Hilfe

Allgemeine Hilfe

Dashboard-Übersicht

Das Shadowserver-Dashboard zeigt übergeordnete Statistiken, welche die wichtigsten Datensätze widerspiegeln, die Shadowserver durch seine täglichen Aktivitäten in über 100 täglichen Berichten sammelt und weitergibt. Die Datensätze ermöglichen die Identifizierung der exponierten Angriffsfläche, Schwachstellen, Fehlkonfigurationen, Kompromittierungen von Netzwerken sowie Beobachtungen von Angriffen. Die Daten, die in Form von Berichten weitergegeben werden, enthalten detaillierte Informationen auf IP-Ebene über einzelne Netzwerke oder Zielgruppen. Das Shadowserver-Dashboard lässt diesen Detailgrad nicht zu. Stattdessen zeigt es übergeordnete Statistiken, welche diese Aktivitäten widerspiegeln. Dies gibt Einblicke in die neuesten Bedrohungen, Schwachstellen und Vorfälle und stellt einer breiteren Gemeinschaft ein aktuelles Lagebild zur Verfügung. Die Anonymität aller beteiligten Parteien bleibt dabei gewahrt.

Quellen und Tags

Die Datenpräsentation ist in Quellen und Tags organisiert. Eine Quelle ist im Wesentlichen eine Gruppierung von Daten irgendeiner Form. Die grundlegenden Quellen sind honeypot, population, scan und sinkhole. Sowohl Population als auch Scan sind scanbasierte Datensätze, wobei Population die Anzahl der exponierten Endpunkte ohne eine Bewertung von Schwachstellen bzw. der Sicherheit darstellt. Das Suffix 6 steht für IPv6-Daten (alle Einträge ohne das Suffix beziehen sich auf IPv4-Daten).

Quellen können mit Tags versehen werden, die zusätzlichen Kontext für die dargestellten Daten liefern. Zum Beispiel enthalten Tags für scan die verschiedenen Scan-Typen (d. h. die gescannten Dienste/Protokolle wie telnet, ftp oder rdp). Tags für sinkhole spiegeln die eigentlichen Schadprogramm-Familien wider, die eine Verbindung zu einem Sinkhole herstellen (d. h. Hosts, die mit einem Schadprogramm aus einer Familie wie adload, andromeda oder necurs infiziert sind).

Tags bieten zusätzliche Einblicke in die angezeigten Daten.

Außerdem führen wir zusätzliche Quellengruppierungen ein, um Beobachtungen zu verwundbaren oder kompromittierten Hosts besser darstellen zu können – zum Beispiel http_vulnerable oder compromised_website. Diese enthalten in der Regel Tags für bestimmte CVE-Schwachstellen, betroffene Hersteller oder Produkte sowie Informationen über Backdoors, Webshells oder eingeschleusten Schadcode enthalten. Ein Beispiel für http_vulnerable wäre citrix oder cve-2023-3519.

Wenn wir weitere Erkennungen zu unseren Datensätzen hinzufügen, führt dies auch zu mehr Tags. Das bedeutet, dass neue Quellenkategorien zur Auswahl stehen können. Ein Beispiel: Obwohl snmp ein Tag für die Quelle scan ist, wird es auch selbst als Quelle angezeigt. Dadurch können wir die Ergebnisse von SNMP-Scans detaillierter darstellen, sodass spezifische SNMP-Scanergebnisse im Zusammenhang mit einer Schwachstelle wie cve-2017-6736 angezeigt werden können.

Direkte Links zu Datenkategorien: Linke Navigationsleiste

Die angezeigten Datensätze werden durch verschiedene groß angelegte Erfassungsmethoden gesammelt, darunter Sinkholing, Scanning und Honeypots. Diese Hauptkategorien der Datensätze sind in der linken Navigationsleiste zu finden. Jede dieser Kategorien wird durch ein anderes Symbol repräsentiert.

Ziel ist es, einen schnelleren Einstieg in bestimmte Quellen-Kategorien zu ermöglichen. Zum Beispiel:

