OM CERT-SE
WEBBKARTA
Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
Hem CERT-SE:s incidenthanteringsprocess Steg 3 - Begränsa Notice & Takedown
Navigering
De viktigaste frågorna vid en incident

Vid en första kontakt med en intressent som har råkat ut för en misstänkt incident så är det några frågor som organisationen bör få svar på. De viktigaste är listade nedan.

  • Vad har hänt, hur och när upptäcktes problemet?
  • Vilka åtgärder har gjorts?
  • Är incidenten fortfarande pågående, kan data läcka ut?
  • Vad vill organisationen ha hjälp med?
  • Vilka har organisationen kontaktat?
  • Kan organisationen tänka sig att dela med sig av information, data eller loggar till tredje part eller andra drabbade organisationer?
  • Vill organisationen polisanmäla incidenten?

 

Notice & Takedown - nedstängning av skadliga IP-adresser eller domäner

I det här avsnittet behandlas Notice & Takedown.

 

Följande punkter behandlas:

 

 

Notice & Takedown

I det fall då en domän eller IP-adress använts med ont uppsåt som t.ex.i phishing, "drive-by-download" eller någon annan form av angrepp, bör den drabbade organisation kontakta ägaren av domänen/IP-adressen för att uppmärksamma dem på överträdelsen.

Notice & takedown handlar i stort sett om två saker: söka ut information om IP-adresser eller domännamn samt att notifiera ägare av nät, IP-adresser eller domännamn för att avhjälpa problemet.

 

Vad kan CERT-SE bidra med?

  • Alla steg inom "Notice & Takedown"-processen
  • Information
  • Samordning
  • Kontakter till andra CERT-organisationer


Förutsättningar och terminologi

Förutsättningarna för att effektivt kunna utföra Notice & Takedown är loggar från nätverksutrustning.
 

drive-by-downloads

phishing 

Fast Flux

TLD

Malware

 

Insamling av information från situationen

I de fall där en organisation har råkat ut för någon typ av attack t.ex. domän som serverar en phishing-sida eller en IP-adress som innehåller en webbsida med skadlig kod så är det viktigt att komma i kontakt med den ansvariga organisationen bakom dessa.

Det är också viktigt att den drabbade organisationen "säkrar bevis" i form av all tillgänglig information om angreppet (för användning vid en eventuell polisanmälan).Till exempel kopior på eventuella phishing-sidor, loggar, insamlad domän/IP-information. Dessutom be att få tillgång till information relaterad till angreppet av organisation som ansvarar för IP-adressen/domänen som varit inblandad, t.ex. ISP, Webbhotell eller TLD. Information som kan vara intressant är till exempel: kontoinformation, loggar, hela webbsidan (som varit inblandad i t.ex en phishing-attack) eller motsvarande.

Hur ska den drabbade organisationen ta reda på information om vilka som står bakom?

I de flesta operativsystem finns det vanligtvis flera program som kan hjälpa till med att hitta den typen av information. Det finns även ett antal webbsidor som har tjänster som hjälper med sådana fall. Man kan med relativt enkla medel få fram ganska mycket information om en IP-adress eller domän.

För att ta reda på vilket land, nät, domän eller leverantör IP-adressen tillhör så finns några olika kommandon som kan användas:

  • host - Slår upp ett namn, domäninformation eller IP-adress utifrån en IP-adress eller ett domännamn
  • dig - Slår upp ett namn, domäninformation eller IP-adress utifrån en IP-adress eller ett domännamn (ger lite mer information än host)
  • whois - Slår upp information om ISP, Landskod, Nätägare, AS-nummer, TLD (för domän) utifrån en IP-adress eller ett domännamn
  • traceroute (Windows: tracert) - Visar routing-information om vägen till en IP-adress

Dessa kommandon finns vanligen förinstallerade i en Unix/Linux-miljö. De finns också som tilläggsprogram till Windows, t.ex.: Cygwin

 

Vi använder det i några olika sökningar för att se vilka resultat som kan uppnås.

I exemplen nedan används IP-adressen 213.129.76.19 samt  domänen first.org för att illustrera utsökningen.

 

 ------------------------------8<----------------------------------

Nedan görs en enkel sökning efter namn på IP-adressen:

$ host 213.129.76.19

19.76.129.213.in-addr.arpa domain name pointer www0.first.hosted-at.thebunker.net.

 

------------------------------8<----------------------------------

Sökningen går lite mer på djupet för att ta reda på vem som äger, ansvarar, är kontakt för, har registrerat nätet:

$ whois 213.129.76.19

% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% See http://www.ripe.net/db/support/db-terms-conditions.pdf

 

% Note: This output has been filtered.

%       To receive output for a database update, use the "-B" flag.

 

% Information related to '213.129.76.16 - 213.129.76.31'

 

inetnum:        213.129.76.16 - 213.129.76.31

netname:        TBSH-CLIENT-FIRST

descr:          TBSH Client Network - FIRST

country:        GB

admin-c:        TBHA1-RIPE

tech-c:         TBHA1-RIPE

status:         ASSIGNED PA

mnt-by:         BUNKER-MNT

source:         RIPE # Filtered

 

role:           The Bunker Host Admin

nic-hdl:        TBHA1-RIPE

address:        The Bunker Secure Hosting Ltd.

address:        Ash Radar Station

address:        Marshborough Rd

address:        Sandwich

address:        Kent

address:        CT13 0PL

address:        England

phone:          +44 (0)1304 814800

e-mail:         hostmaster@thebunker.net

remarks:        *******************************************

remarks:        If you wish to report network abuse, please use

remarks:        abuse@thebunker.net. Please do not use any other

remarks:        address, as this may well delay the processing

remarks:        of your abuse report.

