UZCERT

Но что мы можем сделать, чтобы уследить тенденцию на хакерские атаки, до того, как мы столкнемся с ними в реальном времени?

Еще в 90-х годах была исследована и изобретена специальная технология “Honeypot”, которая использовалась как ловушка для хакеров. Суть данной ловушки заключается в том, чтобы навлечь на себя атаку или несанкционированную попытку взлома. В результате накопленные данные анализируются специалистами информационной безопасности и выявляются тенденции на кибератаки и даже выявляются 0-day уязвимости.



В целях выявления и анализа актуальных киберугроз в национальном киберпространстве, UZCERT в июле месяце текущего года было зафиксировано более 800 тыс. кибератак на различные сенсоры Honeypot. По результатам проведенного анализа было выявлено, что чаще всего атаки проводились на следующие сетевые протоколы: SSDP, NTP, SSDP, FTP, SFTP, SMTP.

Также, одной из распространенных видов вредоносной сетевой активности в июле были вредоносные полезные нагрузки (payload). А среди, эксплуатации общеизвестных уязвимостей чаще всего встречались: CVE-2020-11899, CVE-2020-11910 и CVE-2019-12261.

Кроме того, в список email-адресов, которые были наиболее часто использованы при взаимодействии с honeypot, попали следующие почтовые адреса:

- spameri@tiscali.it;
- dschwab9@gmail.com;
- r.ofcanada@aol.com;
- info@office.org;
- test@goodfamily.com;
- recrutamento@opentechgr.com.br;
- georgemcconnell662@gmail.com;
- dsfhgsdfsds@outlook.com;
- arristergerardvidal11@outlook.com;
- charlesfeeney010@gmail.com.

На основании полученной при помощи сенсоров Honeypot информации было установлено, что 91% кибератак было осуществлено настоящими злоумышленниками; 6% – сканерами; остальные атаки пришлись на боты, спамеры и выходной узел Tor.

В заключение, стоит отметить, что наблюдается тенденция кибератак на сетевые протоколы SSDP, NTP, SSDP, FTP, SFTP, SMTP и брутфорс-атаки (подбор паролей к учётным записям). Также, было установлено, что злоумышленники чаще всего сканируют устройства на наличие устаревших общеизвестных уязвимостей, для эксплуатации которых имеются проверенные эксплойты. При этом, для устранения данных уязвимостей уже давно существуют патчи безопасности.

С учётом вышеизложенного, владельцам информационных систем и ресурсов рекомендуем принять следующие организационно-технические меры защиты:

- обновлять все программные продукты, операционные системы, базы сигнатур средств защиты и сопутствующие компоненты до последней стабильной версии и регулярно проверять на наличие обновлений;
- удалить не использующиеся учётные записи. При изменении учётных данных рекомендуется использовать правила формирования паролей для учётных записей, предусматривающую генерацию паролей с использованием цифр, специальных символов, букв верхнего и нижнего регистра;
- заблокировать вышеуказанные email-адреса из списка;
- рекомендуется закрыть неиспользуемые порты или изменить стандартные порты, использующие вышеперечисленные сетевые протоколы;
- обеспечить регулярное резервное копирование всех критически важных данных;
- регулярно следить за новостями, чтобы быть в курсе тенденций в сфере кибербезопасности.