En kortare rapport om vad F-Secure sett genom sitt världsomspännande nätverk av honeypots under första halvåret för 2019.

Nyckelinsikter

  • Distribution av skadlig kod sker i huvudsak genom bruteforcing av RDP och sedan genom spam/e-post.
  • Det som sprids är Ransomware, banking trojaner och kryptominers.
  • Trend: Användning av certifikat för att signera binärer ökar!
  • En majoritet av all inkommande trafik är automatiska scanningar.

Lite om rapporten…

Det framgår inte om de mottagna scanningarna även omfattar mer än honeypot-nätet. Eftersom det är honeypots det handlar om kan vi också rimligen anta att många riktade angrepp faller bort helt eftersom dessa rimligen inte genomförs med hjälp av automatisk scanning av nätverk.

Rapporten ska således ses som en rapport om “bruset”, det din organisation kommer att se oavsett den bransch eller typ av verksamhet ni bedriver. Bara det faktum att ni har en uppkoppling mot Internet är tillräckligt för att omfattas av den här rapporten.

Jag säger att detta är en del av den generella hotbilden.

Anteckningar

NyckelordAnteckning
Automatisk scanning99.9% av alla inkommande trafik till deras Honeypots-nätverk är automatiska scanningar. Bottar, skadlig kod
Vad ser vi?Trafik till Telnet (TCP/23) och SMB (TCP/445) och så även SSH (TCP/22) på tredje plats. Telnet i stor utsträckning på grund av alla IoT-enheter. MSSQL (TCP/1433) också mycket vanligt.
Distribution och filtyperZIP, PDF, DOC och XLS är fortfarande absolut vanligast för att sprida skadlig kod men de har även noterat att ISO/IMG-filer används i större utsträckning. Särskilt för att leverera AgentTesla och NanoCore RAT.
Typ av skadlig kodRansomware, banking trojans och cryptominers är den tveklöst vanligaste typen av skadlig kod.
Signerade binärerEn annan trend är användningen av certifikat för att signera binärer då användare i stor utsträckning litar på dessa. https://attack.mitre.org/techniques/T1116/
Distribution31% av distributionen av skadlig kod kommer genom RDP, 23% genom mejl och spam, och 12% genom sårbar firmware eller middleware.