Nous avons reçu un e-mail officiel disant que notre site Web avait été piraté. Ils ont cité l'URL à utiliser pour voir le nouveau fichier suspect qui avait été déposé dans notre dossier racine Web (s.htm
). Juste du texte sur un "pirate marocain - je suis de retour" dans le fichier HTML. Rien d'autre ne semblait endommagé même si nous enquêtons.
Le lien inclus dans l'e-mail était exactement hXXp://example.com[.]au/s.htm
en texte brut, ce qui est aussi un peu bizarre, bien qu'il nous ait aidés à trouver le fichier.
L'horodatage du fichier n'est différent que de 7 heures et 3 minutes de la date d'envoi de l'e-mail. 7 heures pourraient facilement être un écart de fuseau horaire.
Ma question est: comment l'agence gouvernementale ( CERT ) a-t-elle su que notre site Web avait été piraté? C'est un site Web hébergé en Australie, pour une entreprise légitime - et l'agence gouvernementale est légitime.
Il est extrêmement facile de simuler un e-mail. Si quelqu'un a fait semblant, je ne vois pas comment l'agence le saurait. Le souci est que le lien qu'ils vous ont envoyé était l'attaque elle-même. Par exemple, cela pourrait être une attaque CSRF :
Avec un peu d'aide de l'ingénierie sociale ( comme l'envoi d'un lien par e-mail ou chat), un attaquant peut tromper les utilisateurs d'une application Web en exécutant des actions du choix de l'attaquant.
Une suggestion est de contacter le bureau et de savoir si c'est quelque chose qu'ils font. Tout simplement parce que la langue semble correcte et dit qu'elle vient du bon expéditeur ne signifie rien. C'est une approche courante utilisée dans les e-mails de phishing.
Une tâche CERT ( Computer Emergency Response Team ) consiste précisément à surveiller les problèmes de sécurité sur les actifs sous leur circonscription.
Dans le cas des CERT nationaux comme le CERT-AU, ils se soucient souvent de tout ce qui est hébergé sur leur pays, et s'ils sont informés d'un problème, leur tâche serait de contacter le propriétaire affecté afin qu'il puisse résoudre le problème (comme ils l'ont fait dans ce cas). Ils auraient également pu vous fournir des conseils au cas où vous en auriez eu besoin pour trouver le problème.
Ces services sont gratuits pour le peuple (ils sont une agence gouvernementale), et ils ne vous demanderont aucun type de paiement pour vous avoir notifié.
Une liste complète des services CERT-AU est disponible sur https://cert.gov.au/services
La
La façon de vous fournir l'URL sous hXXp: //domain.com [.] Au/s.htm est une méthode assez courante de partage d'URL malveillantes. L'objectif est que vous receviez l'URL (dont vous aurez besoin pour savoir où se trouve le contenu malveillant) mais en même temps minimisez le risque que vous puissiez l'ouvrir par inadvertance dans le mauvais environnement ou avant de lire l'intégralité de l'e-mail ( en outre, cela permet également d'éviter les filtres d'e-mails qui suppriment les e-mails contenant des URL malveillantes¹).
La
Il existe de nombreuses sources dont ils peuvent avoir connaissance de cet incident:
La
Parmi les avantages de l'envoi des notifications via le CERT figurent:
La
Une liste des CERT mondiaux (publics et privés) est disponible sur First: https://first.org/members/teams
Une base de données des CERT européens et des équipes de sécurité est également disponible sur Trusted Introducer .
La
¹ Par exemple, Google trouve chaque jour de nombreuses URL malveillantes détectées lors de leur exploration, au lieu d'essayer de les signaler directement au propriétaire, il les partage avec le CERT national concerné afin qu'il puisse s'occuper de la notification.
² Imaginez simplement que cette question soit "un gars choisi au hasard à partir d'une adresse hotmail a envoyé notre administrateur…"
À moins qu'ils ne vous le disent dans la lettre, il n'y a aucun moyen de savoir comment ils ont été informés du piratage. Il est probable que quelqu'un ait signalé un problème, une attaque ou une sonde quelconque au CERT, et qu'il a ensuite pu retracer l'origine du dos à l'adresse IP de votre serveur.
Je vous recommande au moins de poursuivre votre enquête; mais pensez à engager une entreprise de sécurité. Il y a beaucoup à faire à ce stade d'une attaque, à part comprendre ce qui s'est passé. Vous devrez peut-être conserver des preuves, vous devrez récupérer vos systèmes, vous devrez peut-être fournir des notifications de violation, vous devrez peut-être que votre clientèle change ses mots de passe; toutes sortes d'activités peuvent découler d'une violation, et un professionnel vous guidera à travers tout cela.
Sans voir les en-têtes des e-mails, il n'y a aucun moyen pour nous d'en être sûr, mais il sons plus probable que l'avis par e-mail était le hameçonnage, comme le dit Jimmy James ci-dessus. Il est beaucoup plus facile pour l'attaquant qui y a placé le fichier de le savoir et de vous le "signaler" "officiellement" pour vous faire cliquer dessus. CSRF semble être la tentative la plus probable en cours. L'attaquant n'a aucun moyen de savoir que la personne à qui il l'a envoyé n'avait pas d'informations d'identification sur le site, mais comme vous l'avez souligné, il vous a transmis le courrier électronique, qui en a un. Je ne dis pas que cela a réussi, mais la réponse à "Comment savaient-ils" semble-t-elle très probablement être "Ils ne l'ont pas fait, et la notification a été truquée".
Que fait ce site Web? Héberge-t-il des comptes ou accepte-t-il les cartes de crédit?
Le fichier doit être considéré comme un signe clair que vous avez bien été compromis. Vous ne connaissez pas l'étendue ou le vecteur d'attaque, mais le fichier peut bien être un "indicateur" qu'un bot recherche pour déterminer que le serveur est toujours compromis.
Veillez donc à conserver les sauvegardes et à conserver les horodatages, les journaux du serveur Web et les sauvegardes elles-mêmes. Revenez à votre première sauvegarde et voyez si le fichier est là, comparez également le contenu du site avec le contenu attendu.
Recherchez également dans vos journaux les demandes à s.htm
fichier. Vous pouvez trouver un réseau de bots qui vérifie de temps en temps que les lumières sont allumées. Il y a une chance étrange que vous puissiez utiliser les informations IP que vous y trouvez pour rechercher d'autres trafics - ce qui peut révéler les traces de l'attaque.
En attendant, contactez l'expéditeur de l'e-mail - assurez-vous de rechercher ses coordonnées auprès d'une source officielle et non de l'e-mail lui-même. J'ai reçu des notifications similaires de la part des hébergeurs, ils peuvent également rechercher le fichier s'il s'agit d'un ordinateur connu pour indiquer une machine compromise.
Ce serait un bon moyen d'hameçonner quelqu'un quand vous pourriez pirater son site "un peu".
Il suffit d'écrire un fichier bénin sur leur serveur, puis de les contacter et d'engager une conversation avec leur "Tech" gouvernemental. À ce stade, si vous n'étiez pas méfiant, ils pourraient probablement vous demander de faire quoi que ce soit et vous le feriez.
Je me rends compte que vous n'avez pas dit qu'ils vous avaient demandé de les contacter ou quoi que ce soit, alors peut-être pas, mais j'aime toujours me tromper du côté de la paranoïa.
Je pense vraiment que c'est une attaque de phishing.
Cependant, il est également possible pour les agences CERT d'obtenir une liste de sites piratés via des miroirs deface, tels que Zone-H . Mais je ne vois pas pourquoi ils le feraient.