Súgó

Általános súgó

Az irányítópult áttekintése

A Shadowserver irányítópultja a Shadowserver által gyűjtött és a napi tevékenységei során több mint 100 napi beszámoló keretében megosztott fő adathalmazokból készített, magas szintű statisztikákat mutat be. Az adathalmazok lehetővé teszik a védtelen támadási felület, a sebezhetőségek, a rossz konfigurációk, a kompromittált hálózatok és a megfigyelt támadások azonosítását. A beszámolók formájában megosztott adatok részletes, IP-szintű információkat tartalmaznak egy adott hálózattal vagy körzettel kapcsolatban. A Shadowserver irányítópultja nem tesz lehetővé ilyen szintű részletességet. Ehelyett az ezeket a tevékenységeket tükröző, magas szintű statisztikákat mutat be. Ez lehetőséget ad betekinteni a legújabb felbukkanó fenyegetésekbe, sebezhetőségekbe és eseményekbe, biztosítva a helyzet ismeretét a szélesebb körű közösség számára úgy, hogy közben megőrzi minden érintett fél anonimitását.

Források és címkék

Az adatok bemutatása források és címkék köré szerveződik. A forrás lényegében egyfajta adatcsoportosítás. Az alapforrások a következők: honeypot, population, scan, sinkhole. A populáció és a pásztázás egyaránt pásztázásalapú adathalmaz, a populáció azonban úgy veszi számba a kitett végpontokat, hogy nem értékeli a sebezhetőséget/biztonságot. A 6 mint utótag IPv6-adatra utal (az utótag nélküli bejegyzések mind IPv4-adatra utalnak).

A forrásokhoz címkék kapcsolódhatnak, amelyek további kontextust biztosítanak a bemutatott adatoknak. A scan kapcsolódó címkék például a tényleges különböző pásztázástípusokat foglalják magukban (vagyis a pásztázott szolgáltatásokat/protokollokat, például telnet, ftp és rdp). A sinkhole kapcsolódó címkék a sinkhole-hoz csatlakozó tényleges kártékony szoftvercsaládokat tükrözik (vagyis az olyan kártékony szoftvercsaládtípussal fertőzött gazdagépeket, mint például az adload, az andromeda és a necurs).

A címkék további információkkal szolgálnak a bemutatott adatokról.

Emellett bevezettük a források további csoportosítását a sebezhető vagy kompromittált gazdagépekkel kapcsolatos megfigyelések jobb kifejezése érdekében – például http_vulnerable vagy compromised_website. Ezek jellemzően konkrét CVE-sebezhetőségeket, érintett gyártókat vagy termékeket, illetve látott hátsó kapukkal, webshellekkel vagy implantokkal kapcsolatos információkat tükröző címkéket tartalmaznak. A http_vulnerable címkére példa a citrix vagy cve-2023-3519.

Végezetül, ahogy egyre több észlelést adunk az adathalmazainkhoz, egyre több címke keletkezik. Ez azt jelenti, hogy új választható forráskategóriák jelenhetnek meg. Például az snmp a scan forrásnál megtalálható címke, ugyanakkor forrásként is szerepel. Ez lehetővé teszi, hogy részletesebb eredményeket tegyünk közzé az snmp-pásztázásokból, ami lehetőséget ad például a cve-2017-6736-hoz hasonló sebezhetőséghez kapcsolódó konkrét snmp-pásztázás eredményeinek megtekintésére.

Adatkategóriákra mutató gyorshivatkozás: Bal navigációs sáv

A bemutatott adathalmazok gyűjtése különböző nagy léptékű gyűjtési módszerek, például sinkholing, pásztázás és mézesbödönök segítségével történik. Az adathalmazok ezen fő kategóriái a bal navigációs sávról érhetők el; mindegyik kategóriatípust különböző ikon jelképezi.

A cél az, hogy gyorsabban el lehessen merülni egy-egy konkrét forráskategóriában. Például:

