Nei giorni scorsi abbiamo osservato un attacco coordinato verso il server dedicato di uno dei nostri clienti. Il server ospita numerosi siti web. Questo tipo di eventi non desta generalmente nessuna sorpresa considerato che i tentativi di intrusione sul parco server rilevati e bloccati si registrano quasi giornalmente. L’evento registrato nello specifico però offre alcuni punti di riflessione per l’analisi e lo studio delle attività maligne in rete.
La tipologia di attacco rilevato su questa singola macchina ha mostrato una preponderanza di port scanning indirizzati verso uno specifico range di porte. Molto spesso si assiste a questo tipo di comportamento nel momento in cui l’attaccante è alla ricerca di una specifica vulnerabilità.
Per facilitare la schematizzazione abbiamo proposto una semplice tabella che riporta nazionalità della sorgente d’attacco, porta sorgente e porta di destinazione. Il dato relativo alla porta sorgente è spesso poco indicativo in quanto le connessioni da un host verso l’esterno possono essere generate su un range di porte molto ampio. Altrettanto spesso però analizzando le sorgenti di uscita è possibile individuare comportamenti tipici di alcuni worm e bot che utilizzano un determinato intervallo di porte per generare il traffico verso l’esterno.
[table id=2 /]
Il dato più evidente ricavabile dalla tabella è il numero di scanning indirizzati verso il range di porte 21100 – 21900, un dato che mostra come l’attacco sia :
- l’azione coordinata di una o più botnet, che si evince dalla distribuzione geografica delle sorgenti di attacco
- l’azione coordinata di una o più botnet che ha come obiettivo l’exploiting di una vulnerabilità attiva sul range di porte indicato
Questo tipo di attacchi possono essere facilmente rilevati con un firewall software proattivo (ampiamente utilizzati sui server dei nostri clienti) e bloccati abbastanza velocemente. La generazione di allerte relative alle anomalie riscontrate consente di effettuare una successiva analisi come quella presentata in questo post.
Gran parte dei port scanning che rileviamo giornalmente è diretto verso le più comuni porte dedicate ai proxy come la 3128, la 8080 o la 8880. Il range di porte rilevato in questo attacco è invece abbastanza inusuale e lascia intuire come i bot, con lo scanning sul range 21100 – 21900 fossero alla ricerca di una vulnerabilità particolare che può essere molto spesso un exploit oday.
1.1 La mappa mostra la distribuzione geografica dell’attacco
Analizzando inoltre i dati relativi ai nomi host dei bot coinvolti nello scanning e considerando che molto spesso le scansioni non possono essere spoofate, abbiamo rilevato come la maggioranza delle macchine sia allocata presso fornitori di connettività Adsl residenziali.
Post simili: