Az irányítópult áttekintése
A Shadowserver irányítópultja a Shadowserver által gyűjtött és a napi tevékenységei során több mint 100 napi beszámoló keretében megosztott fő adathalmazokból készített, magas szintű statisztikákat mutat be. Az adathalmazok lehetővé teszik a védtelen támadási felület, a sebezhetőségek, a rossz konfigurációk, a kompromittált hálózatok és a megfigyelt támadások azonosítását. A beszámolók formájában megosztott adatok részletes, IP-szintű információkat tartalmaznak egy adott hálózattal vagy körzettel kapcsolatban. A Shadowserver irányítópultja nem tesz lehetővé ilyen szintű részletességet. Ehelyett az ezeket a tevékenységeket tükröző, magas szintű statisztikákat mutat be. Ez lehetőséget ad betekinteni a legújabb felbukkanó fenyegetésekbe, sebezhetőségekbe és eseményekbe, biztosítva a helyzet ismeretét a szélesebb körű közösség számára úgy, hogy közben megőrzi minden érintett fél anonimitását.
Források és címkék
Az adatok bemutatása források és címkék köré szerveződik. A forrás lényegében egyfajta adatcsoportosítás. Az alapforrások a következők: honeypot
, population
, scan
, sinkhole
. A populáció és a pásztázás egyaránt pásztázásalapú adathalmaz, a populáció azonban úgy veszi számba a kitett végpontokat, hogy nem értékeli a sebezhetőséget/biztonságot. A 6
mint utótag IPv6-adatra utal (az utótag nélküli bejegyzések mind IPv4-adatra utalnak).
A forrásokhoz címkék kapcsolódhatnak, amelyek további kontextust biztosítanak a bemutatott adatoknak. A scan
kapcsolódó címkék például a tényleges különböző pásztázástípusokat foglalják magukban (vagyis a pásztázott szolgáltatásokat/protokollokat, például telnet
, ftp
és rdp
). A sinkhole
kapcsolódó címkék a sinkhole-hoz csatlakozó tényleges kártékony szoftvercsaládokat tükrözik (vagyis az olyan kártékony szoftvercsaládtípussal fertőzött gazdagépeket, mint például az adload
, az andromeda
és a necurs
).
A címkék további információkkal szolgálnak a bemutatott adatokról.
Emellett bevezettük a források további csoportosítását a sebezhető vagy kompromittált gazdagépekkel kapcsolatos megfigyelések jobb kifejezése érdekében – például http_vulnerable
vagy compromised_website
. Ezek jellemzően konkrét CVE-sebezhetőségeket, érintett gyártókat vagy termékeket, illetve látott hátsó kapukkal, webshellekkel vagy implantokkal kapcsolatos információkat tükröző címkéket tartalmaznak. A http_vulnerable
címkére példa a citrix
vagy cve-2023-3519
.
Végezetül, ahogy egyre több észlelést adunk az adathalmazainkhoz, egyre több címke keletkezik. Ez azt jelenti, hogy új választható forráskategóriák jelenhetnek meg. Például az snmp
a scan
forrásnál megtalálható címke, ugyanakkor forrásként is szerepel. Ez lehetővé teszi, hogy részletesebb eredményeket tegyünk közzé az snmp-pásztázásokból, ami lehetőséget ad például a cve-2017-6736
-hoz hasonló sebezhetőséghez kapcsolódó konkrét snmp-pásztázás eredményeinek megtekintésére.
Adatkategóriákra mutató gyorshivatkozás: Bal navigációs sáv
A bemutatott adathalmazok gyűjtése különböző nagy léptékű gyűjtési módszerek, például sinkholing, pásztázás és mézesbödönök segítségével történik. Az adathalmazok ezen fő kategóriái a bal navigációs sávról érhetők el; mindegyik kategóriatípust különböző ikon jelképezi.
