政府機関からウェブサイトの管理者に、ウェブサイトが改ざんされているというメールが送信されました
私たちのウェブサイトがハッキングされたという公式メールが届きました。彼らは、私たちのWebルートフォルダーにドロップされた新しい不審なファイルを確認するために使用するURLを引用しました(s.htm)。 HTMLファイル内の "Morrocan Made hacker-I'm Back"に関するいくつかのテキスト。調査中ですが、他には何も損傷していないようです。
メールに含まれているリンクは正確にhXXp://example.com[.]au/s.htmプレーンテキスト。これも少し変ですが、ファイルの検索に役立ちました。
ファイルの日付スタンプは、電子メールの送信日と7時間3分しか異なりません。 7時間は簡単にタイムゾーンのずれになる可能性があります。
私の質問は次のとおりです。政府機関( [〜#〜] cert [〜#〜] )は、弊社のWebサイトがハッキングされたことをどのようにして知りましたか?これは合法的なビジネスのためのオーストラリアがホストするウェブサイトであり、政府機関は合法です。
メールを偽造するのは非常に簡単です。誰かがこれを偽造した場合、政府機関がそれについてどのように知っているのかわかりません。問題は、彼らがあなたに送ったリンクが攻撃そのものだったことです。たとえば、これは [〜#〜] csrf [〜#〜] 攻撃である可能性があります。
ソーシャルエンジニアリング(、リンクを電子メールやチャットで送信するなど)の少しの助けを借りて、攻撃者はWebアプリケーションのユーザーをだましてアクションを実行させることができます攻撃者の選択の。
1つの提案は、オフィスに連絡して、これが彼らがしていることかどうかを調べることです。言語が正しいように見え、正しい送信者からのものであると言っているからといって、何も意味がありません。これは、フィッシングメールで使用される一般的なアプローチです。
CERT( Computer Emergency Response Team )タスクは、選挙区の下で活動中の人々のセキュリティ問題を見守ることです。
CERT-AUのような国のCERTの場合、彼らはしばしば彼らの国でホストされているすべてを気にします、そして彼らが何か問題に気づいたら、彼らの仕事は彼が問題を修正できるように影響を受ける所有者に連絡することです(彼らはこの場合にそうしました)。また、問題を見つけるために必要な場合に備えて、アドバイスを提供することもできます。
これらのサービスは国民(政府機関)に対して無料で提供されており、通知されたことに対する支払いは一切要求されません。
CERT-AUサービスの完全なリストは https://cert.gov.au/services で入手できます。
HXXp://domain.com [。] au/s.htmとしてURLを提供する方法は、悪意のあるURLを共有する非常に一般的な方法です。目標は、URL(悪意のあるコンテンツの場所を見つけるために必要です)を受け取ることですが、誤って間違った環境で開いたり、メールを完全に読んだりする前に、そのリスクを最小限に抑えることです(さらに、悪意のあるURLを含むメールを削除するメールフィルターを回避するのにも役立ちます¹)。
彼らがこの事件について学んだかもしれない多くの情報源があります:
- 個人から通知された
- 別のCERTまたはセキュリティ会社が通知した
- それは彼らが購読した侵害されたサイトのいくつかのリストに現れました
- 彼らが見ていた改ざんフォーラム(zone-hなど)に表示された
- 彼らは他の調査をしている間にそれを見つけました
CERTを介して通知を送信する利点には、次のものがあります。
- 侵害されたサイトが複数ある場合、国ごとに単一のエンティティに通知する方が、各ウェブサイトオペレーターに通知するよりもはるかに簡単です¹
- CERTは、管理者によって無視された場合に備えて、再試行に関するいくつかの手順を備えていることがよくあります。サードパーティはおそらく一度だけそれを試みるでしょう。
- CERTには、通知を送信するためのより良い連絡先がある場合があります。
- 中立的な政党として、CERTは次のことに注意を向けられる可能性が高い²
- 言語の壁がない:CERTは、母国語でWebサイトの所有者に連絡できる必要があります。
