados por origen
honeypot. Luego puede ver el resultado de un honeypot en particular seleccionando una etiqueta o grupo de etiquetas. -
DDoS: devuelve una descripción general de los conjuntos de datos agrupados por origen
honeypot_ddos_amp. Estos son ataques DDoS de amplificación vistos por objetivos únicos en un país/región en particular. Luego puede ver un método de amplificación particular utilizado seleccionando una etiqueta o grupo de etiquetas. -
ICS: devuelve una descripción general de los conjuntos de datos agrupados por origen
ics(que son resultados de escaneo de protocolos nativos de sistemas de control industrial). Luego puede ver los protocolos nativos utilizados seleccionando una etiqueta o grupo de etiquetas. -
Web CVEs: devuelve una descripción general de los conjuntos de datos agrupados por
http_vulnerableyexchange. Se trata de aplicaciones web vulnerables identificadas en nuestros análisis, normalmente mediante CVE. Puede ver los CVE o los productos afectados seleccionando una etiqueta o grupo de etiquetas.
Los conjuntos de datos se pueden desglosar por país o agrupaciones de países, regiones y continentes.
Cada conjunto de datos también se describe en "About this data" (Acerca de estos datos).
Tenga en cuenta que hay más conjuntos de datos disponibles además de los resaltados. Por ejemplo, la fuente beacon le permitirá explorar las infraestructuras C2 post-explotación que vemos en nuestros análisis, y el origen compromised_website le permitirá explorar los web comprometidos que se ven en nuestros análisis.
Barra de navegación superior
La barra de navegación superior permite varias opciones de visualización para la presentación de datos, así como la visualización de conjuntos de datos de identificación de dispositivos y observación de ataques.
Estadísticas generales
Las estadísticas generales incluyen la capacidad de visualizar cualquier origen y etiqueta seleccionando:
- Mapa mundial: visualización de un mapa mundial que muestra orígenes y etiquetas seleccionadas. Las características adicionales incluyen: capacidad de cambiar la visualización para mostrar las etiquetas más comunes por país por fuente, normalización por población, PIB, usuarios conectados, etc. También puede seleccionar marcadores en el mapa para mostrar valores por país.
- Mapa de la región: visualización de un mapa a nivel de país con los países divididos en regiones y provincias.
- Mapa comparativo: un mapa comparativo de dos países.
- Serie temporal: un gráfico que muestra combinaciones de origen y etiqueta a lo largo del tiempo. Tenga en cuenta que permite diferentes formas de agrupación de datos (no solo por país).
- Visualización: ofrece varias opciones para profundizar en los conjuntos de datos, incluyendo promedios de valores a lo largo del tiempo. Permite mostrar datos en forma de tablas, gráficos de barras, diagramas de burbujas y más.
Estadísticas de dispositivos del IoT (estadísticas de identificación de dispositivos)
Este conjunto de datos y las visualizaciones asociadas proporcionan una instantánea diaria de los servicios expuestos agrupados por fabricantes y sus productos identificados a través de nuestros análisis. Los datos se clasifican por fabricante, modelo y tipo de dispositivo. Estos se identifican a través de diversos medios, incluido el contenido de la página web, certificados SSL/TLS, banners mostrados, etc. Los conjuntos de datos contienen únicamente datos de población, es decir, no se realiza ninguna evaluación de las vulnerabilidades asociadas con los sistemas expuestos (para encontrarlas, seleccione fuentes como, por ejemplo http_vulnerable en “Estadísticas generales”.
Existen gráficos de visualización similares a los de “Estadísticas generales”, con la diferencia de que en lugar de utilizar orígenes y etiquetas puede ver (y agrupar por) fabricantes, modelos y tipos de dispositivos en su lugar.
Estadísticas de ataques: vulnerabilidades
Este conjunto de datos y las visualizaciones asociadas proporcionan una instantánea diaria de los ataques vistos por nuestra red de sensores honeypot, con un enfoque en las vulnerabilidades utilizadas para la explotación. Estos incluyen la capacidad de ver los productos que son atacados con mayor frecuencia y explorar cómo son atacados (es decir, qué vulnerabilidad explotan, que puede incluir un CVE particular que se esté explotando). También puede ver gráficos por origen de los ataques y destinos.
Existen gráficos de visualización similares a los de “Estadísticas generales”, con la diferencia de que en lugar de utilizar orígenes y etiquetas, puede ver (y agrupar por) fabricante, vulnerabilidad, así como origen y destino de los ataques.
También se ha añadido una categoría de visualización adicional, Supervisión:
Esta es una tabla diaria actualizada de las vulnerabilidades explotadas más comunes agrupadas por IP de origen únicas observadas como origen de los ataques (o intentos de ataque vistos, si selecciona la opción estadística de intentos de conexión). Los datos provienen de nuestra red de sensores honeypot. Los datos se agrupan por vulnerabilidades explotadas. También incluye asignaciones de Vulnerabilidades Explotadas Conocidas (CISA KEV), incluyendo si se sabe que están siendo explotadas por un grupo de ransomware, así como si el ataque se realiza contra un dispositivo IoT en lugar de una aplicación de servidor.
De forma predeterminada, la pantalla muestra las vulnerabilidades más comunes explotadas en todo el mundo, pero también puede filtrar por país o grupo en particular o mostrar una tabla de anomalías.
Estadísticas de ataques: dispositivos
Este conjunto de datos y las visualizaciones asociadas proporcionan una instantánea diaria de los tipos de dispositivos atacantes vistos por nuestra red de sensores honeypot. La identificación de estos dispositivos se realiza mediante nuestros escaneos diarios. Los conjuntos de datos permiten el seguimiento de tipos de ataques, fabricantes de dispositivos o modelos particulares y pueden filtrarse por país.
Existen gráficos de visualización similares a los de “Estadísticas generales”, con la diferencia de que en lugar de utilizar orígenes y etiquetas puede ver (y agrupar por) tipo de ataque, fabricante o modelo del dispositivo en su lugar.
También se ha añadido una categoría de visualización adicional, Supervisión:
Esta es una tabla diaria actualizada de los dispositivos atacantes más comunes vistos por dirección IP única de origen observada (o intentos de ataque vistos, si selecciona la opción de estadística de intentos de conexión). Como ocurre con todos los conjuntos de datos que se muestran en esta categoría, proviene de nuestra red de sensores honeypot. Está agrupado por tipo de ataque visto, fabricante y modelo (si está disponible). Determinamos el dispositivo atacante correlacionando las IP vistas con los resultados de nuestro escaneo diario de identificación de dispositivos (consulte la sección “Estadísticas de dispositivos del IoT”).
De forma predeterminada, la pantalla muestra los dispositivos atacantes más comunes (por origen) vistos atacando (esto incluye casos en los que no podemos identificar un dispositivo o, por ejemplo, solo identificar a un fabricante). Puede optar por filtrar por país o grupo en particular o mostrar una tabla de anomalías.