Az irányítópult áttekintése

A Shadowserver irányítópultja a Shadowserver által gyűjtött és a napi tevékenységei során több mint 100 napi beszámoló keretében megosztott fő adathalmazokból készített, magas szintű statisztikákat mutat be. Az adathalmazok lehetővé teszik a védtelen támadási felület, a sebezhetőségek, a rossz konfigurációk, a kompromittált hálózatok és a megfigyelt támadások azonosítását. A beszámolók formájában megosztott adatok részletes, IP-szintű információkat tartalmaznak egy adott hálózattal vagy körzettel kapcsolatban. A Shadowserver irányítópultja nem tesz lehetővé ilyen szintű részletességet. Ehelyett az ezeket a tevékenységeket tükröző, magas szintű statisztikákat mutat be. Ez lehetőséget ad betekinteni a legújabb felbukkanó fenyegetésekbe, sebezhetőségekbe és eseményekbe, biztosítva a helyzet ismeretét a szélesebb körű közösség számára úgy, hogy közben megőrzi minden érintett fél anonimitását.

Források és címkék

Az adatok bemutatása források és címkék köré szerveződik. A forrás lényegében egyfajta adatcsoportosítás. Az alapforrások a következők: honeypot, population, scan, sinkhole. A populáció és a pásztázás egyaránt pásztázásalapú adathalmaz, a populáció azonban úgy veszi számba a kitett végpontokat, hogy nem értékeli a sebezhetőséget/biztonságot. A 6 mint utótag IPv6-adatra utal (az utótag nélküli bejegyzések mind IPv4-adatra utalnak).

A forrásokhoz címkék kapcsolódhatnak, amelyek további kontextust biztosítanak a bemutatott adatoknak. A scan kapcsolódó címkék például a tényleges különböző pásztázástípusokat foglalják magukban (vagyis a pásztázott szolgáltatásokat/protokollokat, például telnet, ftp és rdp). A sinkhole kapcsolódó címkék a sinkhole-hoz csatlakozó tényleges kártékony szoftvercsaládokat tükrözik (vagyis az olyan kártékony szoftvercsaládtípussal fertőzött gazdagépeket, mint például az adload, az andromeda és a necurs).

A címkék további információkkal szolgálnak a bemutatott adatokról.

Emellett bevezettük a források további csoportosítását a sebezhető vagy kompromittált gazdagépekkel kapcsolatos megfigyelések jobb kifejezése érdekében – például http_vulnerable vagy compromised_website. Ezek jellemzően konkrét CVE-sebezhetőségeket, érintett gyártókat vagy termékeket, illetve látott hátsó kapukkal, webshellekkel vagy implantokkal kapcsolatos információkat tükröző címkéket tartalmaznak. A http_vulnerable címkére példa a citrix vagy cve-2023-3519.

Végezetül, ahogy egyre több észlelést adunk az adathalmazainkhoz, egyre több címke keletkezik. Ez azt jelenti, hogy új választható forráskategóriák jelenhetnek meg. Például az snmp a scan forrásnál megtalálható címke, ugyanakkor forrásként is szerepel. Ez lehetővé teszi, hogy részletesebb eredményeket tegyünk közzé az snmp-pásztázásokból, ami lehetőséget ad például a cve-2017-6736-hoz hasonló sebezhetőséghez kapcsolódó konkrét snmp-pásztázás eredményeinek megtekintésére.

Adatkategóriákra mutató gyorshivatkozás: Bal navigációs sáv

A bemutatott adathalmazok gyűjtése különböző nagy léptékű gyűjtési módszerek, például sinkholing, pásztázás és mézesbödönök segítségével történik. Az adathalmazok ezen fő kategóriái a bal navigációs sávról érhetők el; mindegyik kategóriatípust különböző ikon jelképezi.

A cél az, hogy gyorsabban el lehessen merülni egy-egy konkrét forráskategóriában. Például:

