Taimako

Taimako na gaba ɗaya

Hangen dashbod

Shadowserver Dashbod yana gabatar da babban ƙididdiga wanda ke nuna manyan kunshin bayanai da Shadowserver ke tattarawa da rabawa ta hanyar ayyukansa na yau da kullum a cikin rahotanni sama da 100 na yau da kullum. Kunshin bayanan na ba da damar gano fallasay hare-haren a fili, tarin rauni, rashin daidaituwa, lalacewar hade=haden sadarwa da kuma lura da hare-hare. Kunshin bayanan, wanda aka raba a nau'i na rahotanni, sun ƙunshi cikakkun bayanai na matakin IP game da wata hadin sadarwa ko mazaba. Dashbod na Shadowserver ba ya ba da izinin wannan matakin hatsin. Maimakon haka yana gabatar da ƙididdiga masu girma waɗanda ke nuna waɗannan ayyukan. Wannan yana ba da damar fahimta game da sabbin barazanar da ke tasowa, tarin rauni, aukuwa da ke bada wayarwa ga al'umma mai fadi yayin kiyaye sunan duk wani bangare da ke da hannu.

Tushe da lakkuba

Ana tsara gabatarwar bayanai kewaye da tushe da lakkuba. Tushe shine ainihin rukunin bayanai na wani nau'i. Tushen asali sune honeypot, population, scan, sinkhole. Dukanin yawa da kuma sikanin suna da asali na sikanin na kunshin bayanai da yawan a zama wani karshen kirgen fallasa ba tare da kimantawar rauni/tsaro ba. Wani karshe na 6 yana wakiltar bayanan IPv6 (duk shigarwa ba tare da karshen ba na nunin bayanan IPv4).

Tushen na iya samun lakkuba da ke hade da su waɗanda ke ba da ƙarin mahallin bayanan da aka gabatar. Alal misali, lakkuba don scan zai hade da ainihin ire-iren sikanin daban-daban (wato. sabis/tsari da ake wa sikanin kamar telnet, ftp da rdp). Lakkuba don sinkhole zai nuna ainihin iyalan malwe da ke haɗuwa da sinkhole (wato. masu watsawa da suka kamu da nau'in dangin malwe kamar adload, andromeda da necurs).

Lakkuba suna ba da ƙarin fahimta game da bayanan da aka gabatar.

Bugu da ƙari kuma muna gabatar da ƙarin ƙungiyoyin tushe don kara yin tunin ra'ayoyi game da masu watsawa masu rauni ko lalatattu - alal misali, http_vulnerable ko compromised_website. Yawancin lokaci waɗannan za su ƙunshi lakkuba da ke nuna takamaiman raunin CVE, masu sayarwa ko samfuran da ya shafa ko bayani game da kofofin baya, webshells ko idashe da aka gani. Misali don http_vulnerable zai zama citrix ko cve-2023-3519.

A ƙarshe yayin da muke ƙara ƙarin ganowa akan kunshin bayanan mu muna ƙarewa da ƙarin lakkuba. Wannan yana nufin cewa sababbin rukunin tushe na iya bayyana don zaɓa daga ciki. Alal misali, ko da yake snmp shine lakabi da ke tushen scan, shi ne kuma ake nuna a matsayin tushen. Wannan yana ba mu damar gabatar da ƙarin sakamakon sikanin hatsin snmp granular wanda ke ba da damar duba takamaiman sakamakon sikanin na snmp da ke hade da rauni kamar cve-2017-6736.

Hadin sauri zuwa ga rukunan bayanai: Sandan kewayawa na hagu

Ana tattara kunshin bayanan da aka gabatar ta hanyar hanyoyin tarawa manya-manya ciki har da sinkholing, sikanin da honeypots. Wadannan manyan rukunai na kunshin bayanai ana rabawa a hagun sandan kewayawa, da kowane irin rukuni yana alama da wani jigo daban.

Manufar ita ce don ba da damar saurin nutsewa cikin takamaiman rukunin tushe. Alal misali:

  • Sinkholes - yana ba da bayyani game da kunshin bayanan da aka hade ta hanyar tushen sinkhole. Za ka iya duba sakamakon wani sinkhole ta zabar wani lakabi ko rukunin lakkuba.
  • Sikanin - yana ba da bayyani game da kunshin bayanan da aka hade ta hanyar tushen scan (wannan rukuni ya ƙunshi sakamakon sikanin don ayyukan da ke da wasu nau'ikan matsalolin tsaro tattare da su, hakanan zaka iya duba sakamakon sikanin na jama'a ta hanyar zaɓar tushen population a madadi). Zaka iya kuma duba wani takaimamman sakamakon sikanin ta zabar wani lakabi ko rukunin lakkuba.
  • Honeypots - yana ba da bayyani game da rukunin bayananda da aka hade ta tushenhoneypot. Zaka iya duba wani takaimman sakamakon honeypot ta zabar wani lakabi ko rukunin lakkuba.
  • DDoS - yana ba da bayyani game da kunshin bayananda aka hade hanyar tushenhoneypot_ddos_amp. Waɗannan DDoS na fadaddun hare-hare ne da ake gani ta abin hara na musamman a cikin wata ƙasa/yanki. Zaka iya duba wani takaimamman hanyan fadaddawa da aka yi amfani da shi ta zabar wani lakabi ko rukunin lakkuba.
  • ICS - yana ba da bayyani game da kunshin bayanai da aka hade ta tushenics (wandanda sakamakon sikanin na tsarin na Daidaiton Tsare-tsare na Ma’aikata ne). Zaka iya duba tsare-tsaren asali wanda ake amfani da su ta hanyar zaɓar wani lakabi ko rukunin lakkuba.
  • Web CVEs - yana ba da bayyani game da kunshin bayanai da aka had ta http_vulnerable da exchange. Wadannan aikace-aikacen wuraren yana masu rauni ne da aake ganewa a cikin sikanin din mu musamman ta CVE. Zaka iya duba CVEs ko kayayyakin da ya shafa ta zabar wani lakabi ko rukunin lakkuba.

Za'a iya rushe kunshin bayanan ta ƙasa ko hadin ƙasa, yankuna da nahiyoyi.

Kowane kunshin bayanai kuma an bayyana shi a “Game da wannan bayani”.

Da fatan za a lura akwai ƙarin kunshin bayanai banda waɗanda aka haskaka. Alal misali, tushen beacon zai ba ka damar bincika tsarin bayan nazarin C2s da muke gani a cikin sikanin din mu, sannan tushen compromised_website zai ba ka damar bincika karshen lalallatattun wurin yanar gizo da aka gani a cikin sikanin din mu.

Sandan kewayawa na sama

Sandan kewayawa na sama yana bada damar zabbuka daban-daban na hange don gabatar da bayanai, haka nan don hange na gane na'ura da hangen hare-haren kunshin bayanai.

Ƙididdiga na gabaɗaya

Ƙididdiga na gabadaya sun haɗa da ikon ganin kowane tushe da lakabi ta zaɓar:

  • Taswirar duniya - nuni na taswirar duniya wanda ke nuna tushe-tushe da lakkuba. Ƙarin fasali sun hada da: ikon canza nuni don nuna mafi yawan lakabin kowace ƙasa bisa kowace tushe, daidaituwar yawa, GDP, haɗa masu amfani da sauransu. Hakanan zaka iya zaɓar alamomi akan taswirar don nuna ƙima bisa kowace ƙasa.
  • Taswirar yanki - nuni na taswirar ƙasa tare da ƙasashe da aka raba zuwa yankuna da larduna.
  • Taswirar kwatancen - taswirar kwatance na ƙasashe biyu.
  • Jerin lokaci - wani ginshiƙi wanda ke nuna tushe da lakabi hadi na tsawon lokaci. Lura cewa yana ba da damar nau'ikan rukunin kunshin bayanai (ba kawai ta ƙasa ba).
  • Hange - yana bada zabbuka daban-daban hakowa cikin kunshin bayanan, ciki har da matsakaicin ƙima na tsawon lokaci. Yana ba da damar nuna bayanai a nau'i na tebur, ginshiƙai na sanda, zane-zane na kumfa da kuma ƙari.

Ƙididdigar na'urar IoT (ƙididdigar gano na'urar)

Wannan dataset da kuma alaka visualizations samar da wani yau da kullum snapshot na fallasa endpoints kungiya ta fallasa masu sayarwa da kuma su kayayyakin gano ta hanyar mu scans. Ana rarraba bayanai ta hanyar mai sayarwa, samfurin da nau'in na'urar. Wadannan an gano su ta hanyoyi daban-daban, ciki har da abun ciki na shafin yanar gizo, takaddun shaida na SSL/TLS, banners da aka nuna da dai sauransu. Bayanan bayanan suna dauke da bayanan yawan jama'a kawai ie. babu kimantawa da aka yi da duk wani rauni da ke hade da wuraren ƙarewar da aka fallasa (don nemo waɗancan, zaɓi kafofin kamar misali http_vulnerable a ƙarƙashin "Ƙididdigar Gabaɗaya" a maimakon haka).

Hilar visualization ginshiƙi kamar yadda a “Ƙididdiga na gabaɗaya” wanzu, tare da bambanci shi ne cewa maimakon yin amfani da kafofin da lakkuba za ka iya duba (da kuma rukuni ta) masu sayarwa, samfuri da kuma na'urorin iri maimakon.

