1 pontos por GN⁺ 5 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • Das cerca de 2,67 milhões de IPs únicos coletados pelo honeypot Anubis na Sourceware, 89,3% não estavam em listas de ameaças existentes, o que torna difícil identificar a maior parte da atividade de scrapers usando apenas listas de bloqueio conhecidas
  • Ao inserir HTML semanticamente inválido e um link “Don't click me” na página de desafio, scrapers mal implementados que seguem esse link são conduzidos a conteúdo sem sentido e a links adicionais
  • Entre 2.678.193 IPs únicos, 286.161 endereços (10,7%) estavam cadastrados no banco de dados; desses, 98,6% estavam na categoria abuse, e o tráfego total se espalhava por 229 países e 21.116 ASNs
  • Há a possibilidade de que o tráfego venha de eletrodomésticos inteligentes infectados que participam de redes de proxy, mas os dados coletados por si só não comprovam o tipo real de dispositivo nem se ele está infectado
  • Para lidar com scraping que não se limita a um país ou rede específica, é necessário um firewall de aplicação web como o Anubis; uma solução fundamental exige uma resposta global coordenada simultaneamente

Scrapers que as listas de ameaças existentes deixam passar

  • No processo de construção do Anubis reputation database, 80 a 90% dos acessos registrados pelo recurso de honeypot vieram de IPs que não estavam em listas existentes de monitoramento de ameaças
  • Os dados coletados pela Sourceware nos últimos meses incluem 2.678.193 IPs únicos
    • Não há itens não IP nem endereços excluídos por duplicidade
    • Os endereços cadastrados no banco de dados são 286.161, ou 10,7% do total
    • Os endereços não cadastrados são 2.392.032, ou 89,3% do total
  • A tabela completa de entrada pode ser consultada em Appendix A: Full tables for the reputation database input

Classificação e provedores dos IPs cadastrados

  • Entre os endereços cadastrados no banco de dados, a categoria abuse representa 282.182 endereços, ou 98,6%
    • datacenter: 7.918 (2,8%)
    • proxy: 2.562 (0,9%)
    • vpn: 1.264 (0,4%)
    • crawler: 46
    • tor: 17
  • Por flags separadas, a contagem foi de is_datacenter 7.918, is_proxy 2.562, is_vpn 1.264 e is_crawler 46
  • Havia 126 provedores, e a netshield tinha a maior participação, com 237.945 endereços (83,2%)
    • bitwire 96.539 (33,7%), magicteamc 26.475 (9,3%), ipinsights 17.378 (6,1%), threathive 8.422 (2,9%)
    • Além disso, estão incluídos netmountains, multacom, fyvri, cbuijs, x4bnet, solispirit, dailyproxy, blackwall, hproxy, Scaleway, AWS, Alibaba Cloud, OVHcloud, entre outros
    • Como várias categorias ou informações de provedor podem se aplicar a um mesmo IP, a soma dos percentuais ultrapassa 100%

Distribuição por países e redes

  • Os endereços totais foram observados em 229 países, portanto não se limitam a uma região específica
    • Em número de endereços, os maiores volumes foram Brasil 270.937, Índia 185.091, Arábia Saudita 120.372, México 95.449 e Turquia 87.258
    • As taxas de cadastro no banco de dados foram Bangladesh 29,9%, Ucrânia 27,6%, Iraque 21,9%, Venezuela 21,3%, Paquistão 20,0%, entre outras
    • Nos Estados Unidos, 3.347 de 40.828 endereços estavam cadastrados, uma taxa de 8,2%
  • Considerando que há 249 países incluídos na ISO 3166-1, dos quais 193 são Estados-membros da ONU, a atividade de scrapers está espalhada pelo mundo todo
  • Os endereços estão distribuídos por 21.116 ASNs
    • No AS55836 Reliance Jio Infocomm Limited, 1.749 de 57.029 endereços estavam cadastrados, ou 3,1%
    • No AS45899 VNPT Corp, 6.831 de 56.910, ou 12,0%
    • No AS14593 Space Exploration Technologies Corporation, 4.597 de 31.569, ou 14,6%
    • No AS9541 Cyber Internet Services, 3.696 de 21.386, ou 17,3%
    • Na tabela, os outros 18.069 ASNs foram omitidos

Como o honeypot Anubis prende scrapers

  • Para medir a extensão da disseminação do problema dos scrapers, o Anubis insere o seguinte HTML semanticamente inválido em todas as páginas de desafio

/init">Don't click me

  • É um link que deve ser ignorado em um processamento normal, mas, se ele for seguido, é retornado um conteúdo de baixo custo de geração e sem informação prática
    • O conteúdo retornado inclui novamente dois links que levam a outras páginas
  • Essa estrutura foi projetada para conduzir scrapers mal escritos para dentro do honeypot, em vez do site protegido, ao mesmo tempo em que mede a escala do problema

Possibilidade de infecção em eletrodomésticos inteligentes e limites da resposta

  • Uma parte significativa do tráfego observado pode vir de eletrodomésticos inteligentes infectados que fornecem tráfego a redes de proxy
  • No entanto, isso permanece uma suposição, e os dados coletados não comprovam diretamente o tipo real de dispositivo nem se há infecção em cada IP individual
  • Para causar impacto real sobre um problema distribuído por países e ASNs, é necessária uma resposta global coordenada simultaneamente
  • Como a escala do scraping é ampla o suficiente, é necessário operar um firewall de aplicação web como o Anubis
  • Como fatos e circunstâncias podem ter mudado após a publicação, pontos ambíguos ou incorretos devem ser verificados antes de tirar conclusões precipitadas

1 comentários

 
GN⁺ 5 시간 전
Comentários no Lobste.rs
  • script type=ignore é uma sacada engenhosa. Tanto ferramentas como o elinks quanto o Chrome headless usado por scrapers ignoram isso completamente, mas o conteúdo em si pode ser enviado para a base e adicionado à fila de tarefas
  • A pergunta realmente interessante não é abordada: como realizar a verificação e o que fazer caso um comportamento adversarial seja encontrado
    Gostaria especialmente de saber mais sobre como detectar se um dispositivo infectado está se comunicando com um servidor de comando e controle (C&C)
    • Se nem sei como identificar todos os modelos possíveis de smart TV, é ainda mais difícil sugerir como verificar malware em cada modelo. O único conselho minimamente possível é não instalar apps ilegais que prometem TV grátis
    • Parece difícil sem algum nível de engenharia de redes. O método mais confiável seria analisar, no roteador, o tráfego por dispositivo de origem na LAN
      Talvez dê para usar como critério o volume total de tráfego ou o número de IPs de destino diferentes acessados
  • Fico curioso sobre o que significa aqui a categoria abuse
    • Ela mistura vários significados e precisaria ser separada, mas normalmente quer dizer destinos conhecidos como origem de spam por e-mail ou listados no FireHOL. Basta procurar por abuse neste arquivo: https://github.com/TecharoHQ/reputationdb/…