Question:
Une agence gouvernementale a envoyé à l'administrateur de notre site Web un e-mail indiquant que notre site Web avait été endommagé
Grantly
2017-01-21 01:36:41 UTC
view on stackexchange narkive permalink

Nous avons reçu un e-mail officiel indiquant que notre site Web avait été piraté. Ils ont cité l'URL à utiliser pour voir le nouveau fichier suspect qui avait été déposé dans notre dossier racine Web ( s.htm ). Juste un texte sur un "hacker fabriqué au Maroc - Je suis de retour" dans le fichier HTML. Rien d'autre n'a semblé endommagé bien que nous soyons en train d'enquêter.

Le lien inclus dans l'e-mail était exactement hXXp: //example.com [.] Au / s.htm en texte brut, ce qui est aussi un peu bizarre, bien que nous ayons aidé à trouver le fichier.

Le cachet de date sur le fichier est seulement 7 heures et 3 minutes différent de la date d'envoi sur l'e-mail. 7 heures pourraient facilement représenter un écart de fuseau horaire.

Ma question est la suivante: comment l’organisme gouvernemental ( CERT) a-t-il su que notre site Web avait été piraté? C'est un site Web hébergé en Australie, pour une entreprise légitime - et l'agence gouvernementale est légitime.

Êtes-vous sûr que cela venait vraiment du gouvernement?Ça sent un peu le phishy pour moi.
L'e-mail ne m'est pas parvenu, donc je n'ai pas pu examiner les en-têtes ... Mais il a certainement «semblé» authentique.Avec l'e-mail et le libellé de l'expéditeur appropriés, etc.
Mais je suis d'accord JimmyJames ... Le tout semble louche.Sauf que l'email était exact ... Pourquoi nous inciter à contacter un organisme gouvernemental dédié à la sécurité en ligne?Très étrange....
J'ai décidé de publier une réponse au lieu de donner une réponse longue dans les commentaires.
Si quelqu'un pense que je devrais ajouter le corps de l'e-mail dans la question, merci de me le faire savoir
On dirait que cela vaudrait la peine d'appeler le bureau du procureur général (obtenir son numéro d'une source * autre * que l'e-mail) et de le confirmer.
Cela ressemble à une attaque de phishing.
Le corps de l'e-mail n'est pas aussi important que les _headers_.
L'e-mail a-t-il été signé numériquement par l'expéditeur (qui prétend être CERT AU?) [La page CERT AU] (https://www.cert.gov.au/faq) mentionne qu'ils écrivent aux propriétaires du site, mais le libellé est unpeu décevant.Pas de mot sur les signatures numériques et, pire, une déclaration selon laquelle le courrier contient des informations de contact pour confirmer la légitimité de l'expéditeur ....... Je leur enverrai une note de Brad Pitt avec son numéro de téléphone portable dans le pied de page afin qu'ilspeut s'assurer que c'est le bon Brad.
@Grantly Si quelque chose, postez plutôt l'en-tête.
Veuillez lire ma réponse.Le fichier sur votre serveur doit indiquer clairement qu'une attaque a réussi.La lettre peut être suspecte, mais le serveur a été violé quel que soit l'e-mail.
Sept réponses:
JimmyJames
2017-01-21 03:18:18 UTC
view on stackexchange narkive permalink

Il est extrêmement facile de simuler des e-mails. Si quelqu'un a simulé cela, je ne vois pas comment l'agence en serait informée. Le problème est que le lien qu'ils vous ont envoyé était l'attaque elle-même. Par exemple, il peut s'agir d'une attaque CSRF:

Avec un peu d'aide d'ingénierie sociale ( comme l'envoi d'un lien par e-mail ou chat), un attaquant peut inciter les utilisateurs d'une application Web à exécuter les actions de son choix.

Une suggestion est de contacter le bureau et de savoir si c'est quelque chose qu'ils font. Juste parce que la langue semble correcte et dit qu'elle vient du bon expéditeur ne signifie rien. C'est une approche courante utilisée dans les e-mails de phishing.

