Knowledgebase
Kategorier for abuse-meldinger
Posted by Robert Ødegaard on 26 October 2012 09:13 AM

Vi sender ut regelmessig informasjon til våre kunder om forhold som er rapportert inn til oss. I meldinger som vi får fra NorCERTer refereres det til en kategori. Under følger en kort beskrivelse over de forskjellige kategoriene.

bot
Denne kategorien inneholder adresser som har blitt sett tilkoblet et
kommando- og kontrollsenter. Troverdigheten på klientene i denne
kategorien er avhengig av innhentingsmetode som kan variere noe basert
på kilde.

c&c
Denne kategorien inneholder kommando- og kontrollsentre som styrer
infiserte klienter med ondsinnet programvare.

fastflux
Denne kategorien inneholder maskiner som er observert som deltagere i
et fast-flux-nettverk. Fast flux er en teknikk hvor domeneoppslag
kontinuerlig resulterer i nye IP-adresser, typisk på grunn av lav TTL
og/eller round robin DNS. Denne teknikken blir ofte brukt av domener
som serverer malware.

malware
Denne kategorien er observert ondsinnet kode på en gitt webadresse.

malwareurl
Denne kategorien inneholder adresser som serverer, eller redirigerer
besøkende til, ondsinnet kode. Disse URLene peker ofte til websider
hvor det har blitt injisert obfuskert JavaScript eller iframes.

phishing
Denne kategorien inneholder adresser som peker til phishing-sider.

sinkholed
Denne kategorien har høy troverdighet, da det dreier seg om
klientmaskiner som har kontaktet domener som tidligere har blitt
benyttet som kommando- og kontroll for botnett. Disse domenene har
blitt proaktivt registrert av sikkerhetsmiljøet, eller på annet vis
tatt over for logging og rapportering.