Ƙididdigar Hari: Tarin Rauni

Wannan dataset da kuma alaka visualizations samar da wani yau da kullum snapshot na hare-haren gani da mu honeypot firikwensin hadin sadarwa, tare da mayar da hankali a kan rauni yin amfani. Waɗannan sun haɗa da ikon duba samfuran da aka fi kai hari akai-akai da kuma bincika yadda ake kai musu hari (ie. ta hanyar wanda ke amfani da rauni, wanda zai iya haɗawa da musamman CVE da ake amfani da shi). Hakanan zaka iya duba ginshiƙi ta hanyar tushen hare-haren da wuraren.

Ginshiƙi hange iri daya kamar yadda yake a “Ƙididdiga na gabaɗaya”, da bambanci shi ne cewa maimakon yin amfani da tushe da lakkuba zaka iya duba (da kuma ka hade ta) mai sayarwa, rauni kazalika da tushe makoma na hare-haren.

Ƙarin rukuni na hange - Kulawa, an kuma kara shi:

Wannan tebur ne na yau da kullum da aka sabunta na mafi yawan raunin da aka hade ta tushen IPs na musamman suka lura da hare-hare (ko yunkurin hare-hare da aka gani, idan ka yi zaɓin haɗin yunkurin ƙididdiga). Ana samar da bayanai daga hadin sadarwar firikwensi na honeypot din mu. Ana tattara bayanai ta hanyar raunin da aka azabtar. Har ila yau, ya hada da taswirar CISA Sanannun Rauni na Yin Amfani (ciki har da ko an san shi da azabtarwa daga rukunin wani ransomware) kazalika da ko harin na a kan wani na'urar IoT maimakon aikace-aikacen uwar garke.

Ta asali nuni yana nuna mafi yawan raunin da aka yi amfani na dukan duniya, amma kuma zaka iya tace ta ƙasa ko hadewa ko nuna tebur karkace a maimakon hakan.

Ƙididdigar Hari: Na'urori

Wannan kunshin bayanai da kuma alakar hange na samar da wani hoto a kullum na ire-iren na'urori masu kai hari yadda hadin sadarwar firikwensi na honeypot din mu ya gano. Bugun yatsa na wadannan na'urorin yana faruwa ta sikanin din mu na yau da kullum. Kunshin bayanan suna ba da damar bin diddigin wasu nau'ikan hare-hare, masu siyar da na'urori ko samfura kuma ana iya tace su ta ƙasa.

Haka nan kamar yadda yake a “Ƙididdiga na gabaɗaya”, da bambanci shi ne cewa maimakon yin amfani da tushe da lakkuba zaka iya duba (da kuma hade ta) irin hari, na'urar mai sayarwa ko samfuri maimakon hakan.

Ƙarin rukuni na hange - kulawa, an kuma kara shi:

Wannan tebur ne na yau da kullum da aka sabunta na mafi yawan na'urorin kai hari da aka gani ta hanyar tushen IPs na musamman sun lura da kai hari (ko ƙoƙarin kai hari da aka gani, idan ka zaɓi zaɓin haɗin ƙoƙarin ƙididdiga). Kamar yadda yake a cikin duk bayanan da aka nuna a cikin wannan rukunin an samo shi daga hadin sadarwar firikwensin honeypot din mu. An yi masa rukuni ta hanyar nau'in harin da aka gani, mai sayarwa da samfuri (idan akwai). Muna ƙayyade na'ura mai kai hari ta hanyar haɗa IPs da aka gani tare da sakamakon sikanin bugun yatsa na yau da kullum na na'urarmu (dubi sashin "ƙididdigar na'urar IoT").

Ta asali nuni yana nuna mafi yawan na'urorin masu kai hari (ta tushe) wanda aka ga harin (wannan ya hada da lokuta inda ba za mu iya gano na'urar ba ko alal misali, kawai gano mai sayarwa). Kuna iya zaɓar tace ta wata ƙasa ko hadi ko nuna teburin a karkace maimakon hakan.

UK FCDO ce ta ba da kuɗin haɓaka Dashbod ɗin Shadowserver. Ƙididdiga na bugun yatsa na na'urar IoT da kididdigar hari na honeypot da haɗin gwiwar Haɗin Kayan Turai na Tarayyar Turai (EU CEF VARIoT project).

Muna so mu gode wa duka abokan haɗinkanmu waɗanda ke ba da gudummawa mai kyau ga bayanan da aka yi amfani da su a cikin Shadowserver Dashbod, gami da (bisa harrufa) Ciyarwar Al’umma na APNIC, CISPA, if-is.net, Kryptos Logic, SecurityScorecard , Jami'ar Kasa ta Yokohama da duka waɗanda suka zaɓi su zama a fakaice.

Shadowserver yana amfani da kukis don tattara kididdiga. Wannan yana ba mu damar auna yadda ake amfani da wurin yanar gizon da inganta ɗandanawar masu amfani na mu. Don ƙarin bayani game da kukis da yadda Shadowserver ke amfani da su, dubi namumanufofin sirri. Muna buƙatar yardar ku don amfani da kukis ta wannan hanya akan na'urarku.