  • Sinkhole-ok – a sinkhole forrás szerint csoportosított áttekintést nyújt az adathalmazokról. Ezután egy adott sinkhole eredményei címke vagy címkecsoport kiválasztásával tekinthetők meg.
  • Pásztázások – a scan forrás szerint csoportosított áttekintést nyújt az adathalmazokról (ebben a kategóriában olyan szolgáltatásokkal kapcsolatos pásztázások eredményei szerepelnek, amelyekhez valamilyen biztonsági probléma társul, a teljes populáción végzett pásztázás eredményei is megtekinthetők a population forrást választva). Ezután egy adott pásztázás eredményei címke vagy címkecsoport kiválasztásával tekinthetők meg.
  • Mézesbödönök – a honeypot forrás szerint csoportosított áttekintést nyújt az adathalmazokról. Ezután egy adott mézesbödön eredményei címke vagy címkecsoport kiválasztásával tekinthetők meg.
  • DDoS – a honeypot_ddos_amp forrás szerint csoportosított áttekintést nyújt az adathalmazokról. Ezek egy adott országban/régióban található egyedi célpontok által látott amplifikációs DDoS-támadások. Ezután egy adott használt amplifikációs módszer címke vagy címkecsoport kiválasztásával tekinthető meg.
  • ICS – az ics forrás szerint csoportosított áttekintést nyújt az adathalmazokról (ezek natív ipari vezérlőrendszeri protokollok pásztázási eredményei). Ezután a használt natív protokollok címke vagy címkecsoport kiválasztásával tekinthetők meg.
  • Web CVE-k – a http_vulnerable és exchange forrás szerint csoportosított áttekintést nyújt az adathalmazokról. Ezek a pásztázásainkban jellemzően CVE szerint azonosított, sebezhető webes alkalmazások. A CVE-k vagy érintett termékek címke vagy címkecsoport kiválasztásával tekinthetők meg.
  • Kompromittált eszközök – a compromised_website, compromised_website6 és compromised_iot forrás szerint csoportosított áttekintést nyújt az adathalmazokról. Ezeket a veszélyeztetett eszközöket a vizsgálataink során, és más módszerekkel is azonosítottuk. További részleteket is megtekinthet, például a webshell típusát, ha kiválaszt egy címkét vagy címkecsoportot.
  • Post-Exploitation Framework-ök/C2 – a beacon forrás szerint csoportosított áttekintést nyújt az adathalmazokról. Ezek az általunk azonosított gazdagépeken a támadók által gyakran használt, post-exploitation framework-ök különböző típusait működtetik, vagy a rosszindulatú szoftverek vezérlő és irányítási infrastruktúráját futtatják. Az érintett keretrendszer vagy rosszindulatú szoftver nevét egy címke vagy címkecsoport kiválasztásával tekintheti meg.

Az adathalmazok országok vagy országcsoportok, régiók és kontinensek szerint részletezhetők.

Az egyes adathalmazok leírása „Az adatokról” részben is megtalálható.

Kérjük, vegye figyelembe, hogy a kiemelteken kívül további adatkészletek is rendelkezésre állnak. Például a(z) ip_tunnel forrás lehetővé teszi, hogy feltárja azokat a gazdagépeket, amelyek hitelesítés nélkül fogadják az alagútcsomagokat, és a(z) loop_dos forrás lehetővé teszi a Loop DoS támadásokkal szemben sebezhető gazdagépek feltárását.

Felső navigációs sáv

A felső navigációs sáv többféle megjelenítési beállításra ad lehetőséget az adatok bemutatásához, valamint az eszközök azonosításának és a támadásmegfigyelési adathalmazoknak a megjelenítéséhez.

Általános statisztikák

Az általános statisztikák magukban foglalják bármely forrás és címke megjelenítését a következők kiválasztásával:

  • Világtérkép – a kiválasztott forrásokat és címkéket bemutató világtérkép. További funkciók: lehetőség a leggyakoribb címke megjelenítésére országonként és forrásonként, normalizálás populáció, GDP, kapcsolattal rendelkező felhasználók stb. szerint. Jelölőket is kiválaszthat a térképen az értékek országok szerinti megjelenítéséhez.
  • Régiótérkép – országszintű térkép, amelyen az országok régiókra és tartományokra vannak bontva.
  • Összehasonlító térkép – két országot összehasonlító térkép.
  • Idősorforrások és címkék kombinációit idő szerint bemutató grafikon. Megjegyzés: lehetőséget ad különböző adatcsoportok létrehozására (nem csak ország szerint).
  • Megjelenítés – különféle lehetőségeket kínál az adathalmazok részletesebb vizsgálatára, többek között átlagértékek megjelenítésére idő szerint. Lehetővé teszi az adatok megjelenítését táblázatok, oszlopdiagramok, buborékdiagramok stb. formájában.

IoT-eszközzel kapcsolatos statisztikák (eszközazonosítási statisztikák)

Ez az adathalmaz és a hozzá tartozó vizuális elemek napi szintű pillanatfelvételt adnak a védtelen végpontokról a pásztázásaink során azonosított, veszélynek kitett gyártók és termékek szerint csoportosítva. Az adatok gyártó, modell és eszköztípus szerint vannak kategorizálva. Ezek azonosítása különféle módszerekkel történik, többek között weboldaltartalom, SSL/TLS-tanúsítványok, megjelenített reklámszalagok stb. alapján. Az adathalmazok csak a populációra vonatkozó adatokat tartalmaznak, azaz nem tartalmazzák a védtelen végpontokhoz kapcsolódó sebezhetőségek semmilyen értékelését (ezek kereséséhez inkább válasszon forrásokat az „Általános statisztikák” alatt, például a http_vulnerable forrást).

A megjeleníthető grafikonok hasonlóak, mint az „Általános statisztikák” alatt, azzal a különbséggel, hogy a források és címkék használata helyett az adatok gyártók, modellek és eszköztípusok szerint tekinthetők meg (és csoportosíthatók).

