仪表板概述
暗影服务器仪表板能够显示高级的统计数据,此等数据能反映暗影服务器通过其日常活动在 100 多个日报中收集和共享的主要数据集。这些数据集能够识别已暴露的攻击面、漏洞、错误配置、网络危害以及攻击的观察情况。这些数据以报告的形式共享,其中包含有关特定网络或成分的详细 IP 级信息。暗影服务器仪表板不允许有这种粒度级别。但可以显示能反映这些活动情况的高级统计数据。这样可以深入了解最新出现的威胁、漏洞和事件,从而了解更多社区的情况且保持任何相关方的匿名性。
源和标签
围绕 源 和 标签 组织数据展示。源本质上是某种形式的数据分组。基本源是 honeypot
、population
、scan
和 sinkhole
。总体和扫描都是基于扫描的数据集,总体是未进行漏洞/安全性评估的暴露端点计数。后缀 6
表示 IPv6 数据(所有不带后缀的条目均指 IPv4 数据)。
源具有与之关联的标签,能为所呈现的数据提供附加上下文。例如:scan
标签将包括各种不同的实际扫描类型(即,服务/协议扫描成 telnet
、ftp
和 rdp
)。sinkhole
标签将反映与某个沉洞相连接的实际恶意软件系列(即,受恶意系列类型感染的主机,如 adload
、 andromeda
和 necurs
)。
通过标签,能对所显示的数据有更深入地了解。
此外,我们还引入了额外的源分组,以更好地反映对易受攻击或受损主机的观察结果 - 例如, http_vulnerable
或 compromised_website
。一般情况下其所包含的标签能反映特殊的 CVE 漏洞、受影响的供应商或产品、或所观察到的与后门、网络管理权限或植入物相关的信息。http_vulnerable
示例为 citrix
或 cve-2023-3519
。
最后,若我们向数据集添加更多的检测项,则我们最终会得到更多的标签。这意味着可以从中选择新的源类别。例如:snmp
是 scan
源上显示的标签,其也视为源。这使我们能够提供更细化的 snmp 扫描结果,从而查看与漏洞(例如:cve-2017-6736
)相关的特殊 snmp 扫描结果。
快速链接至数据类别:左侧导航栏
所显示的数据集是通过各种大规模的收集方法所收集的,包括沉洞、扫描和蜜罐。这些主要类别的数据集在左侧的导航栏上共享,每种类型的类别用不同的图标表示。
目的是能够更快进入特定 源 类别。例如:
-
沉洞 - 提供了按
sinkhole
源分组的数据集概览。随后可以通过选择一个标签或一组标签来查看特定的沉洞结果。 -
扫描 - 提供了按
scan
源分组的数据集概览。(此类别包含有某种安全问题的服务扫描结果,而您可以选择population
源,查看总体扫描结果。)随后可以通过选择一个标签或一组标签来查看特定的扫描结果。 -
蜜罐 - 提供了按
honeypot
源分组的数据集概览。随后可以通过选择一个标签或一组标签来查看特定的蜜罐结果。 -
DDoS - 提供了按源
honeypot_ddos_amp
分组的数据集概览。 这些是在特定国家/地区,由唯一目标所观察到的放大 DDoS 攻击。随后可以通过选择一个标签或一组标签来查看所使用的特定放大方法。 -
ICS - 提供了按源
ics
分组的数据集概览(这是本地工业控制系统协议的扫描结果)。随后可以通过选择一个标签或一组标签来查看所使用的本地协议。 -
Web CVE - 提供了按
http_vulnerable
和exchange
分组的数据集概览。这些是我们通常情况下利用 CVE 扫描时识别的易受攻击的 web 应用程序。可以通过选择一个标签或一组标签来查看 CVEs 或受影响的产品。
这些数据集可以按国家或国家组织、地区和大陆进行细分。
在“关于数据”中也对每个数据集进行了描述。
请注意,除了高亮显示的数据集,还有更多可用的数据集。例如:利用源 beacon