Merci - une bonne suggestion, nous répondrons au CERT pour demander.Il est peu probable qu'il s'agisse d'un e-mail malveillant car il a été ouvert par le «propriétaire» qui n'a aucune information d'identification pour modifier le site Web (c'est délibéré, pour la sécurité) ... Moi et un autre le faisons.Il m'a transmis l'e-mail.(Et est en vacances, donc je ne veux pas encore casser ses couilles lol)
@Grantly C'est possible.S'ils ont googlé la chaîne et que cela a fait apparaître votre site, cela peut arriver.Bizarre qu'ils vous informent que vous avez été piraté, cependant ... à moins que votre site Web ne fasse partie d'un site gouvernemental?
Merci Mark Buffalo, non - totalement déconnecté du gouvernement.Bien que nous vendions des données - et que nous prenions soin de respecter les lois gouvernementales sur la confidentialité ... Cela signifie peut-être que nous sommes surveillés de plus près ...?J'en ai d'abord entendu parler.Et nous ne conservons pas les données sur le serveur Web ...
Alors, il vous l'a transmis puis avez-vous cliqué sur le lien?Il est peu probable qu'un attaquant dans une telle situation sache exactement qui a accès et qui ne le fait pas.C'est comme dans la pêche, on ne sait pas si on va mordre un casting donné.Nous continuons d'essayer et espérons avoir de la chance.Si le destinataire n'a pas de droits, il est assez prévisible qu'il puisse être transmis à quelqu'un qui en a.
Salut JimmyJames, Non, je n'ai pas cliqué sur le lien, car le corps de l'e-mail était uniquement du texte, bien que l'en-tête contienne une image ... L'e-mail du propriétaire supprime probablement du HTML, mais choisit de conserver certaines images lors du transfert de l'e-mail (Etil est dans la brousse, il utilise donc une sorte de Webmail) ...Mais non - ce n'est pas moi qui ai cliqué lol :) Mais cela aurait pu être le propriétaire - comme vous le suggérez
Je ne comprends pas vraiment pourquoi les gens pensent qu'il s'agit d'un e-mail de phishing.Les CERT envoient ces types d'e-mails.Les hameçonneurs n'utilisent pas de texte en clair pour le lien, et ce ne serait pas non plus authentique, et vous n'auriez pas trouvé une entrée piratée dans votre fichier déclarée s'il s'agissait simplement d'un hameçonnage aléatoire. Je sais qu'éviter le phishing est important, mais ... logiquement, il n'y a rien à gagner pour un hameçonnage de cet e-mail étant donné ce que nous savons.Souciez-vous du fait que votre serveur Web est clairement compromis et contactez le CERT directement via leurs canaux.
@Rushyo Ce n'est pas une hypothèse, c'est qu'il s'agit d'un e-mail de phishing.Le problème est de supposer que ce n'est pas seulement parce que cela semble correct."il ne serait pas non plus authentique": comment savez-vous que l'e-mail est authentique?"a trouvé une entrée piratée dans votre fichier a indiqué s'il s'agissait simplement d'un hameçonnage aléatoire" Qui a dit quelque chose à propos de 'aléatoire'?La personne qui y a placé le fichier pourrait être l'expéditeur de l'e-mail.Cliquer sur le lien dans l'e-mail peut en fait y placer le fichier.Voir [spear-phishing] (https://usa.kaspersky.com/internet-security-center/definitions/spear-phishing#.WIYYSlUrKUk)
@Rushyo Le point ici est que cela peut très bien être authentique, mais il est dangereux de partir de l'hypothèse que c'est le cas.Le but du phishing et d'autres types d'ingénierie sociale est de vous tromper.Il est important de vérifier d'abord, puis d'agir.
Juste une note NE RÉPONDEZ PAS, obtenez le bon e-mail sur Internet
Ces déclarations sur les e-mails s'appliquent à TOUS les e-mails.Ils ne sont pas uniques à ce cas.Un bon comportement anti-hameçonnage s'applique à toutes les sollicitations;cela ne signifie pas que chaque question sur un e-mail nécessite une conférence sur le phishing 101. Il s'agit d'un e-mail en texte brut demandant à quelqu'un de vérifier indépendamment quelque chose - ce n'est pas un candidat au phishing évident.pas plus que tout autre e-mail censé provenir d'une entité de confiance.Il s'agit d'une question sur le CERT, et non sur «comment décider de faire confiance aux e-mails?».Pas un clou;n'a pas besoin d'un marteau.
@Rushyo Une partie de la question était "comment savaient-ils?" Et une réponse possible est que l'expéditeur de l'e-mail l'a mis là.
@Ryusho Peut-être que l'expéditeur de l'e-mail a placé le fichier là-bas et tente maintenant de tirer parti d'un simple exploit de site Web pour attaquer plus profondément l'entreprise.Peut-être est-ce une attaque au lecteur courante de placer ce fichier, et le phisher le recherche?De nombreux e-mails de phishing tentent d'invoquer un sentiment de peur et d'urgence pour contourner un meilleur jugement ... et tirer parti de la connaissance d'une véritable attaque aurait certainement cet effet.
Ángel
2017-01-21 06:38:36 UTC
view on stackexchange narkive permalink

Une tâche du CERT ( Computer Emergency Response Team) est précisément de surveiller les problèmes de sécurité des actifs sous leur circonscription.

