Popis feedů z dokumentace IntelMQ zde azde .
Zdroj:https://www.team-cymru.org/Services/Bogons/fullbogons-ipv4.txt
Typ: other/blacklist
Feed.name: cymru-full-bogons
Pravidelně aktualizovaný seznam tzv. bogonů, které jsou definovány jako tzv. marťané (Martians - soukromé a vyhrazené adresy definované v RFC 1918, RFC 5735 a RFC 6598) a bloky, které nebyly přiděleny do RIR (Regional Internet registry).
Zdroj: https://feodotracker.abuse.ch/blocklist/?download=ipblocklist
,
https://feodotracker.abuse.ch/blocklist/?download=domainblocklist
Typ: malicious code/C&C
Feed.name: abuse-ch-feodo-tracker-ips, abuse-ch-feodo-tracker-domains
Feodo Tracker Feodo IP Blocklist obsahuje adresy IP (IPv4) využívané jako C&C pro komunikaci s trojanem Feodo (také známý jako Cridex, Bugat). Tento trojan je využíván ke krádeži citlivých údajů - např. údajů ke kreditním kartám a jejich zneužitím. Feodo Tracker sleduje 4 verze Feodo Trojanu, z nichž každá má svá specifika:
Verze A: C&C server je kompromitovaný webový server, kde beží na TCP portu 8080 nginx, který přesměrovává veškerý provoz botnetu na proxy další úrovně.
Verze B: Servery pronajaté a přímo řízené exkluzivně pro účely C&C serveru pro Feodo trojan. Obvykle využívají doménové jména v rámci ccTLD .ru. Botnet obvykle používá port 80.
Verze C: Následník Feodo s kompletně odlišným kódem, využívá stejnou botnet infrastrukturu jako verze A (kompromitovaný Nginx server na portu 8080 nebo 7779, bez použití doménových jmen), ale s odlišnou strukturou URL. Tato verze je známa také jako Geodo a Emotet.
Verze D: Následník Cridexu známý také jako Dridex.
Verze E: Následník verze C (Geodo/ Emotet) nazvaný Heodo, poprvé se objevil v březnu 2017
Upozornění: Vzhledem k tomu, že Feodo C&C servery spojené s verzí A, verze C a verze D jsou obvykle hostovány na kompromitovaných serverech, je pravděpodobné, že při jejich zablokování bude zablokován nebo přerušen také legitímní provoz.
Více informací je možné najít zde: https://feodotracker.abuse.ch/blocklist
Zdroj: https://www.turris.cz/greylist-data/greylist-latest.csv
Typ: information gathering/scanner
Feed.name: turris-greylist
Z routerů Turris jsou získávány denně informace o několika milionech paketů, které byly zablokovány na firewallu. Z těchto dat je možné získat užitečné informace.
Každý týden jsou surová data z firewallu zpracována a klasifikováno chování IP adres, které přistupovaly na větší množství routerů zapojených do projektu Turris. Výsledný seznam adres, které se snažily získat přístup nebo informace o službách, které jsou na routeru provozovány, je publikován jako tzv. „greylist“, na kterém je kromě adres uveden také seznam štítků, které indikují, jaké chování bylo u adresy pozorováno.
Více informací: https://project.turris.cz/cs/greylist
Zdroj: https://reputation.alienvault.com/reputation.data
Typ: other/blacklist
Feed.name: alienvault
AlienVault Reputation Monitor služba, která hlídá zda se požadovaný rozsah objevuje v Open Threat Exchange (OTX), což by indikovalo jeho možnou kompromitaci. OTX obsahuje data ze široké škály zdrojů včetně AlienVault uživatelů, dalších výzkumníků a dodavatelů. Objevení IP adresy zde je hlavním indikátorem toho, že server může být kompromitován. Služba OTX Reputation Monitor také sleduje DNS záznamy a SSL certifikáty a jejich nežádoucí změny.
Typ: other/blacklist
Feed.name: alienvault-otx
Více informací: https://github.com/AlienVault-OTX/OTX-Python-SDK
Zdroj: https://www.tc.edu.tw/net/netflow/lkout/recent
Typ: dle události
Feed.name: taichung
Blokované IP adresy z různých důvodů (dle kategorie), seznam je spravovaný Taichung Education Center.
