blank

blank

Sumário executivo

O rastreamento de atividades de varredura de rede pode ajudar os pesquisadores a entender quais serviços estão sendo direcionados. Ao monitorar as origens dos scanners, os pesquisadores também podem identificar terminais comprometidos. Se um host pertencente a uma organização conhecida de repente começar a escanear uma parte da Internet, é um forte indicador de que o host está comprometido.

Este blog resume nossas descobertas em um período de quatro meses, de maio a agosto de 2021. Em média, identificamos 75.000 endereços IP de scanner exclusivos em todo o mundo, que enumeravam mais de 9.500 portas diferentes todos os dias. Em um endpoint voltado para a Internet, observamos 1.500 IPs de scanner exclusivos visando 1.900 portas diariamente. Como nem todo scanner varre todo o espaço de endereço IPv4, o número de scanners observados em cada terminal é menor do que o número total de scanners observados globalmente.

Samba, Telnet e SSH foram os três serviços mais examinados, respondendo por 36% do tráfego de varredura globalmente. Entre todos os scanners que observamos, 64% dos IPs apareceram apenas uma vez ao longo dos quatro meses, enquanto 0,15% dos IPs apareceram todos os dias. A alta porcentagem de IPs efêmeros indica que a maioria dos scanners é difícil de rastrear. Por outro lado, a maioria dos provedores de serviços de digitalização legítimos – como ShodanCensys e Shadowserver – geralmente usam um conjunto fixo de IPs e tornam seus scanners identificáveis ​​por meio de agentes de usuário explícitos ou nomes de domínio. Uma lista dos IPs de scanner mais frequentes identificados nesta pesquisa está disponível no GitHub.

Prisma Cloud é uma plataforma de segurança nativa em nuvem abrangente que protege cargas de trabalho em nuvem em vários provedores de serviços em nuvem (CSPs). Os pesquisadores da Unidade 42 analisaram trilhões de registros de fluxo coletados pela Prisma Cloud para extrair o tráfego de varredura de rede. Combinando inteligência de ameaças da AutoFocus e WildFire, Prisma Cloud monitora continuamente o tráfego malicioso direcionado aos nossos clientes e tráfego malicioso originado dos ambientes de nuvem dos nossos clientes.

Varredura de identificação de tráfego

Logs de fluxo são um recurso que registra o tráfego de IP que flui de e para recursos de nuvem, como máquinas virtuais (VMs), contêineres e funções. Todos os principais CSPs oferecem suas versões de Logs de fluxo (AWSAzure e GCP). Como os dados do NetFlow, os registros de fluxo são muito menos detalhados do que as capturas de pacotes completos, mas fornecem uma maneira eficiente de monitorar o desempenho da rede e os problemas de segurança em escala. Normalmente, cada registro do Flow Log inclui IP de origem, IP de destino, porta de origem, porta de destino, número do protocolo IP, tamanho do pacote, tamanho do byte e carimbo de data / hora. Dependendo do CSP, cada registro de fluxo pode incluir informações adicionais específicas da nuvem, como ID da conta e ID do recurso.

Como os registros de fluxo não têm informações de aplicativo da camada 7, é difícil determinar se um fluxo carrega cargas úteis de varredura de um único registro. No entanto, com os Logs de fluxo de dezenas de milhares de terminais, podemos identificar com segurança o tráfego de varredura, correlacionando os registros de fluxo entre vários CSPs, regiões e clientes. Se um IP de origem atingir um grande número de terminais em um curto espaço de tempo e todos os fluxos tiverem um tamanho de byte / pacote semelhante, há uma forte indicação de que o IP de origem está executando uma operação de varredura. Abaixo estão as métricas e condições que usamos para identificar o tráfego de varredura nos registros de fluxo:

  • O IP de origem atinge vários terminais em diferentes CSPs, contas e regiões.
  • O IP de origem atinge todos os endpoints em um curto período de tempo (por exemplo, dentro de seis horas).
  • O IP de origem usa o mesmo protocolo para alcançar a mesma porta em todos os terminais (por exemplo, TCP na porta 22).
  • O IP de origem tem um padrão de tráfego semelhante em todos os pontos de extremidade. Em particular, a variação do tamanho do pacote, tamanho do byte e contagem do fluxo em todos os terminais precisam ser menores do que um limite.

Varredura de características de tráfego

O tráfego de varredura em toda a Internet normalmente executa apenas reconhecimento e não carrega cargas úteis maliciosas. No entanto, os agentes mal-intencionados podem usar os resultados da varredura para identificar uma vítima, aprender a infraestrutura da vítima e encontrar pontos de entrada em potencial. De uma perspectiva de defesa, as informações de varredura de rede podem ajudar a entender os alvos dos invasores. Conhecendo o tráfego de varredura, os analistas SOC também podem filtrá-lo dos logs de rede para tornar os trabalhos forenses mais eficientes.