Dans le cas des CERT nationaux comme le CERT- AU, ils se soucient souvent de tout ce qui est hébergé sur leur pays, et s'ils sont informés d'un problème, leur tâche serait de contacter le propriétaire concerné afin qu'il puisse résoudre le problème (comme ils l'ont fait dans ce cas). Ils auraient également pu vous fournir des conseils au cas où vous en auriez eu besoin pour trouver le problème.

Ces services sont gratuits pour les gens (il s'agit d'une agence gouvernementale), et ils ne vous en demanderont pas type de paiement pour vous avoir notifié.

Une liste complète des services CERT-AU est disponible sur https://cert.gov.au/services

La manière de vous fournir l'url sous la forme hXXp: //domaine.com [.] Au / s.htm est une manière assez courante de partager des URL malveillantes. L'objectif est que vous receviez l'URL (dont vous aurez besoin pour savoir où se trouve le contenu malveillant) mais en même temps minimisiez le risque que vous puissiez l'ouvrir par inadvertance dans le mauvais environnement ou avant de lire l'e-mail dans son intégralité ( en outre, cela permet également d'éviter les filtres de messagerie qui suppriment les e-mails contenant des URL malveillantes¹).

Il existe de nombreuses sources à partir desquelles ils ont pu avoir connaissance de cet incident:

  • Un individu l'a notifié
  • Un autre CERT ou une société de sécurité l'a notifié
  • Il est apparu sur une liste de sites compromis auxquels il s'est abonné
  • Il est apparu sur un forum de dégradation qu'ils regardaient (comme zone-h)
  • Ils l'ont trouvé en effectuant une autre enquête

Parmi les avantages de l'envoi les notifications via le CERT sont:

  • Lorsqu'il y a plusieurs sites compromis, il est beaucoup plus facile de notifier une seule entité par pays qu'à chaque opérateur de site Web website
  • Le CERT aura souvent une procédure pour réessayer au cas où il serait ignoré par l'administrateur. Un tiers ne tentera probablement qu'une seule fois.
  • Le CERT peut avoir de meilleurs contacts auxquels envoyer la notification.
  • En tant que partie neutre, le CERT est plus susceptible de faire l'objet d'une attention particulière to²
  • Pas de barrière linguistique: le CERT doit pouvoir contacter le propriétaire du site dans sa langue maternelle.
  • Le CERT aura des techniciens capables de comprendre facilement le problème et capables de expliquez cela, si nécessaire, au propriétaire du site Web (qui peut n'avoir aucune connaissance lui-même).

Une liste des CERT mondiaux (publics et privés) est disponible en premier: https://first.org/members/teams

Une base de données des CERT européens et des équipes de sécurité est également disponible sur Trusted Introducer.

¹ Par exemple, Google trouve chaque jour des tas d'URL malveillantes qu'il trouve lors de leur exploration, au lieu de tenter de les signaler directement au propriétaire, il les partage avec les CERT national pour qu'il s'occupe de la notification.

² Imaginez simplement que cette question soit «un type aléatoire d'une adresse hotmail a envoyé notre administrateur…»

En fait, Google en particulier informe directement les propriétaires du site, via les outils Google pour les webmasters et en contactant certaines adresses génériques du domaine.En général cependant, votre déclaration tient.
@JackW, Je connais les outils Google pour les webmasters, mais c'est opt-in.Le webmaster doit s'y être inscrit.Cependant, je ne savais pas qu'ils utilisaient également de manière proactive des adresses de domaine génériques.
John Deters
2017-01-21 01:53:45 UTC
view on stackexchange narkive permalink

À moins qu'il ne vous le dise dans la lettre, il n'y a aucun moyen de savoir comment ils ont été informés du piratage. Il y a de fortes chances que quelqu'un ait signalé un problème, une attaque ou une sonde quelconque au CERT, et qu'il ait ensuite pu retracer l'origine du dos jusqu'à l'adresse IP de votre serveur.

