Dashboard-Übersicht
Das Shadowserver Dashboard präsentiert übergeordnete Statistiken, die die wichtigsten Datensätze widerspiegeln, die Shadowserver durch seine täglichen Aktivitäten in über 100 täglichen Berichten sammelt und weitergibt. Die Datensätze ermöglichen die Identifizierung der exponierten Angriffspunkte, Sicherheitslücken, Falschkonfigurationen, Kompromittierungen von Netzwerken sowie Beobachtungen von Angriffen. Die Daten, die in Form von Berichten weitergegeben werden, enthalten detaillierte Informationen auf IP-Ebene über ein bestimmtes Netzwerk oder eine bestimmte Constituency. Das Shadowserver Dashboard lässt diesen Detailgrad nicht zu. Stattdessen präsentiert es übergeordnete Statistiken, die diese Aktivitäten widerspiegeln. Dies ermöglicht Einblicke in die neuesten Bedrohungen, Sicherheitslücken und Vorfälle und vermittelt der breiteren Community ein Situationsbewusstsein. Die Anonymität aller beteiligten Parteien bleibt dabei gewahrt.
Quellen und Tags
Die Datenpräsentation ist mit Quellen und Tags organisiert. Eine Quelle ist im Wesentlichen eine Datengruppierung in irgendeiner Form. Die grundlegenden Quellen sind honeypot
, population
, scan
, sinkhole
. Sowohl Population als auch Scan sind scanbasierte Datensätze, wobei Population eine Zählung der gefährdeten Endpunkte ohne eine Bewertung der Sicherheitslücken/Sicherheit darstellt. Das Suffix 6
steht für IPv6-Daten (alle Einträge ohne das Suffix beziehen sich auf IPv4-Daten).
Quellen können mit Tags versehen werden, die zusätzlichen Kontext für die dargestellten Daten liefern. Zum Beispiel enthalten Tags für scan
die verschiedenen Scan-Typen (d. h. die gescannten Dienste/Protokolle wie telnet
, ftp
und rdp
). Tags für sinkhole
würden die tatsächlichen Malware-Familien widerspiegeln, die eine Verbindung zu einem Sinkhole herstellen (d. h. Hosts, die von einem Malware-Familientyp wie adload
, andromeda
und necurs
infiziert sind).
Tags bieten zusätzliche Einblicke in die präsentierten Daten.
Außerdem führen wir zusätzliche Quellengruppierungen ein, um Beobachtungen zu anfälligen oder kompromittierten Hosts besser widerzuspiegeln – zum Beispiel http_vulnerable
oder compromised_website
. Diese enthalten in der Regel Tags, die bestimmte CVE-Sicherheitslücken, betroffene Hersteller oder Produkte oder Informationen über Backdoors, Webshells oder eingeschleuste Viren enthalten. Ein Beispiel für http_vulnerable
wäre citrix
oder cve-2023-3519
.
Wenn wir schließlich mehr Erkennungen zu unseren Datensätzen hinzufügen, erhalten wir auch mehr Tags. Das bedeutet, dass neue Quellenkategorien zur Auswahl stehen können. Ein Beispiel: Obwohl snmp
ein Tag ist, das in der Quelle scan
vorkommt, wird es auch als Quelle angezeigt. Dadurch können wir die Ergebnisse von SNMP-Scans detaillierter darstellen, sodass bestimmte SNMP-Scanergebnisse im Zusammenhang mit einer Sicherheitslücke wie cve-2017-6736
angezeigt werden können.
Verknüpfungen zu Datenkategorien: Linke Navigationsleiste
Die präsentierten Datensätze wurden durch verschiedene groß angelegte Erfassungsmethoden gesammelt, darunter Sinkholing, Scanning und Honeypots. Diese Hauptkategorien der Datensätze sind in der linken Navigationsleiste zu finden. Jede Art von Kategorie wird durch ein anderes Symbol symbolisiert.