Zdroj: https://www.autoshun.org/
Typ: dle události
Feed.name: autoshun
Zdroj: http://cinsscore.com/list/ci-badguys.txt
Typ: other/blacklist
Feed.name: ci-army
Podskupina sady pravidel CINS Active Threat Intelligence sestává z adres IP, které splňují dvě základní kritéria: 1) tzv. faktor Rogue Packet nedávno přiřazeny k IP je velmi špatný a 2) komunita InfoSec dosud neidentifikovala IP jako škodlivou. Druhé kritérium je zde pro co nejnižší redundanci dat v rámci dalších blacklistů.
Více informací: http://www.cinsscore.com
Zdroj: https://www.openphish.com/feed.txt
Typ:fraud/phishing Feed.name: openphish
OpenPhish používá vlastní algoritmy umělé inteligence pro automatickou identifikaci tzv. zero-day phishingových stránek. Poskytují několik druhů zdrojů - základní komunitní zdarma, kde jsou zveřejněné pouze phishingové weby a akademické obohacené i o cíle těchto webů, IP adresy a komerční s dalšími užitečnými informacemi.
Momentálně používáme komunitní, v budoucnu bychom rádi využívali komerční poskytovaný národním (vládním) CSIRT zdarma a kam již máme přístup.
Více zde: https://www.openphish.com/phishing_feeds.html
Zdroj: n6stream.cert.pl, přístup na vyžádání - neveřejný
Typ: dle události
Feed.name: n6stomp
Zdrojem dat systému n6 je mnoho distribučních kanálů, které poskytují informace o bezpečnostních událostech. Tyto události jsou zaznamenány systémy využívaných různými třetími stranami (jinými CERTs, bezpečnostními organizacemi, dodavateli softwaru, nezávislými bezpečnostními experty, apod) a monitorovacími systémy provozovanými polským CERT. Většina informací je aktualizována každý den, některé častěji.
Více informací zde: https://n6.cert.pl/index.php
Zdroj: Neveřejný Feed.name: spamhaus-cert
Tento zdroj je součástí CERT Insight Portal poskytovaný společností Spamhaus, která umožňuje přístup k datům výhradně odpovědným CSIRT/CERT. Obsahem dat je seznam strojů, které byly přistiženy při komunikaci se známými botnet command and control servery. Data obsahují IP adresu nakaženého zařízení (v používané taxonomii pod source.ip) a také IP adresu command and control serveru (destination.ip). Zpravidla obsahují také zdrojový a cílový port (destination.port), rodinu botnetu (malware.name), transportní protokol (protocol.transport) a příležitostně také doménu command and control serveru (destination.fqdn). Co však data bohužel neobsahují je časový záznam (pouze čas, kdy jsme data od zdroje získali).
Více informací: https://www.spamhaus.org/news/article/705/spamhaus-launches-cert-insight-portal
Zdroj:http://mwbank.csirt.cz/data/latest-dionaea.txt
Typ: malicious code/malware
Feed.name: cz-nic-honeypot-dionaea
Sdružení CZ.NIC provozuje dvě různé instance honeypotu zvaného Dionaea (nástupce Nepenthes). Pro účely PROKI se každý den exportují logy z těchto dvou honeypotů obsahující IP adresy počítačů, které se pokoušely napadnout stroje v sítí CZ.NIC.
Zdroj: http://mwbank.csirt.cz/data/latest-proki.txt
Typ: malicious code/malware
Feed.name: cz-nic-honeypot-cowrie
Sdružení CZ.NIC má pronajatých 5 virtuálních serverů běžících v 5 zemích na 4 kontinentech. Na těchto serverech provozuje honeypoty Kippo (dříve Cowrie) a Conpot pro výzkumné účely. Data z těchto honeypotů obsahující časové razítko a IP adresy útočících počítačů se denně exportují pro potřeby PROKI.
Zdroj: https://www.dshield.org/block.txt
Typ: other/blacklist
Feed.name: dshield-block
Tento seznam shrnuje top 20 útočících tříd C (/24) podsítí za poslední tři dny.
Popis dat po sloupcích (tab delimited): start of netblock, end of netblock, subnet (/24 for class C), number of targets scanned, name of Network , country, contact email address.
Zdroj: https://www.dshield.org/feeds/suspiciousdomains_High.txt
Typ: malicious code/malware
Feed.name: dshield-suspicious-domains
Na internetu existuje mnoho podezřelých domén. Ve snaze o jejich identifikaci, stejně jako o identifikaci falešně pozitivních výsledků, dshield poskytuje “vážené” seznamy na základě vlastního sledování a dalších seznamů malwaru z různých zdrojů.
Více informací zde: https://www.dshield.org/suspicious_domains.html
Zdroj: http://danger.rulez.sk/projects/bruteforceblocker/blist.php
Typ: intrusion attempts/brute-force
Feed.name: danger-rulez
Když tento skript běží, kontroluje sshd logy ze syslogu a hledá pokusy o neúspěšné přihlášení a počítá počet takových pokusů. Když daná IP dosáhne nakonfigurovaného počtu neúspěšných pokusů, skript umístí tuto IP do tabulky a zablokuje další provoz do daného pole z daného IP. Výsledný output je přímo použitelný pro pf firewall.
Více informací zde: http://danger.rulez.sk/index.php/bruteforceblocker/
Zdroje: https://malc0de.com/bl/BOOT
, https://malc0de.com/bl/IP_Blacklist.txt
Typ: Malicious Code/malware
Feed.name: malc0de-domain-blacklist, malc0de-ip-blacklist
Denně automaticky aktualizovaný soubor obsahující škodlivé domény za posledních 30dní.
Při použití jako host soubor budou všechny uvedené domény přesměrovány na 127.0.0.1 .
Více informací: http://www.malwaredomains.com/wordpress/?page_id=6
Zdroje: https://zeustracker.abuse.ch/blocklist.php?download=badips
, https://zeustracker.abuse.ch/blocklist.php?download=baddomains
Typ: Malicious Code/c&c
Feed.name: abuse-ch-zeus-tracker-ips, abuse-ch-zeus-tracker-domains[BR]] Tento seznam obsahuje pouze adresy IPv4, které jsou využívány trojanem ZeuS. Je to doporučený seznam, pokud chcete zablokovat pouze adresy Zeus trojanu. Nezahrnuje adresy IP, které ZeuS Tracker považuje za unesené (úroveň 2) nebo patří k poskytovateli bezplatného webhostingu (úroveň 3). Množství falešně pozitivních adres by mělo být tedy mnohem nižší než standardní blokovací seznam ZeuS IP.
Zdroje: http://www.urlvir.com/export-hosts
, http://www.urlvir.com/export-ip-addresses/
Typ: Malicious Code/malware
Feed.name: urlvir-hosts, urlvir-ips [BR]] URLVir je online bezpečnostní služba vyvinutá společností NoVirusThanks Company Srl, která automaticky sleduje změny škodlivých adres URL (spustitelné soubory).
Zdroj: http://www.malwaredomainlist.com/updatescsv.php
Typ: Malicious Code/malware
Feed.name: malware-domain-list
Více informací zde: http://www.malwaredomainlist.com/update.php
Typ: dle události
Feed.name: NBU Microsoft
Tento zdroj je vyvíjen týmem GovCERT.CZ za účelem sběru a zpracování dat o koncových stanicích zapojených do sítí botnetů. Data jsou získávána z převzatých řídících serverů (C&C). Zdrojem dat je společnost Microsoft.
Export je pro IP adresy, které nenáleží konstituenci NBÚ.
Feed.name: CERT Bund Avalanche
Typ: malware
Formát dat (RAW): ASN,IP,Country code,Last seen (UTC),Malware,Source Port,Destination IP,Destination Port,Destination Hostname
Stanice patřící do botnetu Avalanche. Více informací zde
Feed.name: CERT Bund Mumblehard
Typ: malware
Zdroj reportující nálezy malwaru Mumblehard. Více informací zde
Kompletní seznam služeb, které se v seznamech objevují: https://www.blocklist.de/en/export.html
Zdroj: https://lists.blocklist.de/lists/mail.txt
Typ: intrusion attempts/ids alert
Feed.name: blocklist-de-mail
BlockList.DE Mail je seznam všech IP adres, ze které byly nahlášeny v průběhu předešlých 48 hodin útoky na služby Mail, Postfix.
Zdroj: https://lists.blocklist.de/lists/ssh.txt
Typ: intrusion attempts/ids alert
Feed.name: blocklist-de-ssh
BlockList.DE SSH je seznam všech IP adres, ze které byly nahlášeny v průběhu předešlých 48 hodin útoky na SSH.
Zdroj: https://lists.blocklist.de/lists/apache.txt
Typ: intrusion attempts/ids alert
Feed.name: blocklist-de-apache
BlockList.DE Apache je seznam všech IP adres, ze které byly nahlášeny v průběhu předešlých 48 hodin útoky na služby Apache, Apache-DDOS, RFI-Attacks.
