Networkforensic

Threat hunting

Uautoriserede scanninger - Frigivet IDS Rules

 15 November 2022  - Blog Post # 842

IDS Rules frigivet
Baseret på den frigivet liste har jeg frigivet 232 IDS rules til detection af scanninger.

Alt efter hvor ens sensors sidder vil jeg mene at de kommer til at give en del alerts, men det er også meningen med disse alerts, det er så man rent faktisk med selvsyn kan se hvor meget man blliver scannet.
NF Scanners kan hentes her.

 

Uautoriserede scanninger

 14 November 2022  - Blog Post # 841

Uautoristrede scanninger mod energi og forsyningsselskaber
I mange år har jeg bemærket de mange scaninger som bliver hyppigerer og mere omfangsrige i hvad de konstant scanner efter. Det har været en udfordring egenteligt at sætte tal på, da jeg ofte kun kan undersøge egen virksomhed i logs mm for at se hvor meget der egenteligt foregår imod en selv.

Det er heller ikke noget andre har produceret nogen tal på, andet end de siger det er ofte. MEN nu har EnergiCERT i Danmark endeligt kunne sætte nogen tal på og jeg må indrømme at tallet er lang større end først antaget.

Research
Det har ofte gået under "dække" af "jamen det er research" og NEJ det er ikke tilfældet, 90%. Det er ren og skær data indsamling og sårbarheds scanninger. Informationer både "gives væk" og sælges til dem der måtte være interesseret. 




Udfordringer
Det er forbundet med mange udfordringer at dette sker. Jeg vil lige ridse et par eksempler op her.

Er man en virksomhed så har man typisk en del servises man tilbyder. Måden hvorpå det foregår på er typisk man måske har et mailsystem, en eller mange web-servers, SSH, VPN og meget meget mere stående åbent, således at brugere og ansatte kan få adgang til disse. Disse kan være fuldt opdateret og ingen problemer i det.

Nu kommer der så en scanning der indsamler informationer om alle desystemer man tilbyder, det kan være web-server versioner, systemer navne, plugins der bruges på web-sites, porte der er åbne mm. og alt dette kan være opdateret til det helt perfekte.

Det der rent faktisk sker, er at nu ligger de inde med alle de data de har indsamlet fra virksomheden. Bliver der så opdaget en svaghed i en af de systemer man tilbyder, så kan alverden hente "gratis" eller købe disse oplysninger fra en af de servises der scanner konstant over alle dem der har denne svaghed. Det er ikke til at sige hvem der henter dem. Men ofte ser vi at når en svaghed bliver opdaget så er tiden fra opdagelsen og publicering omkring information om svagheden til den forsøges udnyttet næsten nede til få timer. Det kan og vil ramme virksomheden, der nu kan risikere alt fra Ramsomware til egenteligt hacking af hele virksomheden.

Gør man ikke noget aktivt for at undgå alle disse data indsamlinger, så er vejen til en fuld kompromitering af ens virksomhed meget lille i dag.

Research
Når jeg kigger på data over hvad en service der scanner og sammenligner med egentelig Research fra eksempelvis universiteter så er der MEGET stor forskel i hvad de laver. Så alle dem der dækker sig under "Research" fanen egentelig bare en "løgn" så der ser mere legalt ud for dem at scanner som de gør.  Tilgængeligheden for data der er indsamlet fra et Universitet er ikke lige noget man bare får adgang til, så det ville kunne misbruges til angreb imod virksomheder mm. Her vil jeg klart uderstrege at jeg går 100% ind for research men ikke dem der kalder bebyder det er research, men hvor det er rene sårbarheds scanners, der sælger eller deler data frit.

