zwirek.eu

Linux, MacOS, VMware, pfSense, Mikrotik, OSINT, testy penetracyjne, RaspberryPi, Arduino, odzyskiwanie danych.

Bezpieczeństwo Sieci 

Szary szum – wykrywanie złośliwego oprogramowania i skanerów w sieci

zwirek

GreyNoise jest narzędziem wspomagającym zespoły bezpieczeństwa, pozwalającym im dostrzegać zagrożenia, których źródło pochodzi z ich własnej sieci. Narzędzie to pozyskuje, analizuje i oznacza aktywności masowego skanowania Internetu. Wykrywa wszelkiego rodzaju zainfekowane systemy operacyjne, ale także sprzęt sieciowy czy IoT. Do często skanowanych usług należą Telnet, SSH, SMB, IMAP, POP3, SMTP, FTP, RDP, VNC, PROXY, WEB, DNS. Wykrywane są także ataki typu BruteForce, w uproszczeniu polegające na odgadywaniu haseł. Sieć GreyNoise składa się z wielu sond (HoneyPot) zlokalizowanych w różnych zakątkach Internetu. Wyszukiwanie wyników jest intuicyjne, a podczas wpisywania fraz uzyskujemy podpowiedzi.

Przykładowe frazy wyszukiwania (z komentarzami):

8.0.0.0/8 - zwraca wyniki dla adresu IP i masce podsieci
metadata.rdns:*.gov.pl - zwraca wyniki w oparciu o nazwy revDNS
metadata.asn:AS5617 - zwraca wyniki dla numeru systemu autonomicznego 
scan.port:22 - zwraca wyniki dla portu
classification:malicious - zwraca wyniki zaklasyfikowane jako złośliwe
metadata.country:Poland - zwraca wyniki dla kraju
metadata.os:"Linux" - zwraca wyniki dla nazwy systemu
actor:"Shodan.io" - zwraca wyniki dla skanerów należących do Shodan’a
actor:"Censys" - analogicznie jak powyżej dla Censys’a
tags:"Mirai" - zwraca wyniki dla skanerów botnetu Mirai
tags:"Zyxel USG SSH Backdoor Attempt" - zwraca wyniki dla skanerów podatnego sprzętu firmy Zyxel z ukrytym kontem (backdoor)
tags:"Dahua DVR Auth Bypass" - zwraca wyniki dla skanerów sprzętu firmy Dahua
web.useragents:"Mozilla" - zwraca wyniki dla User-Agent

Możliwe jest także łączenie fraz. Poniżej kilka ciekawych przykładów:

metadata.country:Poland classification:malicious metadata.category:education
metadata.rdns:*.katowice.pl classification:malicious
metadata.os:"Windows 2000" classification:malicious metadata.rdns:*.pl
metadata.os:"Windows 7/8" classification:malicious metadata.country:Poland

W wynikach otrzymamy bardzo cenną informację dotycząca czasu pierwszego wykrycia i ostatniej aktywności skanera. Po usunięciu złośliwego oprogramowania/skanera, możemy sprawdzić czy jego aktywność się zakończyła. Można także tworzyć reguły, otrzymamy wtedy powiadomienie na e-mail o wykrytym zagrożeniu (funkcjonalność dostępna jest za darmo).

Informacje pozyskane z GreyNoise w szczególności powinny docenić osoby pracujące w jednostkach edukacyjnych, medycznych, administracji publicznej oraz dostawcy Internetu (Domy Studenta ;-), a więc wszędzie tam, gdzie budżet nie przewiduje zaawansowanego sprzętu IPS, IDS lub SIEM.

Link: https://viz.greynoise.io