CSOC SOC Cyber Security Operations Center

CSOC-Event der Woche KW35: Hohe Netzwerkscan-Aktivität

KW35: CSOC-Event der Woche – Hohe Netzwerkscan-Aktivität


Durchschnittliche CSOC-Gesamtevents pro Tag
:      26.428
Detektionshäufigkeit:   38.456

Eventbeschreibung Hohe Netzwerkscan-Aktivität / Kritikalität = mittel (6 / 10)

In dieser Woche berichten wir über Events, die wir in großer Anzahl und mit steigender Häufigkeit detektieren: Netzwerkscans.

Diese Scans werden häufig als erster Schritt der „aktiven Informationsbeschaffung“ genutzt, also der direkten Interaktion mit dem möglichen Zielsystem. Das Resultat eines Netzwerkscans soll potentielle Angriffsmöglichkeiten eines IT-Systems bzw. einer IP-Adresse offenbaren. Wichtig ist, dass diese Scans nicht zwangsläufig einen aktiven Angriffsversuch nach sich ziehen – dennoch können Sie einen ersten Hinweis auf schädliche Aktivität geben.

Die Aktivität von Netzwerkscannern im Internet nimmt stetig zu. Stellenweise existieren Suchmaschinen, welche die Ergebnisse erfolgter Scans öffentlich zur Verfügung stellen. Ein Beispiel hierfür ist die Webseite www.shodan.io. Dort kann einfach nach beliebigen, öffentlichen IP-Adresse gesucht werden um herauszufinden, was das „Internet“ bereits über die eigenen über das Internet erreichbaren IT-Systeme an Informationen gesammelt hat.

Technische Darstellung:

Netzwerkscans werden in der Regel auch als „Portscans“ bezeichnet. Ein klassischer Portscanner ist das Tool „nmap". Nmap bietet viele nützliche Funktionen, um offene TCP- und UDP-Ports zu erkennen und die gesammelten Informationen auszuwerten. So ist es beispielsweise möglich, die Version des eingesetzten Webservers oder gar das zugrunde liegende Betriebssystem zu erkennen. Diese Informationen können im weiteren Verlauf eines potentiellen Angriffsszenarios genutzt werden, um vorliegende Schwachstellen zu identifizieren und ggf. auszunutzen.