Avis de non-responsabilité : cet article est destiné à donner un aperçu des cybermenaces telles qu’elles sont perçues par la communauté des utilisateurs de CrowdSec.

Que peuvent nous dire des dizaines de milliers de machines sur les activités illégales des pirates ? Vous souvenez-vous de cette scène dans Batman – The Dark Knight, où Batman utilise un système qui agrège les données sonores actives d’innombrables téléphones portables pour créer un flux méta-sonar de ce qui se passe à un endroit donné ? C’est une analogie intéressante avec ce que nous faisons chez CrowdSec. En agrégeant les signaux d’intrusion de notre communauté, nous pouvons offrir une image claire de ce qui se passe en termes de piratage illégal dans le monde. Après 2 ans d’activité et l’analyse quotidienne d’un million de signaux d’intrusion provenant de dizaines de milliers d’utilisateurs dans 160 pays, nous commençons à disposer d’un flux mondial précis de « sonar Batman » des cybermenaces. Et il y a quelques plats à emporter intéressants à souligner.

Une cybermenace aux multiples visages

Une cybermenace aux multiples visages Tout d’abord, la cybermenace mondiale est très polyvalente. Que voit-on en examinant les types d’attaques signalées, leur origine et les systèmes autonomes (AS) derrière les adresses IP malveillantes ? Les scanners et les tentatives de force brute sont toujours les vecteurs d’intrusion les plus populaires que notre communauté voit et se classent au premier rang. Assez logique, car la surveillance est la première étape vers une intrusion plus avancée. Les activités d’analyse vues par notre communauté sont principalement des analyses de port ou des sondages basés sur HTTP. Parmi les différents types d’intrusions utilisées par les hackers, les tentatives de force brute sur les services sensibles (SSH, email, URL d’administration, etc.) arrivent en deuxième position. Pas d’information révolutionnaire, mais quand des études montrent que les attaques par force brute représentent 6% des cyberattaques dans le monde, il n’est pas surprenant de la voir comme dominante, d’autant plus qu’elle reste l’une des plus faciles et des moins chères à automatiser et à déployer. (bonjour les script kiddies). Parce que c’est assez facile à contrer, on pourrait penser que ça marche rarement, mais bon, 6% !

Log4J n’est toujours pas une affaire conclue

Parmi les tentatives d’exploitation les plus populaires que notre communauté voit, nous avons Log4j. Vous avez en effet apprécié la tempête de l’année dernière sur la façon dont un simple utilitaire de journalisation open source pour Apache avec une vulnérabilité a pris le contrôle du monde de la cybersécurité et causé des maux de tête sans fin aux experts en cybersécurité. Et, bien sûr, le monde criminel était plus qu’heureux de l’exploiter avec des robots d’analyse automatisés à la recherche de services vulnérables. Eh bien, notre communauté a été témoin de la tempête. Une fois le pic de décembre suivant la divulgation passé, les choses se sont un peu calmées, mais les activités de scan pour Log4j ont recommencé, bien qu’à un niveau inférieur mais constant, alimentées par des bots.

Le message clé est que si vous pensez être protégé parce que la tempête « marketing » est passée, réfléchissez-y à deux fois. Il y a toujours une activité très agressive qui cherche à utiliser la vulnérabilité. Par exemple, il y a quelques semaines, un large spectre de notre communauté a été scanné car l’adresse IP 13.89.48.118 a été signalée par plus de 500 utilisateurs en moins de 12 heures. Il a rejoint plus de 20 000 autres adresses IP sur la liste noire de la communauté pour la correction.

Les adresses IP : ressource principale des cybercriminels

Les adresses IP : ressource essentielle des cybercriminelsLes adresses IP sont rarement éternellement malveillantes et leur réputation peut changer d’un jour à l’autre. La communauté partageant constamment des informations à leur sujet, toute mise à jour peut être instantanément transférée aux utilisateurs. A terme, il fournit des données précieuses sur la durée d’agressivité des adresses IP. Il s’agit d’un instantané du nombre d’adresses IP qui ont atterri dans les lacs de données CrowdSec (signalées comme malveillantes). Ce qui est intéressant à noter, c’est que les cybercriminels changent en effet les adresses IP qu’ils utilisent pour commettre leurs attaques :

* seulement 2,79% d’entre eux sont des membres permanents de notre base de données

* 12,63% de toutes les adresses IP collectées changent chaque semaine

* Le taux de renouvellement quotidien se situe à 1,8 %

**Les systèmes autonomes ont différentes approches pour atténuer les adresses IP compromises** Chaque IP fait partie d’un pool d’adresses géré par un AS (Système Autonome). Un AS est un réseau étendu ou un groupe de réseaux qui ont une politique de routage unifiée. Chaque ordinateur ou appareil qui se connecte à Internet est connecté à un AS. En règle générale, chaque AS est exploité par une seule grande organisation, telle qu’un fournisseur de services Internet (ISP), une grande entreprise technologique, une université ou une agence gouvernementale, et est, à ce titre, responsable des adresses IP. Chaque IP agressive partagée par la communauté CrowdSec est enrichie par son AS. Ceci, combiné aux données sur la durée de l’agressivité, peut fournir une image claire de la façon dont les AS gèrent les adresses IP compromises.




Bien que regarder simplement le nombre d’actifs compromis puisse être un angle, ce ne serait pas nécessairement juste. Tous les opérateurs ne sont pas de taille égale, et certains hébergent des services « plus risqués » (bonjour les CMS PHP obsolètes) que d’autres. La durée moyenne malveillante de tous les IP dans le même AS indique la diligence raisonnable de l’opérateur dans l’identification et le traitement des actifs compromis. La distribution de la durée moyenne est indiquée par des flèches pointant vers la position de l’AS le plus signalé pour les principaux fournisseurs de cloud. Par exemple, chez AWS, les adresses compromises restent compromises pendant 3 jours en moyenne. Azur 9 jours. En fin de tableau, les AS de Chine ou de Russie (surprise…) « sont moins rapides » à agir sur les IP compromises.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *