Databáze Malware

Databáze malware obsahuje vzorky virů chycených některým z Nepenthes sensorů, které beží na adresních rozsazích v naší správě, či ve správě nekterého z naších partnerů, nyní máme celkem 13 funkčních sensorů, každý na jínem C rozsahu + dalších 60 IP z různých adresních rozsahů.

Celý system sensorů periodicky každou hodinu nahrává uloženy log a chycené binarní soubory na hlavní server, ktery údaje koreluje a ukládá do databáze. Z takto ziskaných údajů o vzorcích se nasledně generují statistiky a trendy pro virusmetr.

Databáze RFI Malware

Obsahuje vzorky chycené při některém z mnoha útoků na naše web servery, či webové servery ve správě naších partnerů. Jsou to ruznorodé soubory, které usnadňují útočníkovi ovládnutí daného webového stroje. Databáze slouží jako příklad skriptů používaných při automatizovaných i ručních pokusech o vzdálené vnoření souboru.

Grafy

Generované pomocí perlu a gd knihovny jsou rozdělený do dvou časových sekcí, dvoudenních a mesíčních statistik.

Struktura:

Statistika nejčastěji používaných názvů stahovaných souborů.
Statistika nejvetších ůtočníků.
Statistika nejčetnějších virů 

ISP Reporty

Pro ISP či správce IP rozsahů nabízíme možnost zasílání automatických reportů formou emailu, který obsahuje šiřitele z jeho adresních rozsahů a to včetně definicí vzorků stažených z těchto IP. Nabízíme i možnost generování prostého listu IP pro možnost dalšího zpracovaní např. rozesílání automatických emailu zavirovaným klientům. Definice od různých antivirových společností a v připadě možností i analýza binárního souboru pomáhají při odstranění a identifikaci úrovně nebezpečnosti daného viru. V současně době využívá této služby několik ISP, některým se s podařilo naprosto zminimalizovat virově šíření z jeho adresních rozsahů. V připadě zájmu můžete zaregistrovat svoje adresní rozsahy, nebo nás přimo kontaktujte na našem emailu.

Minihoney

Minimalistická distribuce Debian linuxu, optimalizovaná pro CF 256MB pro možnost umístění do wrapu či obdobného hw. Výhodou bude snadné nasazení do jakéhokoliv prostředí, ať domácího, firemního nebo prostředí ISP s relativně nízkým nakladem na pořízení a provoz.

Statistiky RFI

Anglicky "Remote File Inclusion" je typ útoku využívající nešetřených vstupních proměných v děravých webových aplikacích, které umožňují odkázat se na soubor uložený na cizím webovem serveru. Tyto hostující servery jsou ve většině případech servery, které se staly obětí při některem z automatizovaných útoků na tyto slabiny. Soubor na vzdáleném serveru obsahuje pomocný skript pro vykonání příkazů na stroji obsahující neošetřenou chybu, variant takovýchto skriptů je nepřeberně množství, od zcela jednoduchých skriptů pro vykonaní pouze jednoho přikazu, až po složité skripty umožńující rozmanité podpůrné funkce.

V těchto statistikách najdete statistiku těchto RFI útoků, nyní monitorujeme cca 400 virtuálních domén na webových serverech v naší správě, či ve správě nekterého z našich partnerů, všechno jsou linuxové stroje. Jednoduchý monitorovací skript vytvořen v perlu, je spouštěn periodicky každou hodinu z cronu na webovém serveru, při spuštění projede log apache serveru za poslední hodinu a ukladá záznamy odpovídající některému z přednastavených spínacích pravidel, například &cmd=. Uložený log je poté periodicky ukládan na hlavní server, který tyto linký účtuje a ukláda do databáze jednotlivé zjištěné informace, IP adresu útočníka, odkaz na pomocný skript obsahující pomocné funkce a cestu na volaný skript na naších sensorech. Hlavní server se také stará o kolektování těchto pomocných skriptů z hostujících serverů a to včetně jeho vnořených odkazů.

Poznámka: Pokuď máte zájem připojit se a korelovat log z vlastních web serverů stačí stáhnout nasledující perlový skript a zaslat nam odkaz na web server s uloženým vystupem.

Trendy

Nabizí náhled do statistik za předešlé dny.

Struktura:

Útoků celkem
Celkový počet všech zaznamenaných ůtokú za den.

Stažení celkem
Celkový počet všech ůspěšných ůtokú a nasledovného stažení vzorku za den.

Unikátní md5
Unikátní stažené vzorky za den.

Unikátní IP útoky
Uníkátní IP adresy poukoušející se o útok den.

Unikátní IP stažení
Unikátní IP adresy, ze kterých byl úspešně stažen vzorek za den.

Det. md5 stažení
Celkový počet všech stažených a pozitivně detekovaných vzorků za den.

Nedet. md5 stažení
Celkový počet všech stažených a nedetekovaných vzorků za den.

Det. md5 unikátní
Celkový počet unikátních detekovaných vzorků za den.

Nedet. md5 unikátní
Celkový počet unikátních nedetekovaných vzorků za den.

Unikátní viry
Celkový počet unikátních již detekovaných virů za den.

Nové md5
Celkový počet nově chycených unikátních vzorků za období den.

Nové md5 det.
Celkový počet nově chycených unikátních a detekovaných vzorků za den.

Nové md5 nedet.
Celkový počet nově chycených unikátních a nedetekovaných vzorků za den.

Top země
Země s nejvetším počtem ůtokú.

Top malware
Vir, s nejvetším počtem celkových stažení

Top IP
Adresa, která je nejaktivnější v počtu ůtokú.

Virusmetr

Je nástroj pro zobrazení aktuálního stavu informací o datech nasbíraných našimi sensory. Grafický prvek znázorněný šipkou naznačuje vývoj oproti průměru. Zobrazení se pro každé období počítá z odchylky od průměru za trojnásobek jednotlivých období. Červená šipka znázorňuje 133% nárůst od průměru za období.

Snažili jsme se vybrat data, která budou zajímavá pro nezávislého pozorovatele, pokuď vám zde něco chybí dejte nám vědet.

Struktůra:

Top malware
Vir, s nejvetším počtem celkových stažení