U oblasti sajber sigurnosti zabilježen je neviđeni porast aktivnosti skeniranja malicioznog koda, pri čemu su DShield honeypot-ovi prvi put u svojoj operativnoj historiji zabilježili preko milion unosa u dnevniku u jednom danu.
Ova dramatična eskalacija predstavlja značajan pomak od tipičnih obrazaca aktivnosti honeypot-a, gdje su se takvi događaji velikog obima ranije smatrali izuzetnim, a ne rutinskim pojavama.
Rekordna aktivnost se održava već nekoliko mjeseci, pri čemu više honeypot-ova konstantno generiše logove koji prelaze 20 GB dnevno, a neki dostižu skoro 58 GB u periodu od 24 sata.
Ovo predstavlja značajno povećanje u odnosu na prethodni rekord od približno 35 GB, što ukazuje na koordiniranu i upornu kampanju skeniranja širom interneta usmjerenu na web ranjivosti i usluge.
Analitičari Internet Storm Centra su utvrdili da primarni izvor ovog ogromnog porasta obima logova potiče od logova web honeypota, a ne od tradicionalnih aktivnosti skeniranja mreže.
Istraživanje, koje je proveo Jesse La Grew, otkriva da ovaj fenomen nije izoliran na pojedinačne “honeypot” prijetnje, već predstavlja sistematski porast u više sistema za praćenje, što ukazuje na koordiniranu evoluciju krajolika prijetnji.
Aktivnost skeniranja pokazuje sofisticirane obrasce ciljanja, pri čemu se hakeri fokusiraju na specifične API krajnje tačke i konfiguracijske interfejse.
Analiza obrazaca saobraćaja otkriva da napadači sistematski traže ranjive web aplikacije, posebno ciljajući putanje kao što su /__api__/v1/config/domainsi /__api__/v1/logon, koje se obično povezuju sa sistemima za upravljanje mrežom preduzeća i mehanizmima za autentifikaciju.
Analiza vektora napada i mehanizmi perzistencije
Tehnička analiza otkriva da kampanje skeniranja potiču iz distribuisanih podmreža, sa značajnom aktivnošću iz mreža koje uključuju 45.146.130.0/24, 179.60.146.0/24 i 185.93.89.0/24, pri čemu svaka generira stotine hiljada do miliona pojedinačnih zahtjeva.
Napadači demonstriraju upornost kroz ponovljene pokušaje na više IP adresa unutar ovih raspona, što ukazuje na korištenje botneta ili kompromitovane infrastrukture za kontinuirane izviđačke operacije.
.webp)
Obrasci skeniranja ukazuju na metodičan pristup otkrivanju ranjivosti, pri čemu hakeri sistematski nabrajaju uobičajene krajnje tačke web aplikacija i API interfejse.
Ovakvo ponašanje ukazuje na pripremu za napade većih razmjera, jer prikupljeni obavještajni podaci mogu olakšati ciljane kampanje iskorištavanja identifikovanih ranjivih sistema.
Zahtjevi za pohranu podataka za sigurnosne timove dramatično su se povećali, a nekim organizacijama sada je potrebno i do 140 GB kapaciteta pohrane samo za web honeypot logove između sedmičnih ciklusa sigurnosne kopije, što naglašava operativni uticaj ove eskalirane aktivnosti prijetnji.
Izvor: CyberSecurityNews