Manglende genkendelse
Udfordringen er at ingen kigger på hvad der sker på deres systemer godt nok, og tror at de bare lige så en der forsøgte en enkelt ting imod ens systemer, men det er ikke tilfældet. Typisk spreder de scanninger af systemer fra mange forskellige IP-adresser således at det ikke ligner noget i logs mm. De hopper fra NET til NET fra ISP til ISP for at "skjule" hvad" de egenteligt laver. Men det samlet billede er at man lige er blevet fuldt sårbarheds scannet på alle ens systemer på stort set alle porte, det skete bare over et par dage. Men sandheden er at man nu er fuldt indekseret hos den der scannede. Antallet af dem der scanner er steget drastisk over de seneste par år. Hos EnergiCERT har man nu identifceret 67 forskellige "grupper" der scanner inden for alle kategorier. Det er bare dem der er identificeret pt. Det tal forventes at være langt højere i virkeligheden.

Hvem kigger på data ?
Det er i bund og grund ikke til at sige 100% sikkert, det kan være "Nation state" til hackers der har fundet en sårbarhed på et givet system. Nogen gange bliver der publiceret informationer om sårbarheden efter et stykke tid hvis der overhovedet sker, såfremt de ikke bare selv beholder informationer om sårbarheden så den kan misbruges.

Det er så tit fremme, Russerne kommer og undersøger vores net for indgange, ja måske men de behøver ikke scanne os for det har vi jo selv gjort for dem, de kan jo bare hente det allerede tilgængelig indsamlet data, som jo glædeligt bliver solgt

Det seneste eksempel jeg har set er SocRadar der scannede helt vildt i ugerne og dagene op til frigivelsen af Bluebleed, og som mange hoppede glædeligt på. Og tillykke til SocRadar der fik mange til at hoppe med på deres ambulance-salg og fik deres navn på scanner kortet. I virkeligheden er de en lille spiller sammenlignet med eks Binaryedge der virkelig er gode til at jumpe og hoppe rundt.

ISP'er
Hver gang jeg kigger på de ISP'er der bliver brugt til at hoste scanners så optræder DigitalOcean og Linode alt for ofte på listen over dem der hoster scanners. Her kan man med fordel kigge listen igennem, og eks bare IP blokere hele ISP'en. Det er ikke udelukkende de 2 omtalte ISP'er, dem er der flere af. Jeg har forsøgt dette og virker forbavsende godt især imod de scanners der hopper fra NET til NET og ISP til ISP hele tiden. Et par af dem er virkelig gode til at udskifte IP'er, ISP og NET en gang om ugen. Så gå efter at bloker for ISP'en.

Lovgivning
Det har udartet sig til det vilde vesten på dette scanner område, uden nogen form for "oversight" og det gør rigtig ondt på rigtig mange derude, der kommer meget galt afsted, med ransomware om meget meget mere.
Det bedste ville være at der kommer loggivning omkring dette for at begrænse alle de skader vi ser. Der skal simpelhen skabes mere tid til at få sikkerheds patchet systemer, og en attacker skal være tvunget til at scanne hele internettet selv. Det skal ikke kunne hentes som en liste på 10 sekunder. DER SKAL LOVGIVNING TIL og det skal være lovgivning der batter noget.

EnergiCERT
EnergiCERT har netop frigivet en fin publikation omkring netop de mange scanninger, samt en ip liste over rigtig mange af dem der scanner. Det vil jeg klart anbefale man benytter på alle ens systemer. For den eneste mulighed lige nu er at begynde at gøre de data der er indsamlet "gamle" og ubrugbare, det kan kun gøres ved at blokerer for disse scanninger.

https://energicert.dk/wp-content/uploads/2022/11/Uautoriserede-scanninger-v1.0.pdf

https://energicert.dk/wp-content/uploads/2022/11/ipliste.txt

 NF IDS Rules
10 Latest Updates

IcedID BackConnect

Kali linux

IcedID BackConnect

AeroAdmin Remote

AnyViewer Remote

GetScreen Remote

IperiusRemote Remote

RustDesk Remote

PDFConverter - PUA

Flux Bitcoin Mining

 Download