Ziel ist es, einen schnelleren Einstieg in bestimmte Quellen-Kategorien zu ermöglichen. Als Beispiel:
-
Sinkholes – bietet einen Überblick über Datensätze, die nach Quellen-
sinkhole
gruppiert sind. Sie können dann ein bestimmtes Sinkhole-Ergebnis anzeigen, indem Sie ein Tag oder eine Gruppe von Tags auswählen. -
Scans – bietet einen Überblick über Datensätze, die nach Quellen-
scan
gruppiert sind (diese Kategorie enthält Scan-Ergebnisse für Dienste, mit denen irgendeine Art von Sicherheitsproblem verbunden ist. Sie können auch Ergebnisse von Population-Scans anzeigen, indem Sie stattdessen Quellen-population
auswählen). Sie können dann ein bestimmtes Scan-Ergebnis anzeigen, indem Sie ein Tag oder eine Gruppe von Tags auswählen. -
Honeypots – bietet einen Überblick über Datensätze, die nach Quellen-
honeypot
gruppiert sind. Sie können dann ein bestimmtes Honeypot-Ergebnis anzeigen, indem Sie ein Tag oder eine Gruppe von Tags auswählen. -
DDoS – bietet einen Überblick über Datensätze, gruppiert nach Quellen-
honeypot_ddos_amp
. Dabei handelt es sich um DDoS-Amplification-Angriffe, die von eindeutigen Zielen in einem bestimmten Land/einer bestimmten Region gesehen wurden. Sie können sich dann eine bestimmte Amplification-Methode ansehen, indem Sie ein Tag oder eine Gruppe von Tags auswählen. -
ICS – bietet einen Überblick über Datensätze, die nach Quellen-
ics
gruppiert sind (das sind Scan-Ergebnisse nativer industrieller Leittechnik-Protokolle). Sie können dann die verwendeten nativen Protokolle anzeigen, indem Sie ein Tag oder eine Gruppe von Tags auswählen. -
Web CVEs – bietet einen Überblick über Datensätze, die nach
http_vulnerable
undexchange
gruppiert sind. Dies sind anfällige Webanwendungen, die bei unseren Scans typischerweise nach CVE identifiziert wurden. Sie können die CVEs oder betroffenen Produkte anzeigen, indem Sie ein Tag oder eine Gruppe von Tags auswählen.
Die Datensätze können nach Ländern oder Ländergruppen, Regionen und Kontinenten aufgeschlüsselt werden.
Jeder Datensatz wird auch unter „Über diese Daten“ beschrieben.
Bitte beachten Sie, dass neben den hervorgehobenen Daten noch weitere Datensätze verfügbar sind. Mit dem Quellen-beacon
können Sie zum Beispiel das Post-Exploitation-Framework-C2 untersuchen, das wir in unseren Scans sehen, und mit der Quellen-compromised_website
können Sie die kompromittierten Web-Endpunkte untersuchen, die wir in unseren Scans sehen.
Obere Navigationsleiste
Die obere Navigationsleiste ermöglicht verschiedene Visualisierungsoptionen für die Datenpräsentation sowie für die Visualisierung von Geräteidentifizierungs- und Angriffsbeobachtungsdatensätzen.
Allgemeine Statistik
Allgemeine Statistiken beinhalten die Möglichkeit, jede Quelle und jedes Tag zu visualisieren, indem Folgendes ausgewählt wird:
- Weltkarte – eine Weltkartenanzeige mit ausgewählten Quellen und Tags. Zu den zusätzlichen Funktionen gehören: die Möglichkeit, die Anzeige so umzuschalten, dass die häufigsten Tags pro Land und Quelle angezeigt werden, Normalisierung nach Population, BIP, Verbindungsnutzer usw. Sie können auch Markierungen auf der Karte auswählen, um Werte pro Land anzuzeigen.
- Regionskarte – eine Kartendarstellung auf Länderebene mit Unterteilung der Länder in Regionen und Provinzen.
- Vergleichskarte – eine Vergleichskarte von zwei Ländern.
- Zeitreihe – ein Diagramm, das Quelle und Tag-Kombinationen im Zeitverlauf zeigt. Beachten Sie, dass es verschiedene Formen der Datengruppierung zulässt (nicht nur nach Land).
- Visualisierung – bietet verschiedene Optionen zum Aufschlüsseln der Datensätze, einschließlich Durchschnittswerte im Zeitverlauf. Ermöglicht die Anzeige von Daten in Form von Tabellen, Balkendiagrammen, Blasendiagrammen und mehr.
IoT-Gerätestatistiken (Geräteidentifikationsstatistiken)
Dieser Datensatz und die dazugehörigen Visualisierungen bieten eine tägliche Momentaufnahme der gefährdeten Endpunkte, gruppiert nach gefährdeten Herstellern und deren Produkten, die durch unsere Scans identifiziert wurden. Die Daten sind nach Hersteller, Modell und Gerätetyp kategorisiert. Diese werden auf verschiedene Weise identifiziert, z. B. durch Webseiteninhalte, SSL/TLS-Zertifikate, angezeigte Banner usw. Die Datensätze enthalten nur Populationsdaten, d. h. es wird keine Bewertung der mit den exponierten Endpunkten verbundenen Sicherheitslücken vorgenommen (um diese zu finden, wählen Sie stattdessen Quellen wie z. B. http_vulnerable
unter „Allgemeine Statistiken“).