A cél az, hogy gyorsabban el lehessen merülni egy-egy konkrét forráskategóriában. Például:
-
Sinkhole-ok – a
sinkhole
forrás szerint csoportosított áttekintést nyújt az adathalmazokról. Ezután egy adott sinkhole eredményei címke vagy címkecsoport kiválasztásával tekinthetők meg. -
Pásztázások – a
scan
forrás szerint csoportosított áttekintést nyújt az adathalmazokról (ebben a kategóriában olyan szolgáltatásokkal kapcsolatos pásztázások eredményei szerepelnek, amelyekhez valamilyen biztonsági probléma társul, a teljes populáción végzett pásztázás eredményei is megtekinthetők apopulation
forrást választva). Ezután egy adott pásztázás eredményei címke vagy címkecsoport kiválasztásával tekinthetők meg. -
Mézesbödönök – a
honeypot
forrás szerint csoportosított áttekintést nyújt az adathalmazokról. Ezután egy adott mézesbödön eredményei címke vagy címkecsoport kiválasztásával tekinthetők meg. -
DDoS – a
honeypot_ddos_amp
forrás szerint csoportosított áttekintést nyújt az adathalmazokról. Ezek egy adott országban/régióban található egyedi célpontok által látott amplifikációs DDoS-támadások. Ezután egy adott használt amplifikációs módszer címke vagy címkecsoport kiválasztásával tekinthető meg. -
ICS – az
ics
forrás szerint csoportosított áttekintést nyújt az adathalmazokról (ezek natív ipari vezérlőrendszeri protokollok pásztázási eredményei). Ezután a használt natív protokollok címke vagy címkecsoport kiválasztásával tekinthetők meg. -
Web CVE-k – a
http_vulnerable
ésexchange
forrás szerint csoportosított áttekintést nyújt az adathalmazokról. Ezek a pásztázásainkban jellemzően CVE szerint azonosított, sebezhető webes alkalmazások. A CVE-k vagy érintett termékek címke vagy címkecsoport kiválasztásával tekinthetők meg.
Az adathalmazok országok vagy országcsoportok, régiók és kontinensek szerint részletezhetők.
Az egyes adathalmazok leírása „Az adatokról” részben is megtalálható.
Figyelem, a kiemelteken kívül további adathalmazok is rendelkezésre állnak. A beacon
forrás például lehetővé teszi a pásztázásaink során látott post-exploitation framework C2-k felfedezését, a compromised_website
forrás pedig lehetőséget ad a pásztázásaink során látott kompromittált webes végpontok felfedezésére.
Felső navigációs sáv
A felső navigációs sáv többféle megjelenítési beállításra ad lehetőséget az adatok bemutatásához, valamint az eszközök azonosításának és a támadásmegfigyelési adathalmazoknak a megjelenítéséhez.
Általános statisztikák
Az általános statisztikák magukban foglalják bármely forrás és címke megjelenítését a következők kiválasztásával:
- Világtérkép – a kiválasztott forrásokat és címkéket bemutató világtérkép. További funkciók: lehetőség a leggyakoribb címke megjelenítésére országonként és forrásonként, normalizálás populáció, GDP, kapcsolattal rendelkező felhasználók stb. szerint. Jelölőket is kiválaszthat a térképen az értékek országok szerinti megjelenítéséhez.
- Régiótérkép – országszintű térkép, amelyen az országok régiókra és tartományokra vannak bontva.
- Összehasonlító térkép – két országot összehasonlító térkép.
- Idősor – források és címkék kombinációit idő szerint bemutató grafikon. Megjegyzés: lehetőséget ad különböző adatcsoportok létrehozására (nem csak ország szerint).
- Megjelenítés – különféle lehetőségeket kínál az adathalmazok részletesebb vizsgálatára, többek között átlagértékek megjelenítésére idő szerint. Lehetővé teszi az adatok megjelenítését táblázatok, oszlopdiagramok, buborékdiagramok stb. formájában.
IoT-eszközzel kapcsolatos statisztikák (eszközazonosítási statisztikák)
Ez az adathalmaz és a hozzá tartozó vizuális elemek napi szintű pillanatfelvételt adnak a védtelen végpontokról a pásztázásaink során azonosított, veszélynek kitett gyártók és termékek szerint csoportosítva. Az adatok gyártó, modell és eszköztípus szerint vannak kategorizálva. Ezek azonosítása különféle módszerekkel történik, többek között weboldaltartalom, SSL/TLS-tanúsítványok, megjelenített reklámszalagok stb. alapján. Az adathalmazok csak a populációra vonatkozó adatokat tartalmaznak, azaz nem tartalmazzák a védtelen végpontokhoz kapcsolódó sebezhetőségek semmilyen értékelését (ezek kereséséhez inkább válasszon forrásokat az „Általános statisztikák” alatt, például a http_vulnerable
forrást).