  • Sinkhole-ok – a sinkhole forrás szerint csoportosított áttekintést nyújt az adathalmazokról. Ezután egy adott sinkhole eredményei címke vagy címkecsoport kiválasztásával tekinthetők meg.
  • Pásztázások – a scan forrás szerint csoportosított áttekintést nyújt az adathalmazokról (ebben a kategóriában olyan szolgáltatásokkal kapcsolatos pásztázások eredményei szerepelnek, amelyekhez valamilyen biztonsági probléma társul, a teljes populáción végzett pásztázás eredményei is megtekinthetők a population forrást választva). Ezután egy adott pásztázás eredményei címke vagy címkecsoport kiválasztásával tekinthetők meg.
  • Mézesbödönök – a honeypot forrás szerint csoportosított áttekintést nyújt az adathalmazokról. Ezután egy adott mézesbödön eredményei címke vagy címkecsoport kiválasztásával tekinthetők meg.
  • DDoS – a honeypot_ddos_amp forrás szerint csoportosított áttekintést nyújt az adathalmazokról. Ezek egy adott országban/régióban található egyedi célpontok által látott amplifikációs DDoS-támadások. Ezután egy adott használt amplifikációs módszer címke vagy címkecsoport kiválasztásával tekinthető meg.
  • ICS – az ics forrás szerint csoportosított áttekintést nyújt az adathalmazokról (ezek natív ipari vezérlőrendszeri protokollok pásztázási eredményei). Ezután a használt natív protokollok címke vagy címkecsoport kiválasztásával tekinthetők meg.
  • Web CVE-k – a http_vulnerable és exchange forrás szerint csoportosított áttekintést nyújt az adathalmazokról. Ezek a pásztázásainkban jellemzően CVE szerint azonosított, sebezhető webes alkalmazások. A CVE-k vagy érintett termékek címke vagy címkecsoport kiválasztásával tekinthetők meg.

Az adathalmazok országok vagy országcsoportok, régiók és kontinensek szerint részletezhetők.

Az egyes adathalmazok leírása „Az adatokról” részben is megtalálható.

Figyelem, a kiemelteken kívül további adathalmazok is rendelkezésre állnak. A beacon forrás például lehetővé teszi a pásztázásaink során látott post-exploitation framework C2-k felfedezését, a compromised_website forrás pedig lehetőséget ad a pásztázásaink során látott kompromittált webes végpontok felfedezésére.

Felső navigációs sáv

A felső navigációs sáv többféle megjelenítési beállításra ad lehetőséget az adatok bemutatásához, valamint az eszközök azonosításának és a támadásmegfigyelési adathalmazoknak a megjelenítéséhez.

Általános statisztikák

Az általános statisztikák magukban foglalják bármely forrás és címke megjelenítését a következők kiválasztásával:

  • Világtérkép – a kiválasztott forrásokat és címkéket bemutató világtérkép. További funkciók: lehetőség a leggyakoribb címke megjelenítésére országonként és forrásonként, normalizálás populáció, GDP, kapcsolattal rendelkező felhasználók stb. szerint. Jelölőket is kiválaszthat a térképen az értékek országok szerinti megjelenítéséhez.
  • Régiótérkép – országszintű térkép, amelyen az országok régiókra és tartományokra vannak bontva.
  • Összehasonlító térkép – két országot összehasonlító térkép.
  • Idősorforrások és címkék kombinációit idő szerint bemutató grafikon. Megjegyzés: lehetőséget ad különböző adatcsoportok létrehozására (nem csak ország szerint).
  • Megjelenítés – különféle lehetőségeket kínál az adathalmazok részletesebb vizsgálatára, többek között átlagértékek megjelenítésére idő szerint. Lehetővé teszi az adatok megjelenítését táblázatok, oszlopdiagramok, buborékdiagramok stb. formájában.

IoT-eszközzel kapcsolatos statisztikák (eszközazonosítási statisztikák)

Ez az adathalmaz és a hozzá tartozó vizuális elemek napi szintű pillanatfelvételt adnak a védtelen végpontokról a pásztázásaink során azonosított, veszélynek kitett gyártók és termékek szerint csoportosítva. Az adatok gyártó, modell és eszköztípus szerint vannak kategorizálva. Ezek azonosítása különféle módszerekkel történik, többek között weboldaltartalom, SSL/TLS-tanúsítványok, megjelenített reklámszalagok stb. alapján. Az adathalmazok csak a populációra vonatkozó adatokat tartalmaznak, azaz nem tartalmazzák a védtelen végpontokhoz kapcsolódó sebezhetőségek semmilyen értékelését (ezek kereséséhez inkább válasszon forrásokat az „Általános statisztikák” alatt, például a http_vulnerable forrást).

A megjeleníthető grafikonok hasonlóak, mint az „Általános statisztikák” alatt, azzal a különbséggel, hogy a források és címkék használata helyett az adatok gyártók, modellek és eszköztípusok szerint tekinthetők meg (és csoportosíthatók).

Támadási statisztikák: Sebezhetőségek

Ez az adathalmaz és a hozzá tartozó vizuális elemek napi szintű pillanatfelvételt adnak a mézesbödön érzékelőhálózatunk által észlelt támadásokról, különös tekintettel az eszközök kiaknázására használt sebezhetőségekre. Ez magában foglalja a leggyakrabban megtámadott termékek megtekintésének, valamint a támadási mód feltárásának lehetőségét (vagyis melyik kihasznált sebezhetőség alapján történt a támadás, ami magában foglalhatja a konkrét kihasznált CVE-t is). A támadások forrása és a célok szerinti grafikonok is megtekinthetők.