- CERTには、問題を容易に理解し、必要に応じて、Webサイトの所有者(知識自体がゼロの場合がある)にそれを説明できる技術担当者がいます。
世界中のCERT(パブリックおよびプライベートの両方)のリストは、First: https://first.org/members/teams で入手できます。
ヨーロッパのCERTとセキュリティチームのデータベースは Trusted Introducer でも入手できます。
¹たとえば、Googleはクロールを通じて毎日大量の悪意のあるURLを見つけ、所有者に直接報告するのではなく、関連する国のCERTと共有して、通知を処理できるようにします。
²この質問が"hotmailアドレスからのランダムな男が管理者に送信した…"だと想像してみてください
彼らが手紙であなたに言ったのでなければ、知る方法はありません方法彼らはハックについて知らされていました。可能性としては、誰かが問題、攻撃、または何らかの種類のプローブをCERTに報告した後、サーバーのIPアドレスまでの起点を追跡できた可能性があります。
少なくとも調査を続けることをお勧めします。しかし、警備会社に従事することを検討してください。攻撃のこの段階では、何が起こったのかを理解する以外にすべきことがたくさんあります。証拠を保存する必要があるかもしれません、あなたはあなたのシステムを回復する必要があるでしょう、あなたは侵害の通知を提供する必要があるかもしれません、あなたはあなたの顧客が彼らのパスワードを変更する必要があるかもしれません。あらゆる種類の活動は違反から生じる可能性があり、専門家がそれをすべて案内します。
電子メールのヘッダーを見ないと、確認する方法はありませんが、sounds上記のJimmy Jamesが言うように、電子メール通知がフィッシングである可能性が高くなります。ファイルをそこに置いた攻撃者がそれを知って、それを「公式に」あなたに「報告」してあなたにそれをクリックさせるようにするのははるかに簡単です。 CSRFは、最も可能性の高い試みのようです。攻撃者は、送信先の人物がサイトに資格情報を持っていなかったことを知る方法はありませんが、指摘したように、電子メールを転送してくれました。成功したとは言わないが、「彼らはどうやって知ったか」に対する答えは「彼らはそうでなかった、そして通知は偽造された」だろう。
このウェブサイトは何をしますか?アカウントをホストしていますか、それともクレジットカードを受け入れますか?
このファイルは、実際に侵害されたことを示す明確な兆候と見なす必要があります。攻撃の範囲やベクトルはわかりませんが、ファイルが「フラグ」である可能性があり、ボットがサーバーがまだ危険にさらされていると判断するためにこのファイルを探します。
したがって、バックアップを保持し、日付/タイムスタンプ、Webサーバーログ、およびバックアップ自体を保存してください。最初のバックアップに戻り、ファイルが存在するかどうかを確認し、サイトのコンテンツと予想されるコンテンツを比較します。
また、s.htmファイルへのリクエストをログで検索します。ライトがオンになっていることを確認するために時々チェックインするボットネットワークを見つける場合があります。そこで見つけたIP情報を使用して他のトラフィックを検索できるという奇妙な可能性があります。これにより、攻撃の足跡が明らかになる可能性があります。
それまでは、メールの送信者に連絡してください。メール自体ではなく、公式のソースから連絡先情報を調べてください。ホスティングプロバイダーから同様の通知を受け取りましたが、侵害されたマシンを示すことがわかっている場合は、ファイルをスキャンしている可能性もあります。
これは、サイトを「少し」ハッキングできる場合に、フィッシングに適した方法です。
彼らのサーバーに無害なファイルを書き込んで、彼らに連絡して、彼らの政府の「技術者」と話をしてください。その時点で、もしあなたが疑わしくないなら、おそらく彼らはあなたに何かをするように頼むことができ、あなたはそれをするだけです。
連絡するように言われたとは言わなかったので、多分そうではないかもしれませんが、私はいつも妄想の横で誤解したいと思っています。
私はそれがフィッシング攻撃だと本当に思っています。
ただし、CERT機関が Zone-H のようなミラーを改ざんしてハッキングされたサイトのリストを取得することもできます。しかし、なぜ彼らがそうするのかはわかりません。