Van cybercriminelen en IP-adressen

Cybercriminelen en IP-adressen Nachrichten

Je houdt er niet van als de FBI om zes uur ‘s ochtends op je deur klopt. Verrassend genoeg doet uw gebruikelijke cybercrimineel dat ook niet. Dat is de reden waarom ze zich verbergen (althans de goede), bijvoorbeeld achter lagen van proxy’s, VPN’s of TOR-knooppunten.

Hun IP-adres zal nooit rechtstreeks worden blootgesteld aan de machine van het doelwit. Cybercriminelen zullen altijd IP-adressen van derden gebruiken om hun aanvallen uit te voeren.

Er zijn talloze manieren om cyberaanvallen uit te voeren. Maar één ding hebben ze allemaal gemeen. De behoefte aan een pool van IP-adressen om als medium te dienen. Criminelen hebben IP-adressen nodig om gedistribueerde denial-of-service-aanvallen uit te voeren.

Criminelen hebben IP-adressen nodig om zich achter te verschuilen bij het aftasten van diensten. Criminelen hebben IP-adressen nodig om brute force-aanvallen uit te voeren. Criminelen hebben IP-adressen nodig om botnetwerken en -services te laten draaien. In een notendop, criminelen moeten voor vrijwel alles IP-adressen onder hun controle houden. Het is hun belangrijkste bezit en is de munitie die ze nodig hebben om aanvallen uit te voeren.

Dus hoe komen cybercriminelen aan die beruchte IP-adressen en wat kost dit hen? Hier zijn enkele voorbeelden.

“beheerder/beheerder”

Het kapen van machines en meer specifiek netwerken van IoT-apparaten. Slecht beveiligde en beheerde vloten van IoT-apparaten met standaard toegangsreferenties en verouderde firmware zijn daarvoor het perfecte doelwit. Gemakkelijke manier om een ​​groot aantal apparaten te zombificeren, vers bediend voor DDoS-aanvallen … hey “slimme” beveiligingscamera’s … we houden je in de gaten!

“VPS zijn goedkoop”

Neem een ​​willekeurige cloudprovider, start enkele instanties, installeer bots om te scannen en probeer Log4j-injecties. Tegen beperkte kosten beschikt u over uw botnetwerk om doelen te scannen op kwetsbaarheden. Natuurlijk wordt u op een gegeven moment gemarkeerd of kan de provider u betrappen. Maar je kunt je aanpak repliceren met cloudproviders in andere landen, misschien minder met betrekking tot het gebruik van die VPS …

‘Naar de duisternis”

Ze kunnen ook naar de supermarkt voor criminelen, oftewel. “dark web” en een netwerk van bots verwerven om aanvallen zoals DDoS voor een paar honderd dollar af te leveren. Scriptkiddies, welkom.

Twee take-aways van deze benaderingen:

Het verkrijgen van IP-adressen, hoewel niet onmogelijk, kost geld, tijd en middelen. Als je daarmee knoeit, knoei je met het vermogen van een crimineel om zijn werk efficiënt te doen. Verbied bekende IP’s die door criminelen worden gebruikt en u zou de veiligheid van uw online activa drastisch kunnen verhogen.

Die bot- en scanautomatiseringsactiviteiten genereren veel achtergrondgeluid op internet. Stel je voor dat al die ontelbare botnets de IP-ruimte scannen voor verschillende snode doeleinden. Dit staat bij SOC-analisten bekend als “alert vermoeidheid”, wat inhoudt dat dit een grote hoeveelheid data genereert, zonder veel toegevoegde waarde, maar waar analisten wel rekening mee moeten houden.

Maar goed nieuws allemaal, er zijn oplossingen om het leven van cybercriminelen moeilijker te maken.

IP-reputatie is een deel van de oplossing. Stel dat gebruikers preventief het risico kunnen inschatten van een IP die verbinding maakt met een dienst. In dat geval kan het bekende kwaadwillende gebruikers buitensluiten en ervoor zorgen dat die IP’s niemand meer pijn kunnen doen, de facto de IP-adrespool wegnemen die criminelen tijd en geld hebben besteed aan het bouwen.

Bij CrowdSec hebben we leuk geëxperimenteerd: we hebben twee identieke VPS’en opgezet op een bekende cloudprovider, met twee simpele diensten, SSH en Nginx. Niets bijzonders, net als miljoenen machines in het wild. CrowdSec is op beide geïnstalleerd om inbraakpogingen te detecteren. Toch had één machine de herstelagent (IPS), die IP-reputatie-informatie ontving van de CrowdSec-gemeenschap (dagelijks 1 miljoen gedeelde signalen) en preventief gemarkeerde IP’s verbood.

Het resultaat was ronduit verbluffend.

Dankzij de community blocklist blokkeerde de machine met de IPS preventief 92% van de aanvallen in vergelijking met de machine zonder de IPS. Dat is een opmerkelijke verhoging van het beveiligingsniveau.

U kunt meer lezen over de methodologie en gedetailleerde resultaten op: https://crowdsec.net/

Bron: crowdsec.net

Gemeenschappelijke IP-blokkeringslijsten – met de vorige curatie – zorgen voor beide uitdagingen.

Het verlamt criminelen door hun IP-adrespool teniet te doen. Ze hebben tijd, geld en middelen besteed om ze te bouwen, en wij, als gemeenschap, nemen ze gewoon in een oogwenk weg. Neem dat uitschot!

Maar het maakt ook het leven van analisten en cybersecurity-experts veel gemakkelijker. Door preventief die snode IP’s te blokkeren, wordt het achtergrondgeluid aanzienlijk verminderd. We hebben het over het met 90% verminderen van de waarschuwingen die door SOC-mensen moeten worden geanalyseerd. Dat is veel meer tijd om u te concentreren op belangrijkere waarschuwingen en onderwerpen. Alerte vermoeidheid? – tot ziens.

Als u wilt deelnemen aan de grootste IP-reputatiegemeenschap en op snode IP-adressen wilt jagen terwijl u uw online activa effectief wilt beschermen, sluit u dan bij ons aan op crowdsec.net

David
Rate author
Hackarizona