Támadási statisztikák: Sebezhetőségek

Ez az adathalmaz és a hozzá tartozó vizuális elemek napi szintű pillanatfelvételt adnak a mézesbödön érzékelőhálózatunk által észlelt támadásokról, különös tekintettel az eszközök kiaknázására használt sebezhetőségekre. Ez magában foglalja a leggyakrabban megtámadott termékek megtekintésének, valamint a támadási mód feltárásának lehetőségét (vagyis melyik kihasznált sebezhetőség alapján történt a támadás, ami magában foglalhatja a konkrét kihasznált CVE-t is). A támadások forrása és a célok szerinti grafikonok is megtekinthetők.

A megjeleníthető grafikonok hasonlóak, mint az „Általános statisztikák” alatt, azzal a különbséggel, hogy a források és címkék használata helyett az adatok gyártó, sebezhetőség, valamint a támadások forrása és célja szerint tekinthetők meg (és csoportosíthatók).

Újabb megjelenítési kategória került az adatok közé, a Figyelés:

Ez a leggyakoribb kihasznált sebezhetőségek frissített napi táblázata olyan egyedi forrás IP-címek szerint csoportosítva, amelyeknél támadás volt észlelhető (vagy támadási kísérlet volt látható, ha a csatlakozási kísérletek statisztikai lehetőséget választja). Az adatok forrásául mézesbödön érzékelőhálózatunk szolgál. Az adatok kihasznált sebezhetőségek szerint vannak csoportosítva. Magában foglalja a CISA által ismert kihasznált sebezhetőségekre való leképezést is (így azt is, hogy zsarolóvírusokkal dolgozó csoport ismerten kihasználta-e), valamint azt, hogy a támadás IoT-eszközzel szemben, nem pedig kiszolgálóalkalmazással szemben történt-e.

A képernyő alapértelmezetten az egész világon a leggyakrabban kihasznált sebezhetőségeket mutatja, de szűrhet adott ország vagy csoportosítás szerint, illetve anomáliatáblázatot is megjeleníthet.

Támadási statisztikák: Eszközök

Ez az adathalmaz és a hozzá tartozó vizuális elemek napi szintű pillanatfelvételt adnak a mézesbödön érzékelőhálózatunk által észlelt, támadást végrehajtó eszközök típusairól. Ezekről az eszközökről a napi pásztázásaink során készítünk ujjlenyomatot. Az adathalmazok lehetővé teszik konkrét támadástípusok, eszközgyártók vagy -modellek nyomon követését, és ország szerint szűrhetők.

A megjeleníthető grafikonok hasonlóak, mint az „Általános statisztikák” alatt, azzal a különbséggel, hogy a források és címkék használata helyett az adatok támadástípus, eszközgyártó vagy modell szerint tekinthetők meg (és csoportosíthatók).

Újabb megjelenítési kategória került az adatok közé, a figyelés:

Ez az olyan egyedi forrás IP-címek által látott, támadást végrehajtó leggyakoribb eszközök frissített napi táblázata, amelyeknél támadás volt észlelhető (vagy támadási kísérlet volt látható, ha a csatlakozási kísérletek statisztikai lehetőséget választja). Az ebben a kategóriában megjelenő összes adathalmazhoz hasonlóan az adatok forrásául mézesbödön érzékelőhálózatunk szolgál. A csoportosítás a látott támadástípus, gyártó és modell szerint történik (ha ezek rendelkezésre állnak). A támadást végrehajtó eszköz meghatározásához összevetjük a látott IP-címeket az eszközökről a napi pásztázások során készített ujjlenyomatokkal (lásd az „IoT-eszközzel kapcsolatos statisztikák” részt).

Alapértelmezés szerint a képernyőn a támadást végrehajtó leggyakoribb eszközök láthatók (forrás szerint) (ebbe beletartoznak azok az esetek, ahol az eszköz nem azonosítható vagy például csak a gyártó azonosítható). Szűrhet adott ország vagy csoportosítás szerint, illetve anomáliatáblázatot is megjeleníthet.

A Shadowserver irányítópultjának fejlesztését az UK FCDO finanszírozta. Az IoT-eszközök adatainak gyűjtéséből és a mézesbödönöket ért támadásokból származó statisztikákat az Európai Unió Európai Hálózatfinanszírozási Eszköze társfinanszírozta (EU CEF VARIoT projekt).

Szeretnénk megköszönni minden partnerünknek, aki hozzájárul a Shadowserver irányítópultján felhasznált adatokhoz, többek között (betűrend szerint): APNIC Community Feeds, Bitsight, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University, és mindazoknak, akik névtelenek kívántak maradni.

A Shadowserver cookie-kat használ az analitikák gyűjtéséhez. Ez lehetővé teszi számunkra a webhely használatának mérését és a felhasználói élmény javítását. Ha további információkra kíváncsi a cookie-król és azok Shadowserver általi felhasználásáról, tekintse meg adatvédelmi szabályzatunkat. Szükségünk van az Ön hozzájárulására ahhoz, hogy ily módon használhassuk a cookie-kat az Ön eszközén.