  • Sinkholes - bietet einen Überblick über Datensätze, die in der Quelle sinkhole gruppiert sind. Sie können dann bestimmte Sinkhole-Ergebnisse anzeigen lassen, indem Sie ein Tag oder eine Gruppe von Tags auswählen.
  • Scans - bietet einen Überblick über Datensätze, die in der Quelle scan gruppiert sind (diese Kategorie enthält Scan-Ergebnisse für Dienste, mit denen irgendeine Art von Sicherheitsproblem verbunden ist. Sie können auch Ergebnisse von Population-Scans anzeigen lassen, indem Sie stattdessen die Quelle population auswählen). Sie können dann bestimmte Scan-Ergebnisse anzeigen lassen, indem Sie ein Tag oder eine Gruppe von Tags auswählen.
  • Honeypots - bietet einen Überblick über Datensätze, die in der Quelle honeypot gruppiert sind. Sie können dann bestimmte Honeypot-Ergebnisse anzeigen lassen, indem Sie ein Tag oder eine Gruppe von Tags auswählen.
  • DDoS – bietet einen Überblick über Datensätze, gruppiert in der Quelle honeypot_ddos_amp. Dabei handelt es sich um DDoS-Amplification-Angriffe, die von verschiedenen Zielen in einem bestimmten Land/einer bestimmten Region beobachtet wurden. Sie können dann bestimmte Amplification-Methoden anzeigen lassen, indem Sie ein Tag oder eine Gruppe von Tags auswählen.
  • ICS – bietet einen Überblick über Datensätze, die in der Quelle -ics gruppiert sind (das sind Scan-Ergebnisse nativer Protokolle von Industrie-Steuerungssystemen). Sie können dann die verwendeten nativen Protokolle anzeigen lassen, indem Sie ein Tag oder eine Gruppe von Tags auswählen.
  • Web CVEs – bietet einen Überblick über Datensätze, die nach http_vulnerable oder exchange gruppiert sind. Dies sind verwundbare Webanwendungen, die bei unseren Scans typischerweise nach CVE identifiziert wurden. Sie können die CVEs oder betroffenen Produkte anzeigen lassen, indem Sie ein Tag oder eine Gruppe von Tags auswählen.

Die Datensätze können nach Ländern oder Ländergruppen, Regionen und Kontinenten aufgeschlüsselt werden.

Jeder Datensatz wird auch unter „Über diese Daten“ beschrieben.

Bitte beachten Sie, dass über die genannten Datensätze hinaus noch weitere verfügbar sind. Mit der Quelle beacon können Sie zum Beispiel Post-Exploitation-Framework C2s untersuchen, die wir in unseren Scans sehen, und mit der Quelle compromised_website kompromittierte Web-Endpunkte.

Obere Navigationsleiste

Die obere Navigationsleiste ermöglicht verschiedene Visualisierungsoptionen für die Datenpräsentation sowie für die Visualisierung von Geräteidentifizierungs- und Angriffsbeobachtungsdatensätzen.

Allgemeine Statistik

Allgemeine Statistiken beinhalten die Möglichkeit, jede Quelle und jedes Tag zu visualisieren, indem Folgendes ausgewählt wird:

  • Weltkarte – eine Weltkartenanzeige mit ausgewählten Quellen und Tags. Zu den zusätzlichen Funktionen gehören: Die Möglichkeit, die Anzeige so umzuschalten, dass die häufigsten Tags pro Land und Quelle angezeigt werden, Normalisierung nach der Anzahl von Einwohnern oder Internetnutzern in einem Land, dem Bruttoinlandsprodukt u.a. Sie können auch Markierungen auf der Karte auswählen, um Werte pro Land anzeigen zu lassen.
  • Regionalkarte – eine Kartendarstellung auf Länderebene mit Unterteilung der Länder in Regionen und Provinzen.
  • Vergleichskarte – eine Vergleichskarte von zwei Ländern.
  • Zeitreihe – ein Diagramm, das Kombinationen von Quelle und Tag im Zeitverlauf zeigt. Beachten Sie, dass hier verschiedene Formen der Datengruppierung zugelassen sind (nicht nur nach Land).
  • Visualisierung – bietet verschiedene Optionen zum Aufschlüsseln der Datensätze, einschließlich von Durchschnittswerten im Zeitverlauf. Ermöglicht die Anzeige von Daten in Form von Tabellen, Balkendiagrammen, Blasendiagrammen und mehr.

IoT-Gerätestatistiken (Geräte-Identifikationsstatistiken)

Dieser Datensatz und die damit verbundenen Visualisierungen bieten eine tägliche Momentaufnahme exponierter Endpunkte, die durch unsere Scans identifiziert wurden, gruppiert nach Herstellern und deren Produkten. Die Daten sind nach Hersteller, Modell und Gerätetyp kategorisiert. Diese werden auf verschiedene Weise identifiziert, z. B. durch Webseiteninhalte, SSL/TLS-Zertifikate, angezeigte Banner usw. Die Datensätze enthalten nur Populationsdaten, d. h. es wird keine Bewertung der exponierten Endpunkte hinsichtlich damit verbundener Schwachstellen vorgenommen (um diese zu finden, wählen Sie stattdessen Quellen wie z. B. http_vulnerable unter „Allgemeine Statistiken“).

Es gibt ähnliche Visualisierungsdiagramme wie in „Allgemeine Statistiken“, mit dem Unterschied, dass Sie statt Quellen und Tags auch Hersteller, Modelle und Gerätetypen anzeigen (und nach diesen gruppieren) lassen können.

Angriffsstatistiken: Schwachstellen

Dieser Datensatz und damit verbundene Visualisierungen bieten eine tägliche Momentaufnahme der von unserem Honeypot-Sensornetzwerk beobachteten Angriffe, wobei der Schwerpunkt auf den ausgenutzten Schwachstellen liegt. Sie können sich die Produkte ansehen, die am häufigsten angegriffen werden, und herausfinden, wie sie angegriffen werden (d. h. über welche Schwachstelle, zu der möglicherweise eine bestimmte CVE gehört). Sie können auch Diagramme nach Quelle der Angriffe und Zielen anzeigen lassen.