A megjeleníthető grafikonok hasonlóak, mint az „Általános statisztikák” alatt, azzal a különbséggel, hogy a források és címkék használata helyett az adatok gyártók, modellek és eszköztípusok szerint tekinthetők meg (és csoportosíthatók).
Támadási statisztikák: Sebezhetőségek
Ez az adathalmaz és a hozzá tartozó vizuális elemek napi szintű pillanatfelvételt adnak a mézesbödön érzékelőhálózatunk által észlelt támadásokról, különös tekintettel az eszközök kiaknázására használt sebezhetőségekre. Ez magában foglalja a leggyakrabban megtámadott termékek megtekintésének, valamint a támadási mód feltárásának lehetőségét (vagyis melyik kihasznált sebezhetőség alapján történt a támadás, ami magában foglalhatja a konkrét kihasznált CVE-t is). A támadások forrása és a célok szerinti grafikonok is megtekinthetők.
A megjeleníthető grafikonok hasonlóak, mint az „Általános statisztikák” alatt, azzal a különbséggel, hogy a források és címkék használata helyett az adatok gyártó, sebezhetőség, valamint a támadások forrása és célja szerint tekinthetők meg (és csoportosíthatók).
Újabb megjelenítési kategória került az adatok közé, a Figyelés:
Ez a leggyakoribb kihasznált sebezhetőségek frissített napi táblázata olyan egyedi forrás IP-címek szerint csoportosítva, amelyeknél támadás volt észlelhető (vagy támadási kísérlet volt látható, ha a csatlakozási kísérletek statisztikai lehetőséget választja). Az adatok forrásául mézesbödön érzékelőhálózatunk szolgál. Az adatok kihasznált sebezhetőségek szerint vannak csoportosítva. Magában foglalja a CISA által ismert kihasznált sebezhetőségekre való leképezést is (így azt is, hogy zsarolóvírusokkal dolgozó csoport ismerten kihasználta-e), valamint azt, hogy a támadás IoT-eszközzel szemben, nem pedig kiszolgálóalkalmazással szemben történt-e.
A képernyő alapértelmezetten az egész világon a leggyakrabban kihasznált sebezhetőségeket mutatja, de szűrhet adott ország vagy csoportosítás szerint, illetve anomáliatáblázatot is megjeleníthet.
Támadási statisztikák: Eszközök
Ez az adathalmaz és a hozzá tartozó vizuális elemek napi szintű pillanatfelvételt adnak a mézesbödön érzékelőhálózatunk által észlelt, támadást végrehajtó eszközök típusairól. Ezekről az eszközökről a napi pásztázásaink során készítünk ujjlenyomatot. Az adathalmazok lehetővé teszik konkrét támadástípusok, eszközgyártók vagy -modellek nyomon követését, és ország szerint szűrhetők.
A megjeleníthető grafikonok hasonlóak, mint az „Általános statisztikák” alatt, azzal a különbséggel, hogy a források és címkék használata helyett az adatok támadástípus, eszközgyártó vagy modell szerint tekinthetők meg (és csoportosíthatók).
Újabb megjelenítési kategória került az adatok közé, a figyelés:
Ez az olyan egyedi forrás IP-címek által látott, támadást végrehajtó leggyakoribb eszközök frissített napi táblázata, amelyeknél támadás volt észlelhető (vagy támadási kísérlet volt látható, ha a csatlakozási kísérletek statisztikai lehetőséget választja). Az ebben a kategóriában megjelenő összes adathalmazhoz hasonlóan az adatok forrásául mézesbödön érzékelőhálózatunk szolgál. A csoportosítás a látott támadástípus, gyártó és modell szerint történik (ha ezek rendelkezésre állnak). A támadást végrehajtó eszköz meghatározásához összevetjük a látott IP-címeket az eszközökről a napi pásztázások során készített ujjlenyomatokkal (lásd az „IoT-eszközzel kapcsolatos statisztikák” részt).
Alapértelmezés szerint a képernyőn a támadást végrehajtó leggyakoribb eszközök láthatók (forrás szerint) (ebbe beletartoznak azok az esetek, ahol az eszköz nem azonosítható vagy például csak a gyártó azonosítható). Szűrhet adott ország vagy csoportosítás szerint, illetve anomáliatáblázatot is megjeleníthet.