Incidenthantering vid hacking och att rapportera till ISP eller företag

2015-02-05
 |  No Comments

Incidenthantering vid hacking och att rapportera till ISP eller företag

konsult inom backup It säkerhet molntjänster återsartsplaner för IT

Igår och idag har en specifik IP adress från en av våra ISP:er försökt bryta sig hos några av mina kunder.
Alla attacker har blivit blockerade av Syspeace så de har inte lyckats men eftersom just den här adressen försökt i två dagar hos 4 olika kunder fördelade på olika nät så är det dags att rapporeta det som en incident.

När såna här attacker kommer från Kina, Indien, Korea, USA o.s.v. så brukar jag låta det vara om jag inte ser att det är en seriös attack dvs man har t.ex. använt kända användarnamn inom Active Directory som verkligen finns hos kunden. (Administrator fins ju alltid och det är standard att försöka logga in med)

Om det däremot kommer från Sverige brukar jag kika lite noggrannare och skicka följande mail med bifogad rapport.

Anledningen till att samla ihop information så detaljerat är att jag vill att deras säkerhetsavdelnineg ska få all information direkt och även kontaktuppgifter till mig utifall de vill verifiera att jag är jag. Se t.ex. den här otäcka saken jag skrev om brist på incidenthantering hos ett lands riksdag efter jag försökte påtala ett hacker angrepp (*obs På engelska*) .

Hur gå tillväga för att få fram information ?

Först och främst måste man ha något som larmar om själva angreppet.
Som jag skrev ovan använder jag själv Syspeace på alla Windows maksiner för att enkelt få attacken blockerad, rapporterad och spårad..

När du får reda på IP adressen och/eller DNS namnet kan du enkelt kontrollera vi t.ex. WHO IS vem den IP adressen tillhör och vilken mail adress de vill man ska kontakta dem på, ofast är det en abuse@***.se

Nackdelen med t.ex abuse adresser är att de kan bli översållade med mail och det mesta betraktas som SPAM så mitt förslag är att ringa till dem först och säg att du tänkte skicka ett mail dit med logar och beskriva vad som hänt. På det sättet är man seriös och de blir kanske lite mer uppmärksamma.

Här är en kopia på mailet jag skickade till dem

Hej.
Hoppas ni har en bra dag .

Vänligen bortse inte detta som SPAM eller ett skämt., Ni är välkomna att kontakta mig för att verifiera detta.
Kontakt uppgifter finns längs ner i detta mail

Jag heter Juha Jurvanen och är en oberoende IT konsult inom backup, IT säkerhet och driftsfrågor samt Syspeace

Jag har ett antal kunder som jag hjälper med drift och övervakning och hos dem har jag installerat intrångsskyddet Sysoeace för Windows Servrar

Anledningen till det här mailet till er är att Syspeace har larmat om en IP adress på ert nät som attackerat flera av mina kunder (bifogar loggar i PDF fil )
Den attackerande maskinen i fråga är :

Blocked address *.***.***.** (h-***-**.a1***.corp.******.se) [Sweden]

En misstanke är att det är default installerat Windows Server 2008 / 2008 R2 då den hare n standard IIS start sida när man surfar till den.
Har inte undersökt närmare med nmap o.s.v

Huruvida den står som en brandvägg för maskiner på insidan eller om det är den som är ursprunget går inte at avgöra dock men jag vet den har attackerat 4 av mina kunder under de senaste två dagarna och ni torde kunna se trafiken i era brandväggsloggar för att verifiera enligt PDF filen.

Vanligen brukar jag inte kontakta leverantörer om det är från t.ex. Kina eller Korea o.s.v. men om det är i Sverige kan man ju vara lite hjälpsam och uppmärksamma leverantören på det, om inte annat för så lite goodwill och ni har ju b.la särkerhetspaket osv så det ser kanske inte så bra ut att den typen av trafik kommer från era företagskunder.

Skulle ni ha några frågor om Syspeace eller annat jag kanske kan hjälpa till med eller vill att jag tar kontakt med er slutkund själv så är det bara att höra av sig.

Med Vänlig hälsning / Regards
Juha Jurvanen

0046 0709-66 69 97
*****.******@jufcorp.com

Senior IT konsult inom backup, IT drift, IT säkerhet och cloud
Senior IT consultant in backup, server operations, IT security and cloud services

Rapporten i PDF format jag skickade

Bruteforce Alert Report from JufCorp

och nedan är rapportens innehåll

FromIPAddress TargetIPAddress Date SucceOssrigin Account Extra
*.*.*.* ****.****.se [*.*.*.*} 2015-02-05 01:55 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 22:55 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 17:59 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 17:59 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 14:25 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 10:57 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 10:57 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 07:23 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 07:23 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 07:23 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 07:23 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 07:22 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 07:22 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 07:22 No Windows login ****\administrator 10 – Remote interactive
Originating IP DNS
(h-*-**.a***.corp.******.se) [Sweden]
Bruteforce preventions statsistics by Syspeace @ JufCorp ( https://www.jufcorp.com
JufCorp AB – Oberoende IT konsult inom backup, IT säkerhet, molntjänster och drift

Med Vänlig hälsning / Regards
Juha Jurvanen

0046 0709-66 69 97
****.********@jufcorp.com

Senior IT konsult inom backup, IT drift, IT säkerhet och cloud
Senior IT consultant in backup, server operations, IT security and cloud services

Vill ni veta mer om IT säkerhet och andra IT frågor ?

Kontakta mig

Uppföljning från ISP i fråga:

Hej,
***** besvarar aldrig den här typen av frågor, om inte frågeställaren representerar de svenska myndigheter vars rätt att få svar är reglerad i lag. Vi kan därför i nuläget varken bekräfta eller dementera att de uppgifter som efterfrågats finns hos oss, utan hänvisar till Polisen eller annan berörd myndighet.
Med Vänliga Hälsningar
***** Abuse Team
abuse@****.***

Backuper IT säkerhet Återstartsplaner och IT Tips, Juha Jurvanen
, , , , , , , , , ,