Metryki dla Polskiej CyberPrzestrzeni

Czy można ocenić i monitorować stan bezpieczeństwa i rozwoju polskiej cyberprzestrzeni? Będziemy próbowali odpowiedzieć na te pytanie w naszym projekcie. Na początku zaczniemy analizować dane z portalu "Shodan", który skanuje i analizuje adresacje IP na całym świecie. Będziemy komentować poniższe dane i starać się znaleźć trendy oraz zagrożenia.


Zagrożenia

W pierwszej kolejności publikujemy dane o hostach oznaczonych jako zaatakowane, np. skompromitowane bazy danych, oraz o serwerach C&C złośliwego oprogramowania. Projekt cały czas jest rozwijany i wkrótce pojawi się tu więcej statystyk. Zachęcamy wszystkich do wysyłania swoich opinii, pomysłów oraz uwag na adres kontakt@poc.org.pl lub na Twitter.

Hosty z bazą danych z NoSQL które były zatakowane przez Ransomware

Hosty rozpoznane jako serwery zarządzające złośliwym oprogramowaniem, tzw. C&C (Command and Control)

Adresy URL z listy pobranej z domeny urlhaus.abuse.ch które kończą sie na sufiksie domeny PL

Adresy URL i IP z listy pobranej z domeny urlhaus.abuse.ch które według geolokalizacji są w Polsce


Systemy specjalne

Shodan potrafi określić także typy hostów udostępnionych publicznie w Internecie. Dzięki temu możemy monitorować trendy w udostępnianiu urządzeń wykorzystywanych w przemyśle oznaczonych jako “ICS”, medycznych “medic” czy urządzeń domowych/osobistych “IOT”.

Jak widać na wykresie, najwięcej dostępnych jest urządzeń typu “IOT”, a prawie o połowę mnie urządzeń “ICS”. Wszystkie te urządzenia nie charakteryzują się wysokim poziomem bezpieczeństwa, często niosą ze sobą zagrożenia takie jak opisane przez Marcina Dudka z Polskiego CERTu w artykule “Coraz więcej urządzeń przemysłowych podłączonych do internetu”. Będziemy w przyszłości robić dokładniejszą analizę tych urządzeń oraz monitorować czy równolegle zwiększa się ilość incydentów bezpieczeństwa związana z nimi.

Urządzenia które odpowiadają na protokoły związane z przemysłowymi systemami sterowania

Urządzenia zakwalifikowane jako Internet rzeczy

Hosty medyczne korzystające z protokołu DICOM


Greynoise - Mirai

Adresy IP które Greynoise zdiagnozował jako mające zachowanie wskazujące, że są zainfekowane przez Mirai lub odmianę złośliwego oprogramowania podobną do Mirai.

Adresy IP wykazujace zachowanie wskazujące, że są zainfekowane przez Mirai


Greynoise - Naliczniejsze zagrożenia

Najliczniejsze rodzaje złośliwych zachowań z Polskiej adresacji, po za botnetem Mirai, które wykrywa Greynoise.

Adresy IP które zostały zaobserwowane podczas próby bruteforce poświadczeń serwera SSH. Wykazuje również zachowanie wskazujące, że zostały przejete i działaja w imieniu innego aktora.

Adresy IP wykazujace zachowanie, które silnie wskazuje, że jest to zhakowane Raspberry Pi.

Adresy IP które zostałyy zaobserwowane podczas próby infekowania urządzeń w Internecie przy użyciu exploita EquationGroup ETERNALBLUE, który wyciekł z ShadowBrokers.

Adresy IP które zostały zaobserwowane podczas próby bruteforce poświadczeń serwera Telnet. Wykazuje również zachowanie wskazujące, że zostały przyjęte i działaja w imieniu innego aktora.


Greynoise - Robaki komputerowe wykorzystujące podatności

Zagrożenia które Greynoise oznacza jako Robak Komputerowy.

Adresy IP które zostały zaobserwowane podczas próby wykorzystania podatności CVE-2014-8361.

Adresy IP które zostały zaobserwowane podczas próby wykorzystania podatności 'Android Debug Bridge RCE'

Adresy IP które zostały zaobserwowane podczas próby wykorzystania podatności Mikrotik CVE-2018-14847

Adresy IP które zostały zaobserwowane podczas wyrachowanej próby wykorzystania podatności GPON home router CVE-2018-10561

Adresy IP które zostały zaobserwowane podczas próby wykorzystania podatności w routerach Eir D1000

Adresy IP które zostały zaobserwowane podczas próby wykorzystania podatności w routerach Huawei CVE-2017-17215


Greynoise - Robaki komputerowe wykorzystujące RDP i PHPMyAdmin

Błędy konfiguracji usług zarządzających dostępem administracyjnym jak RDP i PHPMyadmin umożliwiają automatyczne rozprzestrzenianie się robaków komputerów.

Adresy IP z których został zaobserwowany zachowanie robaków internetowych wykorzystujących protokół Microsoft Remote Desktop do rozprzestrzeniania

Adresy IP wykazujące zainfekowanie robakiem wykorzystującym PHPMyAdmin