Metryki dla Polskiej CyberPrzestrzeni
Czy można ocenić i monitorować stan bezpieczeństwa i rozwoju polskiej cyberprzestrzeni? Będziemy próbowali odpowiedzieć na te pytanie w naszym projekcie. Na początku zaczniemy analizować dane z portalu "Shodan", który skanuje i analizuje adresacje IP na całym świecie. Będziemy komentować poniższe dane i starać się znaleźć trendy oraz zagrożenia.
Zagrożenia
W pierwszej kolejności publikujemy dane o hostach oznaczonych jako zaatakowane, np. skompromitowane bazy danych, oraz o serwerach C&C złośliwego oprogramowania. Projekt cały czas jest rozwijany i wkrótce pojawi się tu więcej statystyk. Zachęcamy wszystkich do wysyłania swoich opinii, pomysłów oraz uwag na adres kontakt@poc.org.pl lub na Twitter.⬤ Hosty z bazą danych z NoSQL które były zatakowane przez Ransomware
⬤ Hosty rozpoznane jako serwery zarządzające złośliwym oprogramowaniem, tzw. C&C (Command and Control)
⬤ Adresy URL z listy pobranej z domeny urlhaus.abuse.ch które kończą sie na sufiksie domeny PL
⬤ Adresy URL i IP z listy pobranej z domeny urlhaus.abuse.ch które według geolokalizacji są w Polsce
Systemy specjalne
Shodan potrafi określić także typy hostów udostępnionych publicznie w Internecie. Dzięki temu możemy monitorować trendy w udostępnianiu urządzeń wykorzystywanych w przemyśle oznaczonych jako “ICS”, medycznych “medic” czy urządzeń domowych/osobistych “IOT”.
Jak widać na wykresie, najwięcej dostępnych jest urządzeń typu “IOT”, a prawie o połowę mnie urządzeń “ICS”. Wszystkie te urządzenia nie charakteryzują się wysokim poziomem bezpieczeństwa, często niosą ze sobą zagrożenia takie jak opisane przez Marcina Dudka z Polskiego CERTu w artykule “Coraz więcej urządzeń przemysłowych podłączonych do internetu”. Będziemy w przyszłości robić dokładniejszą analizę tych urządzeń oraz monitorować czy równolegle zwiększa się ilość incydentów bezpieczeństwa związana z nimi.
⬤ Urządzenia które odpowiadają na protokoły związane z przemysłowymi systemami sterowania
⬤ Urządzenia zakwalifikowane jako Internet rzeczy
⬤ Hosty medyczne korzystające z protokołu DICOM
Graynoise - Mirai
Adresy IP które Graynoise zdiagnozował jako mające zachowanie wskazujące, że są zainfekowane przez Mirai lub odmianę złośliwego oprogramowania podobną do Mirai.
⬤ Adresy IP wykazujace zachowanie wskazujące, że są zainfekowane przez Mirai
Graynoise - Naliczniejsze zagrożenia
Najliczniejsze rodzaje złośliwych zachowań z Polskiej adresacji, po za botnetem Mirai, które wykrywa Graynoise.
⬤Adresy IP które zostały zaobserwowane podczas próby bruteforce poświadczeń serwera SSH. Wykazuje również zachowanie wskazujące, że zostały przejete i działaja w imieniu innego aktora.
⬤ Adresy IP wykazujace zachowanie, które silnie wskazuje, że jest to zhakowane Raspberry Pi.
⬤ Adresy IP które zostałyy zaobserwowane podczas próby infekowania urządzeń w Internecie przy użyciu exploita EquationGroup ETERNALBLUE, który wyciekł z ShadowBrokers.
⬤ Adresy IP które zostały zaobserwowane podczas próby bruteforce poświadczeń serwera Telnet. Wykazuje również zachowanie wskazujące, że zostały przyjęte i działaja w imieniu innego aktora.
Graynoise - Robaki komputerowe wykorzystujące podatności
Zagrożenia które Graynoise oznacza jako Robak Komputerowy.
⬤ Adresy IP które zostały zaobserwowane podczas próby wykorzystania podatności CVE-2014-8361.
⬤ Adresy IP które zostały zaobserwowane podczas próby wykorzystania podatności 'Android Debug Bridge RCE'
⬤ Adresy IP które zostały zaobserwowane podczas próby wykorzystania podatności Mikrotik CVE-2018-14847
⬤ Adresy IP które zostały zaobserwowane podczas wyrachowanej próby wykorzystania podatności GPON home router CVE-2018-10561
⬤ Adresy IP które zostały zaobserwowane podczas próby wykorzystania podatności w routerach Eir D1000
⬤ Adresy IP które zostały zaobserwowane podczas próby wykorzystania podatności w routerach Huawei CVE-2017-17215
Graynoise - Robaki komputerowe wykorzystujące RDP i PHPMyAdmin
Błędy konfiguracji usług zarządzających dostępem administracyjnym jak RDP i PHPMyadmin umożliwiają automatyczne rozprzestrzenianie się robaków komputerów.
⬤ Adresy IP z których został zaobserwowany zachowanie robaków internetowych wykorzystujących protokół Microsoft Remote Desktop do rozprzestrzeniania
⬤ Adresy IP wykazujące zainfekowanie robakiem wykorzystującym PHPMyAdmin