Freaked out por "clic imposible" en los registros

7

Estaba preparando un entorno de producción aislado y accediendo a su script PHP remoto desde mi mac local en http://example.com/XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0

Vi mi clic en el registro de la siguiente manera:

{
  "id":"XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0",
  "timestamp":1535672410,
  "ip_address":"MY.IP.AD.DR",
  "user_agent":"Mozilla\/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/68.0.3440.106 Safari\/537.36",
  "referer":null,
  "parameter":"XXX"
}

Y no podía creer lo que veía cuando vi lo siguiente en la siguiente línea del registro:

{
  "id":"XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0",
  "timestamp":1535672411,
  "ip_address":"159.203.81.ADDR",
  "user_agent":"Mozilla\/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko\/20100101 Firefox\/33.0",
  "referer":"83.222.249.ADDR",
  "parameter":"XXX"
}

Sólo un segundo más tarde (ver "marca de tiempo"), hubo un clic desde una IP digital de océano "159.203.81.ADDR" que utiliza un agente de usuario falso y un remitente falso, con el mismo parámetro GET ("XXX") . No hay forma en la tierra de que pudieran haber sabido sobre el ID "XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0" que mi máquina local generó aleatoriamente unos minutos antes.

¿Supongo que esto significa que mi red local está comprometida de alguna manera? Malware está rastreando mi actividad de red y, como la solicitud no era HTTPS, ¿el malware pudo replicarla para espiar información confidencial?

He escaneado mi Mac local en busca de Malware usando ClamAV y Malwarebytes, ambos no encontraron una sola cosa. ¿Cómo puedo llegar al fondo de esto? ¿Podría ser que el enrutador de mi casa esté infectado con malware?

No estoy seguro de si esto es relevante, pero recientemente he experimentado cosas con cables en mi Mac y dispositivos móviles. Por ejemplo, cuando navego en sitios web aleatorios, a veces de repente me redireccionan a un sitio web de anuncios fraudulentos ("Felicitaciones, ha ingresado su información ..."). Tomé una captura de pantalla de una de esas en mi dispositivo móvil: enlace

    
pregunta user9114945 31.08.2018 - 12:28
fuente

4 respuestas

6

Hemos visto este tipo de comportamiento en nuestros servidores (hace algunos años): algún proceso automatizado intentó repetir cada solicitud realizada por un usuario que inició sesión.


En nuestro caso, el servicio requería TLS para las páginas de inicio de sesión, pero permitía a los usuarios registrados continuar su sesión en páginas que no eran HTTPS. Sin embargo, el identificador de sesión cambió en cada solicitud, mientras que los identificadores de sesión usados permanecieron válidos durante algunos segundos después de la primera vez que fueron enviados de vuelta al servidor (para mitigar los problemas de latencia).

Cuando se notó el patrón que describiste, investigamos quién o cuál era la fuente de la solicitud de repetición. Cuando redujimos el tiempo de espera de invalidación para los identificadores de sesión reutilizados, rápidamente quedó claro que se repetían todas para ciertos usuarios, pero que el patrón solo surgía para un subconjunto distinto de usuarios.

Resultó que el factor común para este subconjunto de usuarios era que todos estaban en China. Asumimos que era una característica del gran servidor de seguridad de China, cambiamos todo el servicio a HTTPS (obligatorio) y se detuvieron las solicitudes de repetición.


Por lo tanto, para resumir, ya que se está conectando a su script PHP remoto a través de una conexión que no es TLS, cualquier persona, incluidos muchos procesos automatizados, podría incluir su solicitud. Esto podría ser nefasto, pero también podría ser una característica de seguridad (como la detección de malware, etc.) en alguna parte.

Cambie a HTTPS y vea si continúa. Si se detiene, resolvió el problema. Si continúa, sus solicitudes se están interceptando en uno de sus puntos finales (su servidor o su máquina local).

    
respondido por el Jacco 31.08.2018 - 22:26
fuente
7

Podría ser algún software de seguridad en su sistema o en su red que inspeccione si la URL que visita es dañina. A menudo realizan visitas desde sistemas que obviamente no están asociados con las compañías de seguridad, ya que los atacantes a menudo intentan ofrecer contenido inocente si detectan un bot de una compañía de seguridad. Por lo tanto, en lugar de intentar encontrar cualquier malware, intente deshabilitar todo el software de seguridad en su sistema o dentro de su red y vea si el problema desaparece.

    
respondido por el Steffen Ullrich 31.08.2018 - 12:49
fuente
1

Puede haber varias causas para esto. Desde mi perspectiva, lo más probable es que sea algún tipo de malware, pero no está necesariamente en tu Mac.

Uno de los principales problemas con el malware es: incluso si logra detectar un archivo infectado (o una instancia del malware), eliminarlo o destruirlo no eliminará necesariamente la fuente de la actividad maliciosa. Puede que solo sea un archivo hijo. Es posible que hayas infectado con algo, o que tus dispositivos móviles estén infectados o que también estén infectados y tal vez sea adicional o simplemente tu enrutador.

Así que aquí viene la triste verdad: sin reiniciar todo el dispositivo (s) hay pocas posibilidades de que te deshagas de esto. Si tiene un enrutador antiguo o mal mantenido (en relación con las actualizaciones y la seguridad) quizás también deba restablecerlo. Si desea profundizar en el análisis forense, también puedo recomendarle que no haga esto en sus sistemas en vivo, dependiendo de si también quiere usarlos de otras maneras. Lamento traer malas noticias.

    
respondido por el Ben 31.08.2018 - 12:36
fuente
0

¿Notaste este hecho?

¿Fue cortafuegos y restringió su entorno de ensayo? Si no es así, el contrato y la NDA que usted haya firmado con su empresa ahora serán nulos e inválidos o podrían presentar una demanda legal en su contra si otra persona tuviera acceso a su entorno de almacenamiento, que generalmente tiene secretos comerciales. Estas son las implicaciones con las que se encuentra sin contratar o buscar un servicio de seguridad profesional.

Si usted es tan experto en appsec como en mi experiencia como ingeniero de seguridad . Los entornos de prueba siempre deben usar el protocolo TLS, así como ser cortafuegos , usar iptables y permitir solo ciertas subredes pertenecientes a su intranet corporativa o VPN para acceder a esta instancia de almacenamiento.

¿Implementó la Autenticación básica o el cortafuegos en su instancia de almacenamiento o al menos usó TLS mientras se comunicaba con esa instancia de almacenamiento?

sí / no ?

El problema principal

Estoy seguro de que no estaba usando un VPN corporativo y no estaba restringiendo el acceso a la instancia de almacenamiento por IP. Primer punto a tener en cuenta.

Segundo, el protocolo TLS no se implementó, lo que lleva a la intercepción de solicitudes de red.

    
respondido por el A Khan 01.09.2018 - 14:50
fuente

Lea otras preguntas en las etiquetas