Делимся полезными данными собранными в процессе исследования

На данный момент exploit.by частично останавливает свою деятельность по исследованию белорусского интернета на неопределенное время в связи с тем, что насобиралось уже очень много данных и на текущих мощностях не предоставляется возможным их оперативно обрабатывать и собирать новые. Да и отпуск дело такое, где надо только отдыхать :)

В связи с этим, я принял решение частично расшарить некоторые данные и собственно все самое безобидное выгрузить на GitHub. Данные в большей степени можно сказать - обезличеные, т.к. они не выдают никакой информации о уязвимых системах, версии используемого ПО и др. По сути выгрузка - это набор доменных имено с некоторой сортировкой по разным типам без какой либо вспомогательной информации.

В случае, если кому-то нужна более детальная информация или чего-то нужно дособирать - пишите на почту (контакты можно найти на основном сайте). Сразу оговорюсь - данные отдаются только для исследований. Кроме того, собрать такие данные на самом деле не предоставляет никаких сложностей и не требует огромных ресурсов за исключением дальнейшего хранения и обработки.

Репозиторий на GitHub с выгрузками

Дизайнеры и разработчики сливают исходный код и БД своих клиентов

Это называется - слить данные на GitHub в публичный репозиторий

На просторах интернетов можно найти много чего интересного. Но как обычно - нас интересуют пока только белорусские интернеты и всё, что с ними связано. Соответственно - очередная порция годноты (в рамках закона и пределах разумного).

Сотрудник ползал в интернете и искал нечто, до конца не знал, что он ищет, просто всякие интересности. Так вот, в процессе этих поисков получилось отыскать репозиторий на GitHub в котором лежали... исходники и дампы БД с ссылками, email, паролями. Сразу подумали, что кто-то балуется взломом сайтов, но позже все оказалось куда проще - сотрудники (или "фирма") по производству посредственных сайтов просто выкладывала зачем-то на гитхаб исходный код и к этому всему делу добавляла еще дамп БД со всей хранящейся там информацией.

Вы еще не запустились, но про вас все знают ? Поисковики беспощадны!

Это небольшое наблюдение, возможно, про уже неактуальный проект, а может про бизнес - который еще готовится к запуску. В любом случае, в качестве примера - ваирант идеальный.

Существует множество разных поисковых систем: google, yandex, bing - это перечень тех, которыми пользуются обычные пользователи, а есть вариант поисковиков вроде shodan и censys - для технических специалистов. Всю информацию за вас уже собрали, не надо ничего сканировать или проверять, достаточно обратиться к поисковой системе.

Из чего мы можем выбирать ?

Как видно по статистике - у нас достаточное количество уже проиндексированных систем. Если обычные поисковые системы при индексировании сайтов учитывают их пожелания, которые в свою очередь администраторы прописывают в файликах вроде "robots.txt" или задают (ограничивают) с помощью карты сайта, то шодан в этом плане менее внимательный.

Дефейсы, распространение малвари - да да, это все взломаные сайты

Так может выглядеть взломанный сайт или одна из его страничек

Как можно догадаться из названия - сегодня рассмотрим кейс по уже взломанным сайтам и их последствия.

В предыдущих материалах я уже писал, что в процессе нашего исследования, которым я занимаюсь - у меня на данном этапе получилось определить около 30+ тысяч сайтов (некоторые уже не активны), всего же доменов зарегистрировано в BY tld около 130 тысяч, и как показывает Google (он конечно же, не все может знать, но для старта - сойдет) - больше 20 тысяч сайтов были взломаны или заражены и в последствии распространяют разного рода вредоносные скрипты и программы.

Местные разработчики и хостинг провайдеры - добро пожаловать в прошлое

DNS для самых маленьких

Как обычно - дьявол кроется в мелочах. Так, в процессе сбора и обработки данных по нашей любимой доменной зоне .BY выяснилось, что существует достаточно количество как хостинг конмпаний, так и девелоперских контор - которые не в курсе такой простой проблемы.

"Передача зоны DNS, AXFR — вид транзакции DNS. Является одним из механизмов репликации баз DNS между серверами" © wikipedia

Ранее я уже публиковал цифры из уже проведенного анализа наших доменов и DNS, это на тот момент было порядка 16-17 тысяч доменов и пары тысяч DNS серверов. Уже как можно понять - прошло время, охват немного расширился, в базе теперь уже более 30 тысяч доменов и как показала практика - в количестве выросли и DNS сервера, проблема вроде передачи файлика описания доменной зоны - соответственно.

Забавно но факт: Выходная нода TOR была замечена в Беларуси

Вообще поднимать свои ноды тора это довольно опасное занятие, хотя многие и не брезгуют этим. Но это еще ладно, другой вопрос - когда поднимают такие ноды на территории таких стран как Беларусь и Россия, это повышает градус риска еще больше.

Почему-то ранее об этом не написал, но довольно длительное время на карандаше была выходная нода в Беларуси:

Насколько мне известно, кроме того, что ноду можно поднять самостоятельно, ее так же могут поднять и разные малварьные апликейшены, вирусы и т.д.
Но проблема даже не в этом и не сказать, что она вообще есть, тут скорее просто забавный факт.

Хотя вредоносной активности по данному хосту замечено и не было, вопросов от этого меньше не остается. Чаще всего такими вещами занимаются, когда хотя что-то от кого-то скрыть.

#новости #важное #infosec #tor #belarus #security #cybersecurity #инфобез

Немного статистики по доменам и DNS в байнете

Надо бы вбросить немного статистики пока идет доработка сервиса хотя бы по тому, что уже удалось насобирать.

Сегодня посмотрим на домены, DNS сервера, почтовые сервера.

Для того, чтобы было с чем работать и вообще откуда-то черпать информацию - сразу в качестве отправной точки у нас будут выступать такие вводные как IP и доменные адреса. Что откуда, как берется и далее обрабатывается - позже рассмотрим отдельно.

Если обратимся к статистике на официальном сайте регулятора "cctld.by" и посмотрим статистику по доменнам именам в зоне BY, то картинка складывается очень приятная:

Если верить показания "счетчика", то актуальных доменов существует на данный момент всего около 130 тысяч. Напомню - нас пока интересует только зона BY (.by).

Регистраторов у нас к слову, не так уж и много, ключевых игроков всего несколько и исходя из этого можно сделать вывод (опять же, с учетом общего количества доменов) - для анализа белорусского интернета много сил и времени однозначно не понадобится (выдыхаем).

На этапе проектирования архитектуры нашего решения, анализа ситуации с доступностью информации, тестирования и последующего сбора данных - нам удалось собрать не много не мало, но более 10% от общего количества (без глубоких исследований).