Es gibt ähnliche Visualisierungsdiagramme wie in „Allgemeine Statistiken“, mit dem Unterschied, dass Sie statt Quellen und Tags die Hersteller, die Schwachstelle sowie die Quelle und das Ziel der Angriffe anzeigen (und nach diesen gruppieren) lassen können.

Eine zusätzliche Visualisierungskategorie – Überwachung – wurde ebenfalls hinzugefügt:

Dies ist eine täglich aktualisierte Tabelle der am häufigsten ausgenutzten Schwachstellen, gruppiert nach der Anzahl verschiedener IPs, die als Angriffsquelle beobachtet wurden (oder Angriffsversuche, wenn Sie die Option „Statistik zu Verbindungsversuchen“ wählen). Die Daten stammen aus unserem Honeypot-Sensornetzwerk. Die Daten sind nach ausgenutzten Schwachstellen gruppiert. Sie enthalten auch Zuordnungen zu den Known Exploited Vulnerabilities (bekannte ausgenutzte Schwachstellen) der CISA (einschließlich der Angabe, ob die Schwachstelle bekanntermaßen von einer Ransomware-Gruppe ausgenutzt wird) sowie die Angabe, ob sich der Angriff gegen ein IoT-Gerät statt gegen eine Serveranwendung richtet.

Standardmäßig werden die am häufigsten ausgenutzten Schwachstellen für die ganze Welt angezeigt, aber Sie können auch nach einzelknen Ländern oder bestimmten Gruppierungen filtern oder stattdessen eine Anomalie-Tabelle anzeigen lassen.

Angriffsstatistiken: Geräte

Dieser Datensatz und die damit verbundenen Visualisierungen liefern eine tägliche Momentaufnahme der angreifenden Gerätetypen, die von unserem Honeypot-Sensornetzwerk beobachtet wurden. Die Erkennung der Gerätetypen erfolgt durch unsere täglichen Scans. Die Datensätze ermöglichen die Nachverfolgung einzelner Angriffsarten, Gerätehersteller oder -modelle und können nach Ländern gefiltert werden.

Es gibt ähnliche Diagramme wie unter „Allgemeine Statistiken“, mit dem Unterschied, dass Sie statt Quellen und Tags auch die Angriffsart, den Hersteller oder das Modell anzeigen (und danach gruppieren) lassen können.

Eine zusätzliche Visualisierungskategorie – Überwachung – wurde ebenfalls hinzugefügt:

Hierbei handelt es sich um eine täglich aktualisierte Tabelle der am häufigsten angreifenden Geräte nach verschiedenen Quell-IPs, die bei Angriffen beobachtet wurden (oder nach gesehenen Angriffsversuchen, wenn Sie die Option „Statistik zu Verbindungsversuchen“ auswählen). Wie alle in dieser Kategorie angezeigten Datensätze stammen sie aus unserem Honeypot-Sensornetzwerk. Sie sind gruppiert nach Art des beobachteten Angriffs, Hersteller und Modell (falls verfügbar). Wir ermitteln das angreifende Gerät, indem wir die beobachteten IPs mit den Ergebnissen unserer täglichen Geräte-Scan-Fingerprints korrelieren (siehe den Abschnitt „IoT-Gerätestatistiken“).

Standardmäßig werden die am häufigsten angreifenden Geräte (nach Quelle) angezeigt, die bei Angriffen beobachtet wurden (dies schließt Fälle ein, in denen wir ein Gerät nicht identifizieren können oder beispielsweise nur einen Hersteller identifizieren). Sie können nach einem bestimmten Land oder einer bestimmten Gruppierung filtern oder stattdessen eine Anomalie-Tabelle anzeigen lassen.

Die Entwicklung des Shadowserver-Dashboards wurde vom UK FCDO finanziert. IoT-Geräte-Fingerprinting-Statistiken und Honeypot-Angriffsstatistiken kofinanziert durch die Fazilität „Connecting Europe“ der Europäischen Union (EU CEF VARIoT-Projekt).

Wir möchten uns bei allen unseren Partnern bedanken, die freundlicherweise Daten für das Shadowserver-Dashboard zur Verfügung stellen, darunter (alphabetisch) APNIC Community Feeds, Bitsight, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University und alle, die anonym bleiben wollen.

Shadowserver verwendet Cookies, um Analysedaten zu sammeln. Dadurch können wir messen, wie die Seite genutzt wird und die Erfahrung für unsere Nutzer verbessern. Weitere Informationen zu Cookies und wie Shadowserver sie verwendet, finden Sie in unserer Datenschutzerklärung. Wir benötigen Ihre Zustimmung, um Cookies auf diese Weise auf Ihrem Gerät zu verwenden.