Rilevazione e attribuzione di un attacco in corso verso le elezioni americane

Naviga le tue risposte
0

Recentemente un attacco basato su booby trapped web server è stato bloccato da Microsoft attraverso il sequestro di alcuni dei nomi dei server conosciuti usati in questo attacco. Questa analisi di attacco è stata focalizzata per difendere le elezioni di medio termine degli Stati Uniti che si terranno nel novembre 2018.

Qui ci sono i server Web trappolati da booby sequestrati da Microsoft: 

    name                            IP address      date updated 
------------------------------------------------------------------------
    adfs-senate.email               157.56.161.162  17/08/2018
    adfs-senate.services            157.56.161.162  17/08/2018
    hudsonorg-my-sharepoint.com     157.56.161.162  14/08/2018
    my-iri.org                      157.56.161.162  16/08/2018
    office365-onedrive.com          157.56.161.162  14/08/2018
    senate.group                    157.56.161.162  17/08/2018
------------------------------------------------------------------------

Ovviamente 157.56.161.162 è un indirizzo IP appartenente a Microsoft, e riceveranno tutto il traffico di macchine intrappolate da questo attacco prima del 14 agosto.

Questo attacco, dall'analisi Microsoft, sembra che potrebbe essere attribuito al gruppo criminale APT28.

Ma alcune informazioni sono ora mancanti per altri paesi che potrebbero essere altri bersagli di questa campagna di attacco direttamente o indirettamente per attaccare in seguito gli Stati Uniti attraverso la solita tecnica di riciclaggio di connessioni.

Sarebbe interessante rilevare le macchine su cui un attacco ha avuto successo ovunque nel mondo. Affinché questa analisi abbia successo, il modo più semplice consiste nell'entrare nelle regole di filtraggio Egress delle regole dei firewall Internet del modulo (nella parte superiore del gruppo di filtraggio di Egress): 

deny ip any <IP_address_of_booby_trapped_web_server> 255.255.255.255 log

per i 6 server identificati da Microsoft.

E per questa indagine abbiamo bisogno dell'indirizzo IP attribuito a questi web server trappolati poco prima del sequestro e dell'aggiornamento da parte di Microsoft.

Come possiamo ottenere rapidamente gli indirizzi IP di questi criminali prima del 14 agosto nel database internazionale WHOIS?

    
posta daniel Azuelos 23.08.2018 - 10:13
fonte

0 risposte

Leggi altre domande sui tag

accessi eccessivi dai controller di dominio trans2open non funziona su metasploit