Recientemente, Microsoft bloqueó un ataque basado en servidores web con trampas explosivas a través de la incautación de algunos de los nombres de servidores conocidos utilizados en este ataque. Este análisis de ataque se enfocó en defender las elecciones de medio término en los Estados Unidos, que tendrán lugar en noviembre de 2018.
Aquí están los grandes servidores web atrapados por Microsoft:
name IP address date updated
------------------------------------------------------------------------
adfs-senate.email 157.56.161.162 17/08/2018
adfs-senate.services 157.56.161.162 17/08/2018
hudsonorg-my-sharepoint.com 157.56.161.162 14/08/2018
my-iri.org 157.56.161.162 16/08/2018
office365-onedrive.com 157.56.161.162 14/08/2018
senate.group 157.56.161.162 17/08/2018
------------------------------------------------------------------------
Por supuesto, 157.56.161.162
es una dirección IP que pertenece a Microsoft,
y obtendrán todo el tráfico de máquinas atrapadas por este ataque antes del 14 de agosto.
Este ataque, según el análisis de Microsoft, parece que podría atribuirse al grupo criminal APT28.
Pero ahora falta información para otros países que podrían ser otros objetivos de esta campaña de ataque directa o indirectamente para luego atacar a los Estados Unidos a través de la técnica habitual de lavado de conexión.
Sería interesante detectar las máquinas en las que un ataque tuvo éxito en todo el mundo. Para que este análisis tenga éxito, la forma más sencilla consiste en ingresar dentro de las reglas de filtrado de Egress de las reglas de firewalls de Internet del formulario (en la parte superior del grupo de filtrado de Egress):
deny ip any <IP_address_of_booby_trapped_web_server> 255.255.255.255 log
para los 6 servidores identificados por Microsoft.
Y para esta investigación, necesitamos la dirección IP que se atribuye a estos servidores web con trampas explosivas justo antes de la incautación y actualización por parte de Microsoft.
¿Cómo podemos obtener rápidamente las direcciones IP de estos delincuentes antes del 14 de agosto en la base de datos de WHOIS internacional?