Es gibt ähnliche Visualisierungsdiagramme wie in „Allgemeine Statistiken“, mit dem Unterschied, dass Sie statt Quellen und Tags auch Hersteller, Modelle und Gerätetypen anzeigen (und nach diesen gruppieren) können.
Angriffsstatistiken: Sicherheitslücken
Dieser Datensatz und die dazugehörigen Visualisierungen bieten eine tägliche Momentaufnahme der von unserem Honeypot-Sensornetzwerk beobachteten Angriffe, wobei der Schwerpunkt auf den zur Ausnutzung verwendeten Sicherheitslücken liegt. Sie können sich die Produkte ansehen, die am häufigsten angegriffen werden, und herausfinden, wie sie angegriffen werden (d. h. durch welche Sicherheitslücke, zu der möglicherweise die bestimmte CVE gehört, die ausgenutzt wird). Sie können auch Diagramme nach Quelle der Angriffe und Zielen anzeigen.
Es gibt ähnliche Visualisierungsdiagramme wie in „Allgemeine Statistiken“, mit dem Unterschied, dass Sie statt Quellen und Tags die Hersteller, die Sicherheitslücke sowie die Quelle und das Ziel der Angriffe anzeigen (und nach diesen gruppieren) können.
Eine zusätzliche Visualisierungskategorie – Überwachung – wurde ebenfalls hinzugefügt:
Dies ist eine täglich aktualisierte Tabelle der am häufigsten ausgenutzten Sicherheitslücken, gruppiert nach eindeutigen Quell-IPs, die als Angreifer beobachtet wurden (oder gesehene Angriffsversuche, wenn Sie die Option „Statistik für Verbindungsversuche“ wählen). Die Daten stammen aus unserem Honeypot-Sensornetzwerk. Die Daten sind nach ausgenutzten Sicherheitslücken gruppiert. Sie enthalten auch Zuordnungen zu den Known Exploited Vulnerabilities (bekannte ausgenutzte Sicherheitslücken) der CISA (einschließlich der Angabe, ob die Sicherheitslücke bekanntermaßen von einer Ransomware-Gruppe ausgenutzt wird) sowie die Angabe, ob sich der Angriff gegen ein IoT-Gerät und nicht gegen eine Serveranwendung richtet.
Standardmäßig werden die am häufigsten ausgenutzten Sicherheitslücken für die ganze Welt angezeigt, aber Sie können auch nach einem bestimmten Land oder einer bestimmten Gruppierung filtern oder stattdessen eine Anomalie-Tabelle anzeigen.
Angriffsstatistiken: Geräte
Dieser Datensatz und die dazugehörigen Visualisierungen liefern eine tägliche Momentaufnahme der Arten von angreifenden Geräten, die von unserem Honeypot-Sensornetzwerk gesehen werden. Die Fingerprints dieser Geräte werden durch unsere täglichen Scans erstellt. Die Datensätze ermöglichen die Verfolgung bestimmter Angriffsarten, Gerätehersteller oder -modelle und können nach Ländern gefiltert werden.
Es gibt ähnliche Diagramme wie unter „Allgemeine Statistiken“, mit dem Unterschied, dass Sie statt Quellen und Tags auch die Angriffsart, den Hersteller oder das Modell anzeigen (und danach gruppieren) können.
Eine zusätzliche Visualisierungskategorie – Überwachung – wurde ebenfalls hinzugefügt:
Hierbei handelt es sich um eine täglich aktualisierte Tabelle der am häufigsten angegriffenen Geräte nach eindeutigen Quell-IPs, die bei Angriffen beobachtet wurden (oder nach gesehenen Angriffsversuchen, wenn Sie die Option „Statistik der Verbindungsversuche“ auswählen). Wie alle in dieser Kategorie angezeigten Datensätze stammen sie aus unserem Honeypot-Sensornetzwerk. Sie sind gruppiert nach Art des beobachteten Angriffs, Hersteller und Modell (falls verfügbar). Wir ermitteln das angreifende Gerät, indem wir die gesehenen IPs mit den Ergebnissen unserer täglichen Geräte-Scan-Fingerprints korrelieren (siehe den Abschnitt „IoT-Gerätestatistiken“).
Standardmäßig zeigt die Anzeige die am häufigsten angegriffenen Geräte (nach Quelle) an, die bei Angriffen beobachtet wurden (dies schließt Fälle ein, in denen wir ein Gerät nicht identifizieren können oder beispielsweise nur einen Hersteller identifizieren). Sie können nach einem bestimmten Land oder einer bestimmten Gruppierung filtern oder stattdessen eine Anomalie-Tabelle anzeigen lassen.