,可以探索我们在扫描中所看到的后漏洞利用框架 C2s ,而利用源 compromised_website
,可以探索我们在扫描中看到被攻击的 web 端点。
顶部导航栏
在顶部的导航栏,有各种可视化选项,可用于显示数据及可视化设备识别和攻击观察数据集。
一般统计
在一般统计中,选择以下选项能够可视化任何 源 和 标签:
- 世界地图 - 一个显示所选 源 和 标签 的世界地图显示屏幕。其他的功能包括:能够切换显示屏幕,以显示每个国家,每个源的最常见标签、按总体进行标准化、GDP 和连接用户等。还可以在地图上选择标记,以显示每个国家的数值。
- 区域地图 - 一个将国家划分为地区和省份的国家级别地图显示屏幕。
- 比较图 - 两个国家的比较图。
- 时序 - 一个显示 源 和 标签 组合随时间变化的图表。请注意:这样能够进行不同形式的数据分组(不仅仅是按国家分组)。
- 可视化 - 提供了各种向下钻取数据集的选项,包括随时间变化的各数值的平均值。能够以表格、柱形图、气泡图等形式显示数据。
物联网设备统计(设备标识统计)
这个数据集和相关的可视化功能提供了暴露端点的每日快照,按照已暴露供应商及通过扫描识别的产品,对暴露端点进行分组。数据按供应商、型号和设备类型进行分类。这些都是通过各种方式来识别的,包括网页内容、SSL/TLS 证书及所显示的横幅等。这些数据集仅包含总体数据,即未对与暴露端点相关的任何漏洞进行评估。(为了能进行查找,选择“一般统计数据” 中的源,例如: http_vulnerable
)。
“一般统计”中也有类似的可视化图表,不同之处在于,无需使用 源 和 标签,也能查看(和分组) 供应商、 型号和设备。
攻击统计信息:漏洞
这个数据集和相关的可视化功能提供了蜜罐传感器网络观察到的攻击的每日快照,重点关注被利用的漏洞。这些功能包括查看最常受到攻击的产品以及探索它们是如何被攻击的(即,以这种方式被利用的漏洞包括被利用的特定 CVE)。还可以按攻击源和目的地来查看图表。
“一般统计”中也有类似的可视化图表,不同之处在于,无需使用 源 和 标签,也能查看(和分组) 供应商、 漏洞及攻击 源 和 目的地。
另外还增加了另一个可视化类别 - 监控:
这是最新的最常见被利用漏洞每日表格,按照已观察到攻击的唯一源 IP 进行分组(或如果选择连接尝试统计选项,则按照已看到的攻击尝试进行分组)。数据来自于我们的蜜罐传感器网络。数据按被利用的漏洞进行分组。还包括 CISA 已知被利用漏洞映射(包括是否已知被勒索软件组利用),以及攻击是否针对物联网设备而不是针对服务器应用程序。
默认情况下,显示屏显示了全世界最常见被利用的漏洞,但也可以按特定国家或分组进行筛选,或显示异常表。
攻击统计信息:设备
这个数据集和相关的可视化功能提供了蜜罐传感器网络所观察到的攻击设备类型的每日快照。通过我们的日常扫描,对这些设备进行指纹识别。利用这些数据集能够跟踪特定的攻击类型、设备供应商或型号,并按国家进行筛选。
“一般统计”中也有类似图表,不同之处在于,无需使用 源 和 标签,也能查看(和分组)攻击 类型、设备 供应商 或 型号。
另外还增加了另一个可视化类别 - 监控:
这是通过已观察到攻击的唯一源 IP 所看到的最新每日最常见攻击设备表(或如果选择连接尝试统计选项,则采用已看到的攻击尝试)。在这个类别显示的所有数据集中,数据来自于我们的蜜罐传感器网络。数据按观察到的攻击类型、供应商和型号(如有)进行分组。通过将看到的 IP 与我们日常设备扫描指纹识别结果相关联来确定攻击设备(参阅“物联网设备统计”部分)。
默认情况下,显示屏能够(按源)显示观察到攻击的最常见攻击设备(这包括我们无法识别设备的情况,或例如只识别到供应商)。可以选择按特定国家或分组进行筛选,或显示一个异常表。