Un'agenzia governativa ha inviato al nostro sito web un messaggio di posta elettronica che il nostro sito Web era stato deturpato

24

Abbiamo ricevuto un'e-mail ufficiale che diceva che il nostro sito Web era stato violato. Hanno citato l'URL da utilizzare per vedere il nuovo file sospetto che era stato rilasciato nella nostra cartella principale Web ( s.htm ). Solo un testo su un "hacker di Morrocan Made - I'm Back" nel file HTML. Nient'altro è sembrato danneggiato anche se stiamo indagando.

Il link incluso nell'email era esattamente hXXp://example.com[.]au/s.htm in testo semplice, che è anche un po 'strano, sebbene ci abbia aiutato a trovare il file.

La data stampata sul file è solo 7 ore e 3 minuti diversa dalla data di invio dell'e-mail. 7 ore potrebbero facilmente essere una deviazione dal fuso orario.

La mia domanda è: come ha fatto l'agenzia governativa ( CERT ) a sapere che il nostro sito Web è stato violato? È un sito Web ospitato in Australia, per un business legittimo, e l'agenzia governativa è legittima.

    
posta Grantly 20.01.2017 - 20:36
fonte

7 risposte

58

È estremamente facile falsificare le e-mail. Se qualcuno ha falsificato questo, non vedo come l'agenzia lo saprebbe. La preoccupazione è che il collegamento che ti hanno inviato sia stato l'attacco stesso. Ad esempio, questo potrebbe essere un CSRF attacco:

With a little help of social engineering (such as sending a link via email or chat), an attacker may trick the users of a web application into executing actions of the attacker's choosing.

Un suggerimento è contattare l'ufficio e scoprire se questo è qualcosa che fanno. Solo perché la lingua sembra giusta e dice che è dal mittente giusto non significa nulla. Questo è un approccio comune utilizzato nelle e-mail di phishing.

    
risposta data 20.01.2017 - 22:18
fonte
30

Un compito CERT ( Computer Emergency Response Team ) è proprio quello di sorvegliare i problemi di sicurezza sui principi attivi sotto la loro circoscrizione .

Nel caso di CERT nazionali come il CERT-AU, spesso si preoccupano di tutto ciò che è ospitato nel loro paese e, se vengono messi a conoscenza di qualsiasi problema, il loro compito sarebbe di contattare il proprietario interessato in modo che possa risolvere il problema problema (come hanno fatto in questo caso). Potrebbero anche averti fornito alcuni consigli nel caso in cui ne avessi avuto bisogno per trovare il problema.

Questi servizi sono gratuiti per le persone (sono un'agenzia governativa) e non ti chiederanno alcun tipo di pagamento per averti informato.

Un elenco completo dei servizi CERT-AU è disponibile all'indirizzo link

Il modo di fornirti l'url come hXXp: //domain.com [.] au / s.htm è piuttosto comune nella condivisione di URL dannosi. L'obiettivo è che tu riceva l'url (di cui avrai bisogno per scoprire dove si trova il contenuto malevolo) ma allo stesso tempo minimizzi il rischio che potresti inavvertitamente aprirlo nell'ambiente sbagliato o prima di leggere l'e-mail per intero ( inoltre, aiuta anche a evitare i filtri e-mail che eliminano le e-mail contenenti URL dannosi¹).

Ci sono molte fonti da cui potrebbero venire a conoscenza di questo incidente:

  • Un individuo li ha notificati
  • Un altro CERT o società di sicurezza li ha notificati
  • È apparso in alcuni elenchi di siti compromessi a cui è stato effettuato l'abbonamento
  • È apparso su un forum di defacement che stavano guardando (come zone-h)
  • L'hanno trovato mentre eseguivano altre indagini

Tra i vantaggi di inviare le notifiche tramite il CERT sono:

  • Quando ci sono più siti compromessi, è molto più facile notificare a una singola entità per paese che a ciascun operatore di sito web¹
  • Il CERT spesso ha qualche procedura per riprovare nel caso in cui sia stato ignorato dall'amministratore. Probabilmente una terza parte lo tenterebbe solo una volta.
  • Il CERT potrebbe avere contatti migliori per inviare la notifica a
  • Come partito neutrale, è più probabile che il CERT sia prestato attenzione a²
  • Nessuna barriera linguistica: il CERT dovrebbe essere in grado di contattare il proprietario del sito web nella sua lingua madre.
  • Il CERT avrà persone tecniche in grado di comprendere facilmente il problema e in grado di spiegarlo, se necessario, al proprietario del sito web (che potrebbe avere zero conoscenze in sé).

