Detección y atribución de un ataque continuo hacia las elecciones de EE. UU.

0

Recientemente, Microsoft bloqueó un ataque basado en servidores web con trampas explosivas a través de la incautación de algunos de los nombres de servidores conocidos utilizados en este ataque. Este análisis de ataque se enfocó en defender las elecciones de medio término en los Estados Unidos, que tendrán lugar en noviembre de 2018.

Aquí están los grandes servidores web atrapados por Microsoft:

    name                            IP address      date updated 
------------------------------------------------------------------------
    adfs-senate.email               157.56.161.162  17/08/2018
    adfs-senate.services            157.56.161.162  17/08/2018
    hudsonorg-my-sharepoint.com     157.56.161.162  14/08/2018
    my-iri.org                      157.56.161.162  16/08/2018
    office365-onedrive.com          157.56.161.162  14/08/2018
    senate.group                    157.56.161.162  17/08/2018
------------------------------------------------------------------------

Por supuesto, 157.56.161.162 es una dirección IP que pertenece a Microsoft, y obtendrán todo el tráfico de máquinas atrapadas por este ataque antes del 14 de agosto.

Este ataque, según el análisis de Microsoft, parece que podría atribuirse al grupo criminal APT28.

Pero ahora falta información para otros países que podrían ser otros objetivos de esta campaña de ataque directa o indirectamente para luego atacar a los Estados Unidos a través de la técnica habitual de lavado de conexión.

Sería interesante detectar las máquinas en las que un ataque tuvo éxito en todo el mundo. Para que este análisis tenga éxito, la forma más sencilla consiste en ingresar dentro de las reglas de filtrado de Egress de las reglas de firewalls de Internet del formulario (en la parte superior del grupo de filtrado de Egress):

deny ip any <IP_address_of_booby_trapped_web_server> 255.255.255.255 log

para los 6 servidores identificados por Microsoft.

Y para esta investigación, necesitamos la dirección IP que se atribuye a estos servidores web con trampas explosivas justo antes de la incautación y actualización por parte de Microsoft.

¿Cómo podemos obtener rápidamente las direcciones IP de estos delincuentes antes del 14 de agosto en la base de datos de WHOIS internacional?

    
pregunta daniel Azuelos 23.08.2018 - 10:13
fuente

0 respuestas

Lea otras preguntas en las etiquetas