Zdroj: https://lists.blocklist.de/lists/imap.txt
Typ: intrusion attempts/ids alert
Feed.name: blocklist-de-imap
BlockList.DE IMAP je seznam všech IP adres, ze které byly nahlášeny v průběhu předešlých 48 hodin útoky na služby IMAP, SASL, POP3 ....
Zdroj: https://lists.blocklist.de/lists/ftp.txt
Typ: intrusion attempts/ids alert
Feed.name: blocklist-de-ftp
BlockList.DE FTP je seznam všech IP adres, ze které byly nahlášeny v průběhu předešlých 48 hodin útoky na FTP.
Zdroj: https://lists.blocklist.de/lists/bots.txt
Typ: abusive content/spam
Feed.name: blocklist-de-bots
BlockList.DE Bots je seznam všech IP adres, ze které byly nahlášeny v průběhu předešlých 48 hodin útoky na RFI-Attacks, REG-Bots, IRC-Bots or BadBots (BadBots - http://www.botreports.com/badbots).
Zdroj: https://lists.blocklist.de/lists/bruteforcelogin.txt
Typ: intrusion attempts/brute-force
Feed.name: blocklist-de-brute-force-login
BlockList.DE je seznam všech IP adres, ze které byly nahlášeny v průběhu předešlých 48 hodin útoky na CMS Joomla, Wordpress a jiné snahy o web login s použitím metody brute-force.
Zdroj: https://lists.blocklist.de/lists/sip.txt
Typ: intrusion attempts/ids alert
Feed.name: blocklist-de-sip
BlockList.DE SIP je seznam všech IP adres, ze které byly nahlášeny v průběhu předešlých 48 hodin pokusy o login na SIP-, VOIP- nebo Asterisk- servery a jsou obsaženy také v seznamu IP adres z
http://www.infiltrated.net
.
Zdroj: https://lists.blocklist.de/lists/strongips.txt
Typ: other/blacklist
Feed.name: blocklist-de-strong-ips
BlockList.DE Strong IPs je seznam všech IP adres starší než 2 měsíce s nahlášenými více než 5000 útoky.
Informace poskytované službou Shadow Server pro Českou republiku: https://mail.shadowserver.org/mailman/listinfo/czech-republic
Služba Shadow Server poskytuje především seznamy zranitelných služeb.
Zdroj: ShadowServer mailing list Open-TFTP
Typ: Vulnerable/vulnerable service
Feed.name: Open-TFTP
Seznam zařízení, která mohou mít spuštěnou službu TFTP, která je přístupná z internetu.
Zdroj: ShadowServer mailing list Open-IPMI
Typ: Vulnerable/vulnerable service
Feed.name: Open-IPMI
Test: ipmitool -A NONE -H [IP] bmc info
Seznam zařízení, která mohou mít spuštěnou službu IPMI, která je přístupná z internetu.
Zdroj: ShadowServer mailing list Open-Memcached
Typ: Vulnerable/vulnerable service
Feed.name: Open-Memcached
Seznam zařízení, na kterých může být spuštěn Memcached key-value server přístupný z internetu.
Zdroj: ShadowServer mailing list Open-SNMP
Typ: vulnerable/vulnerable service
Feed.name: Open-SNMP
Test: snmpget -c public -v 2c [ip] 1.3.6.1.2.1.1.1.0, snmpget -c public -v 2c [ip] 1.3.6.1.2.1.1.5.0
Seznam zařízení, která mohou mít spuštěnou službu SNMPv2 s parametrem community “public”, která je přístupná z internetu.
Zdroj: ShadowServer mailing list Open-Portmapper
Typ: vulnerable/vulnerable service
Feed.name: Open-Portmapper
Test: rpcinfo -T udp -p [IP], showmount -e [IP]
Seznam zařízení, která mohou provozovat službu portmapper, která je přístupná z internetu a odpovídá na rpcinfo požadavek.
Zdroj: ShadowServer mailing list DNS-open-resolvers
Typ: other/blacklist
Feed.name: DNS-open-resolvers
Test: dig +short @[IP] dnsscan.shadowserver.org
Seznam zařízení, která pravděpodobně provozují otevřený rekurzivní DNS server.
Zdroj: ShadowServer mailing list Ssl-Scan
Typ: vulnerable/vulnerable service
Feed.name: Ssl-Scan
Test: openssl s_client -connect [IP]:443 -ssl3, https://www.ssllabs.com/ssltest
Seznam IP adres, které mohou být náchylné k SSL POODLE útoku.