Un elenco di CERT in tutto il mondo (sia pubblici che privati) è disponibile in primo luogo: link

Un database di CERT europei e team di sicurezza è anche disponibile all'indirizzo Presentatore fidato .

¹ Ad esempio, Google trova ogni giorno un sacco di URL dannosi che trova attraverso la scansione, invece di tentare di segnalarli direttamente al proprietario, li condivide con il CERT nazionale pertinente in modo che possa occuparsi della notifica .

² Immagina semplicemente che questa domanda sia «un ragazzo a caso da un indirizzo di posta elettronica inviato al nostro amministratore ...»

    
risposta data 21.01.2017 - 01:38
fonte
10

A meno che non ti abbiano detto nella lettera, non c'è modo di sapere come sono stati informati dell'hack. È probabile che qualcuno abbia segnalato un problema, un attacco o un sondaggio di qualche tipo a CERT e che sia stato quindi in grado di risalire all'origine della parte posteriore dell'indirizzo IP del tuo server.

Ti consiglio almeno di continuare le tue indagini; ma considera l'idea di coinvolgere un'azienda di sicurezza. C'è molto da fare in questa fase di un attacco oltre a capire cosa è successo. Potrebbe essere necessario conservare le prove, è necessario recuperare i sistemi, potrebbe essere necessario fornire notifiche di violazione, potrebbe essere necessario che la propria clientela cambi le proprie password; tutti i tipi di attività possono derivare da una violazione e un professionista ti aiuterà a guidarti attraverso tutto.

    
risposta data 20.01.2017 - 20:53
fonte
5

Senza vedere le intestazioni delle e-mail, non c'è modo per noi di essere sicuri, ma suona più probabilmente che l'avviso e-mail è il phish, come dice Jimmy James sopra. Molto più facile per l'attaccante che ha messo il file lì, per conoscerlo e "segnalarlo" ufficialmente "per farti fare clic su di esso. CSRF suona come il tentativo più probabile in corso. L'utente malintenzionato non ha modo di sapere che la persona a cui l'ha inviata non ha credenziali sul sito, ma come hai indicato, ti ha inoltrato l'e-mail, che lo fa. Non dicendo che ha avuto successo, ma la risposta a "Come facevano a saperlo" sembra più probabile che sia "Non l'hanno fatto, e la notifica è stata falsificata".

    
risposta data 20.01.2017 - 23:02
fonte
3

Questo sarebbe un buon modo per chiamare qualcuno quando potresti entrare nel loro sito "un po '".

Basta scrivere un file benigno sul loro server, quindi contattarli e ottenere una conversazione con il loro governo "Tech". A quel punto se non fossi stato sospettoso, probabilmente ti avrebbero chiesto di fare qualsiasi cosa e lo avresti fatto.

Mi rendo conto che non hai detto che ti hanno chiesto di contattarli o qualcosa del genere, quindi forse no, ma mi piace sempre sbagliare dalla parte della paranoia.

    
risposta data 20.01.2017 - 23:57
fonte
3

Che cosa fa questo sito? Ospita account o accetta carte di credito?

Il file dovrebbe essere interpretato come un chiaro segno di essere stato effettivamente compromesso. Non si conosce l'estensione o il vettore di attacco, ma il file potrebbe essere un "flag" che un bot cerca per determinare se il server è ancora compromesso.

Quindi assicurati di conservare i backup e di conservare data / ora, registri del server web e i backup stessi. Torna al tuo primo backup e verifica se il file è presente, confronta anche i contenuti del sito con i contenuti previsti.

Cerca anche nei log le richieste al file s.htm . È possibile che occasionalmente si verifichi una rete di bot per verificare che le luci siano accese. C'è la strana possibilità che tu possa utilizzare le informazioni IP che trovi lì per cercare altro traffico - che potrebbe scoprire le orme dell'attacco.

Nel frattempo contatta il mittente dell'email - assicurati di cercare le informazioni di contatto da una fonte ufficiale e non dall'e-mail stessa. Ho ricevuto notifiche simili dai provider di hosting, potrebbero anche cercare il file se è noto che indica una macchina compromessa.

    
risposta data 21.01.2017 - 09:12
fonte
2

Penso davvero che si tratti di un attacco di phishing.

Tuttavia, è anche possibile che le agenzie CERT ottengano un elenco di siti compromessi attraverso i mirror dei deface, come Zone-H . Ma non vedo perché lo farebbero.

    
risposta data 21.01.2017 - 04:54
fonte

Leggi altre domande sui tag