A megjeleníthető grafikonok hasonlóak, mint az „Általános statisztikák” alatt, azzal a különbséggel, hogy a források és címkék használata helyett az adatok gyártó, sebezhetőség, valamint a támadások forrása és célja szerint tekinthetők meg (és csoportosíthatók).

Újabb megjelenítési kategória került az adatok közé, a Figyelés:

Ez a leggyakoribb kihasznált sebezhetőségek frissített napi táblázata olyan egyedi forrás IP-címek szerint csoportosítva, amelyeknél támadás volt észlelhető (vagy támadási kísérlet volt látható, ha a csatlakozási kísérletek statisztikai lehetőséget választja). Az adatok forrásául mézesbödön érzékelőhálózatunk szolgál. Az adatok kihasznált sebezhetőségek szerint vannak csoportosítva. Magában foglalja a CISA által ismert kihasznált sebezhetőségekre való leképezést is (így azt is, hogy zsarolóvírusokkal dolgozó csoport ismerten kihasználta-e), valamint azt, hogy a támadás IoT-eszközzel szemben, nem pedig kiszolgálóalkalmazással szemben történt-e.

A képernyő alapértelmezetten az egész világon a leggyakrabban kihasznált sebezhetőségeket mutatja, de szűrhet adott ország vagy csoportosítás szerint, illetve anomáliatáblázatot is megjeleníthet.

Támadási statisztikák: Eszközök

Ez az adathalmaz és a hozzá tartozó vizuális elemek napi szintű pillanatfelvételt adnak a mézesbödön érzékelőhálózatunk által észlelt, támadást végrehajtó eszközök típusairól. Ezekről az eszközökről a napi pásztázásaink során készítünk ujjlenyomatot. Az adathalmazok lehetővé teszik konkrét támadástípusok, eszközgyártók vagy -modellek nyomon követését, és ország szerint szűrhetők.

A megjeleníthető grafikonok hasonlóak, mint az „Általános statisztikák” alatt, azzal a különbséggel, hogy a források és címkék használata helyett az adatok támadástípus, eszközgyártó vagy modell szerint tekinthetők meg (és csoportosíthatók).

Újabb megjelenítési kategória került az adatok közé, a figyelés:

Ez az olyan egyedi forrás IP-címek által látott, támadást végrehajtó leggyakoribb eszközök frissített napi táblázata, amelyeknél támadás volt észlelhető (vagy támadási kísérlet volt látható, ha a csatlakozási kísérletek statisztikai lehetőséget választja). Az ebben a kategóriában megjelenő összes adathalmazhoz hasonlóan az adatok forrásául mézesbödön érzékelőhálózatunk szolgál. A csoportosítás a látott támadástípus, gyártó és modell szerint történik (ha ezek rendelkezésre állnak). A támadást végrehajtó eszköz meghatározásához összevetjük a látott IP-címeket az eszközökről a napi pásztázások során készített ujjlenyomatokkal (lásd az „IoT-eszközzel kapcsolatos statisztikák” részt).

Alapértelmezés szerint a képernyőn a támadást végrehajtó leggyakoribb eszközök láthatók (forrás szerint) (ebbe beletartoznak azok az esetek, ahol az eszköz nem azonosítható vagy például csak a gyártó azonosítható). Szűrhet adott ország vagy csoportosítás szerint, illetve anomáliatáblázatot is megjeleníthet.

A Shadowserver irányítópultjának fejlesztését az UK FCDO finanszírozta. Az IoT-eszközök adatainak gyűjtéséből és a mézesbödönöket ért támadásokból származó statisztikákat az Európai Unió Európai Hálózatfinanszírozási Eszköze társfinanszírozta (EU CEF VARIoT projekt).

Szeretnénk megköszönni minden partnerünknek, aki hozzájárul a Shadowserver irányítópultján felhasznált adatokhoz, többek között (betűrend szerint): APNIC Community Feeds, Bitsight, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University, és mindazoknak, akik névtelenek kívántak maradni.

A Shadowserver cookie-kat használ az analitikák gyűjtéséhez. Ez lehetővé teszi számunkra a webhely használatának mérését és a felhasználói élmény javítását. Ha további információkra kíváncsi a cookie-król és azok Shadowserver általi felhasználásáról, tekintse meg adatvédelmi szabályzatunkat. Szükségünk van az Ön hozzájárulására ahhoz, hogy ily módon használhassuk a cookie-kat az Ön eszközén.