A Figura 1 mostra os 20 principais países de origem dos IPs do scanner. 25% do tráfego de digitalização veio da China ou da Índia. Pesquisas anteriores mostraram que alguns provedores de serviços de Internet (ISPs) tendem a ter mais tráfego malicioso ou de ataque do que outros (consulte os seguintes relatórios: Ameaça RegionalRelatório de ASN e Pesquisa de Domínio).

blank
Figura 1. 20 principais países onde se originou o maior número de IPs de scanner.

A Figura 2 analisa os ISPs que hospedam o maior número de scanners. Dos 760 ISPs que observamos, os dois principais ISPs, CHINA UNICOM China169 Backbone e Chinanet, hospedam 13% dos scanners Como a maioria dos ISPs detecta e proíbe que seus clientes gerem tráfego de varredura, esses 20 principais ISPs provavelmente têm políticas menos restritivas sobre o uso de largura de banda de seus clientes. Observe que essas atividades de digitalização podem ocorrer intencionalmente ou não nos ambientes dos clientes. Os ISPs não são responsáveis ​​pelas atividades de seus clientes – como o uso de seus endereços IP para fazer a varredura na Internet.

blank
Figura 2. Os 20 principais ISPs de onde se originou o maior número de IPs de scanner.

No geral, 96% do tráfego de varredura é TCP e apenas 4% do tráfego é UDP. As Figuras 3 e 4 mostram as portas e protocolos verificados com mais frequência. A Figura 3 mostra as 20 portas principais verificadas por TCP e a Figura 4 mostra as 10 portas principais verificadas por UDP. A etiqueta em cada barra indica os serviços mais comumente vistos implantados na porta e no protocolo específicos. Por exemplo, o serviço Samba normalmente é executado na porta TCP 445 e o protocolo de início de sessão normalmente é executado na porta UDP 5060.

Curiosamente, um dos três principais serviços é um protocolo com meio século de idade, o Telnet. Telnet é um protocolo de gerenciamento de servidor remoto de linha de comando simples que não fornece nenhum mecanismo de segurança e foi substituído há muito tempo pelo protocolo mais seguro SSH. Com base na pesquisa anterior da Unidade 42 (Mirai Variant , Exploited SOHO Routers), acreditamos que o tráfego de varredura está procurando dispositivos IoT configurados incorretamente que deixaram os serviços Telnet expostos e desprotegidos.

blank
Figura 3. 20 portas TCP mais verificadas e seus serviços comuns.
blank
Figura 4. As 10 portas UDP mais escaneadas e seus serviços comuns.
blank
Figura 5. Número de dias que cada IP do scanner foi visto em quatro meses (em escala logarítmica).

A Figura 5 mostra o número de dias em que cada IP do scanner foi observado. Quando um IP do scanner aparece em apenas um dia, isso indica que o scanner nunca reutilizou o mesmo IP nos últimos quatro meses. Um scanner que aparece em todos os 121 dias indica que o scanner usa um IP estático para fazer a varredura na Internet diariamente. No geral, 64% dos IPs do scanner apareceram apenas uma vez nos últimos quatro meses e 0,15% apareceram diariamente. Nós publicou um subconjunto dos IPs que observamos diariamente. Esses IPs varreram as dez portas mais visadas (Figuras 3-4) nos últimos 90 dias.

Conclusão

As atividades de digitalização em rede são como o ruído de fundo na Internet. Eles são predominantes, mas não direcionados. O objetivo principal é alcançar o maior número de hosts possível e identificar os serviços ativos nesses hosts. O tráfego de varredura normalmente não é malicioso e incorre em largura de banda mínima. No entanto, os cibercriminosos podem usar os resultados da varredura para identificar potenciais vítimas. Leva apenas alguns minutos para que os invasores descubram um serviço recém-exposto na Internet. Se o serviço tiver configurações inseguras ou vulnerabilidades conhecidas, os invasores podem comprometê-lo em alguns segundos.

Como a maioria desses IPs de varredura é dinâmica (64%), é difícil rastrear ou bloquear o tráfego de varredura. No entanto, uma boa higiene cibernética pode efetivamente mitigar as ameaças desses scanners. Recomendamos as seguintes práticas recomendadas:

  • Minimize a exposição à Internet. A maioria dos 20 principais serviços da Figura 3 não deve ser exposta em toda a Internet.
  • Use firewalls de aplicativo para proteger serviços voltados para a Internet, como HTTP/HTTPs.
  • Use um serviço de gerenciamento de superfície de ataque, como Cortex Xpanse, para monitorar a infraestrutura exposta.

 

Fonte: Unit 42

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

ARTIGOS RELACIONADOSMais do autor