Feragatname: Bu makale, CrowdSec kullanıcı topluluğu tarafından görülen siber tehditler hakkında bilgi vermek içindir.
On binlerce makine bize yasadışı hacker faaliyetleri hakkında ne söyleyebilir?
Batman – The Dark Knight filmindeki o sahneyi hatırlıyor musunuz, Batman herhangi bir yerde neler olup bittiğine dair bir meta sonar beslemesi oluşturmak için sayısız cep telefonundan aktif ses verilerini toplayan bir sistem kullanıyor?
CrowdSec’te yaptığımız şeyle ilginç bir benzetme. Topluluğumuzdan gelen izinsiz giriş sinyallerini bir araya getirerek, dünyada yasa dışı bilgisayar korsanlığı açısından neler olup bittiğine dair net bir resim sunabiliriz.
2 yıllık faaliyet ve 160 ülkedeki on binlerce kullanıcıdan günlük 1 milyon izinsiz giriş sinyalini analiz ettikten sonra, doğru bir “Batman sonar” küresel siber tehdit beslemesine sahip olmaya başlıyoruz. Ve özetlemek için bazı ilginç paketler var.
Birçok yüzü olan bir siber tehdit
Her şeyden önce, küresel siber tehdit çok yönlüdür. Bildirilen saldırı türlerine, kökenlerine ve kötü niyetli IP adreslerinin arkasındaki Otonom Sistemlere (AS) baktığımızda ne görüyoruz?
Tarayıcılar ve Kaba kuvvet girişimleri, topluluğumuzun gördüğü ve 1. sırada yer alan en popüler izinsiz giriş vektörleridir. Oldukça mantıklı, çünkü gözetleme daha gelişmiş bir izinsiz girişin ilk adımıdır. Topluluğumuz tarafından görülen tarama faaliyetleri, çoğunlukla bağlantı noktası taramaları veya HTTP tabanlı araştırmalardır.
Bilgisayar korsanları tarafından kullanılan farklı izinsiz giriş türleri arasında, hassas hizmetlere (SSH, e-posta, yönetici URL’leri vb.) yönelik kaba kuvvet girişimleri 2. sıradadır. Çığır açan bilgiler değil, ancak çalışmalar bunu gösterdiğinde kaba kuvvet saldırıları, siber saldırıların %6’sını oluşturuyor dünyada, özellikle otomatikleştirmesi ve dağıtması en kolay ve en ucuz olanlardan biri olduğu için (merhaba komut dosyası çocukları) baskın olarak görmek şaşırtıcı değil. Karşı koymak oldukça kolay olduğu için, nadiren işe yaradığı düşünülebilir, ama hey, %6!
Log4J henüz bitmiş bir anlaşma değil
Topluluğumuzun gördüğü en popüler istismar girişimleri arasında Log4j var. Açık kaynak kodlu Apache için basit bir açık kaynaklı günlük kaydı yardımcı programının siber güvenlik dünyasını nasıl ele geçirdiğini ve siber güvenlik uzmanlarına sonsuz baş ağrısına neden olduğunu anlatan geçen yılki fırtınadan gerçekten keyif aldınız. Ve elbette, suç dünyası, savunmasız hizmetler arayan otomatik tarama botlarıyla bunu kullanmaktan çok mutluydu.
Topluluğumuz fırtınaya tanık oldu. Açıklamanın ardından Aralık zirvesi geçtikten sonra, işler biraz sakinleşti, ancak Log4j için tarama faaliyetleri, daha düşük ancak sabit bir seviyede olmasına rağmen, botlar tarafından körüklenerek yeniden başladı.
Anahtar mesaj, “pazarlama” fırtınası geçtiği için korunduğunuzu düşünüyorsanız, iki kez düşünün.
Hala güvenlik açığını kullanmak isteyen çok agresif bir etkinlik var.
Örneğin, birkaç hafta önce, 13.89.48.118 IP adresi 500’den fazla kullanıcı tarafından 12 saatten kısa bir sürede bildirildiği için topluluğumuzun geniş bir yelpazesi tarandı. Düzeltme için topluluk engelleme listesindeki 20000’den fazla IP adresine katıldı.
IP adresleri: siber suçluların temel kaynağı
IP adresleri nadiren sonsuza kadar kötü niyetlidir ve itibarları bir günden diğerine değişebilir. Topluluk sürekli olarak onlar hakkında bilgi paylaşırken, herhangi bir güncelleme anında kullanıcılara aktarılabilir. Uzun vadede, IP adreslerinin saldırganlık süresi hakkında paha biçilmez veriler sağlar.
Bu, CrowdSec veri göllerine düşen (kötü amaçlı olarak işaretlenen) IP adreslerinin sayısının bir anlık görüntüsüdür. İlginç olan, siber suçluların saldırılarını gerçekleştirmek için kullandıkları IP’leri gerçekten değiştiriyor olmasıdır:
* Bunların sadece %2,79’u veri tabanımızın daimi üyeleridir
* Toplanan tüm IP’lerin %12,63’ü her hafta değişir
* Günlük yenileme oranı %1,8’dir
**Özerk sistemlerin güvenliği ihlal edilmiş IP’leri azaltmak için farklı yaklaşımları vardır**
Her IP, bir AS (Otonom Sistem) tarafından yönetilen bir adres havuzunun parçasıdır. AS, birleşik bir yönlendirme politikasına sahip kapsamlı bir ağ veya ağlar grubudur. İnternete bağlanan her bilgisayar veya cihaz bir AS’ye bağlıdır. Tipik olarak, her AS, bir İnternet servis sağlayıcısı (ISS), büyük bir kurumsal teknoloji şirketi, bir üniversite veya bir devlet kurumu gibi tek bir büyük kuruluş tarafından işletilir ve bu itibarla IP adreslerinden sorumludur.
CrowdSec topluluğu tarafından paylaşılan her agresif IP, AS tarafından zenginleştirilir. Bu, saldırganlık süresine ilişkin verilerle birleştiğinde, AS’nin güvenliği ihlal edilmiş IP’leri nasıl yönettiğine dair net bir resim sağlayabilir.
Sadece güvenliği ihlal edilmiş varlıkların sayısına bakmak bir açı olabilir, ancak bu mutlaka adil olmaz. Tüm operatörlerin boyutu eşit değildir ve bazıları diğerlerinden daha “riskli” hizmetler (merhaba eski PHP CMS) barındırır.
Aynı AS’deki tüm IP’lerin ortalama kötü niyetli süresi, operatörün güvenliği ihlal edilmiş varlıkları belirleme ve bunlarla uğraşma konusunda gerekli özeni gösterdiğini gösterir. Ortalama sürenin dağılımı, önde gelen bulut sağlayıcıları için en çok rapor edilen AS’nin konumunu gösteren oklarla gösterilir. Örneğin, AWS’de güvenliği ihlal edilmiş adreslerin güvenliği ortalama 3 gün boyunca korunur. Azure 9 gün. Grafiğin sonunda, Çin veya Rusya’dan (sürpriz…) AS, güvenliği ihlal edilmiş IP’ler üzerinde “daha az hızlı” hareket ediyor.
Bu makale, CrowdSec kullanıcılarının günlük olarak gördüğü tehdit etkinliği ve istihbaratına genel bir bakış sunmayı amaçlamaktadır. Lütfen Daha fazla ayrıntı istiyorsanız, raporun tam sürümüne buradan bakın.