Je vous recommande au moins de continuer votre enquête; mais pensez à engager une entreprise de sécurité. Il y a beaucoup à faire à ce stade d'une attaque en plus de comprendre ce qui s'est passé. Vous devrez peut-être conserver des preuves, vous devrez récupérer vos systèmes, vous devrez peut-être fournir des notifications de violation, vous devrez peut-être votre clientèle pour changer ses mots de passe; toutes sortes d'activités peuvent découler d'une violation, et un professionnel vous guidera à travers tout cela.

Merci John.C'est une route loooong n'est-ce pas ... Sécuriser un site Web :(
Vous avez mes sympathies.Nettoyer après un piratage n'est jamais agréable.
JesseM
2017-01-21 04:02:42 UTC
view on stackexchange narkive permalink

Sans voir les en-têtes des e-mails, nous n’avons aucun moyen d’en être sûrs, mais il semble semble plus probable que l’avis d’e-mail soit un hameçonnage, comme Jimmy James le dit ci-dessus. Il est beaucoup plus facile pour l'attaquant qui y a placé le fichier de le savoir et de vous le «signaler» «officiellement» pour vous faire cliquer dessus. CSRF semble être la tentative la plus probable en cours. L'attaquant n'a aucun moyen de savoir que la personne à qui il l'a envoyé n'avait pas d'informations d'identification sur le site, mais comme vous l'avez souligné, il vous a utilement transmis l'e-mail, qui le fait. Je ne dis pas que cela a réussi, mais la réponse à "Comment ont-ils su" semble être le plus probable: "Ils ne l'ont pas fait et la notification a été falsifiée."

Oui merci.J'ai demandé au propriétaire de répondre et d'appeler le CERT pour le savoir.Je peux probablement bientôt mettre la main sur les en-têtes de courrier électronique, mais pas aujourd'hui ... (Il est dans la jungle NZ maintenant lol)
Bill K
2017-01-21 04:57:34 UTC
view on stackexchange narkive permalink

Ce serait un bon moyen d'hameçonner quelqu'un lorsque vous pourriez pirater "un peu" son site.

Il suffit d'écrire un fichier inoffensif sur son serveur, puis de le contacter et d'engager une conversation avec son gouvernement "Technologie". À ce moment-là, si vous n'êtes pas suspect, ils pourraient probablement vous demander de faire n'importe quoi et vous le feriez simplement.

Je me rends compte que vous n'avez pas dit qu'ils vous ont demandé de les contacter ou quoi que ce soit, alors peut-être non, mais j'aime toujours me tromper du côté de la paranoïa.

STW
2017-01-21 14:12:07 UTC
view on stackexchange narkive permalink

Que fait ce site Web? Héberge-t-il des comptes ou accepte-t-il les cartes de crédit?

Le fichier doit être considéré comme un signe clair que vous avez effectivement été compromis. Vous ne connaissez pas l'étendue ou le vecteur de l'attaque, mais le fichier peut bien être un "indicateur" qu'un bot recherche pour déterminer que le serveur est toujours compromis.

Donc, assurez-vous de conserver des sauvegardes et conserver les horodatages, les journaux du serveur Web et les sauvegardes elles-mêmes. Revenez à votre sauvegarde la plus ancienne et voyez si le fichier est là, comparez également le contenu du site avec le contenu attendu.

Recherchez également dans vos journaux les requêtes adressées au fichier s.htm . Vous pouvez trouver un réseau de robots qui vérifie occasionnellement que les lumières sont allumées. Il y a une chance étrange que vous puissiez utiliser les informations IP que vous y trouvez pour rechercher un autre trafic - ce qui peut découvrir les traces de l'attaque.

En attendant, contactez l'expéditeur de l'e-mail - soyez assurez-vous de rechercher leurs coordonnées à partir d'une source officielle et non de l'e-mail lui-même. J'ai reçu des notifications similaires de la part de fournisseurs d'hébergement, ils peuvent également rechercher le fichier s'il est connu pour indiquer une machine compromise.

Non, nous hébergeons une poignée de comptes, pas du tout un trafic élevé.Pas de cartes de crédit, etc. Bon conseil STW ... Suivi maintenant.Merci
Jefrey Sobreira Santos
2017-01-21 09:54:04 UTC
view on stackexchange narkive permalink

Je pense vraiment que c'est une attaque de phishing.

Cependant, il est également possible pour les agences CERT d'obtenir une liste de sites piratés via des miroirs de déformation, tels que Zone-H. Mais je ne vois pas pourquoi ils le feraient.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...