remarks:        *******************************************

admin-c:        DUNC-RIPE

admin-c:        MATT3-RIPE

admin-c:        BP1571-RIPE

admin-c:        HUSS-RIPE

tech-c:         DUNC-RIPE

tech-c:         MATT3-RIPE

tech-c:         BP1571-RIPE

tech-c:         HUSS-RIPE

mnt-by:         BUNKER-MNT

source:         RIPE # Filtered

 

% Information related to '213.129.64.0/19AS24958'

 

route:          213.129.64.0/19

descr:          The Bunker Secure Hosting Ltd - Allocation 1

origin:         AS24958

mnt-by:         BUNKER-MNT

source:         RIPE # Filtered

 

% Information related to '213.129.64.0/20AS24958'

 

route:          213.129.64.0/20

descr:          The Bunker Secure Hosting Ltd - Allocation 1 Part 1

origin:         AS24958

mnt-by:         BUNKER-MNT

source:         RIPE # Filtered

 

------------------------------8<---------------------------------- 

Nästa gång söker vi efter landskod, AS-nummer, AS-Path:

$ whois -h whois.pwhois.org "213.129.76.19"

IP: 213.129.76.19

Origin-AS: 24958

Prefix: 213.129.64.0/20

AS-Path: 6939 24916 24958

AS-Org-Name: TBSH Telehouse and Newbury site

Org-Name: TBSH Client Network - FIRST

Net-Name: TBSH-CLIENT-FIRST

Cache-Date: 1271047417

Latitude: 54.150000

Longitude: -4.473000

City: -

Region: -

Country: UNITED KINGDOM

 

------------------------------8<---------------------------------- 

Det här kommandot visar vägen till IP-adressen:

$ traceroute -w 2 -I 213.129.76.19

traceroute to 213.129.76.19 (213.129.76.19), 30 hops max, 60 byte packets

 1  * * *

 2  82.96.53.137 (82.96.53.137)  1.042 ms  1.058 ms  1.059 ms

 3  te4-4-r72.cr0-r70.tc2-ams.nl.p80.net (82.96.1.34)  33.980 ms  33.989 ms  33.994 ms

 4  10ge-r1.ams2.nl.as5580.net (78.152.63.25)  34.611 ms  34.636 ms  34.627 ms

 5  10ge-r1.par2.fr.as5580.net (80.94.64.78)  39.182 ms  39.209 ms  39.215 ms

 6  linx1.orbital.net (195.66.225.93)  39.473 ms  39.513 ms  39.504 ms

 7  eth1-12.thn-bgp-1.thn.core.thebunker.net (80.88.202.70)  32.738 ms  32.803 ms  32.785 ms

 8  ve-17.ash-bgp-2.ash.core.thebunker.net (213.129.95.233)  35.445 ms  35.443 ms  35.289 ms

 9  ge0-24.ash-abr-1-b.ash.thebunker.net (213.129.78.37)  35.587 ms  35.916 ms  36.473 ms

10  ash-ce-1-a.thebunker.net (213.129.78.1)  36.088 ms  37.708 ms  36.371 ms

11  widgeon.hosted-at.thebunker.net (213.129.79.37)  37.232 ms  37.222 ms  37.151 ms

12  www0.first.hosted-at.thebunker.net (213.129.76.19)  37.444 ms  37.501 ms  37.481 ms

 

------------------------------8<----------------------------------

Nu börjar sökning efterdomännamn:

$ dig  213.129.76.19 

; <<>> DiG 9.6.1-P1 <<>> a 213.129.76.19

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 49421

;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

 

;; QUESTION SECTION:

;213.129.76.19. IN A

 

;; AUTHORITY SECTION:

. 10800 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2010041200 1800 900 604800 86400

 

;; Query time: 5 msec

;; SERVER: 192.121.218.36#53(192.121.218.36)

;; WHEN: Mon Apr 12 15:08:17 2010

;; MSG SIZE  rcvd: 106

 

------------------------------8<----------------------------------

Här slås information om namn samt namnservrar upp:

$ dig -x 213.129.76.19 

; <<>> DiG 9.6.1-P1 <<>> -x 213.129.76.19

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47609

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4


;; QUESTION SECTION:

;19.76.129.213.in-addr.arpa. IN PTR


;; ANSWER SECTION:

19.76.129.213.in-addr.arpa. 93604 IN PTR www0.first.hosted-at.thebunker.net.


;; AUTHORITY SECTION:

76.129.213.in-addr.arpa. 93604 IN NS ns0.thebunker.net.

76.129.213.in-addr.arpa. 93604 IN NS ns2.thebunker.net.

76.129.213.in-addr.arpa. 93604 IN NS ns3.thebunker.net.

76.129.213.in-addr.arpa. 93604 IN NS ns1.thebunker.net.


;; ADDITIONAL SECTION:

ns2.thebunker.net. 93604 IN A 208.185.88.33

ns1.thebunker.net. 93604 IN A 213.129.94.9

ns3.thebunker.net. 93604 IN A 217.114.97.210

ns0.thebunker.net. 93604 IN A 213.129.65.10


;; Query time: 10 msec

;; SERVER: 192.121.218.36#53(192.121.218.36)

;; WHEN: Tue Apr 13 12:59:53 2010

;; MSG SIZE  rcvd: 228

 

------------------------------8<----------------------------------

I det fall då organisationen vet vilken domän som används för angreppet så kan följande sökning göras.

$ whois first.org

NOTICE: Access to .ORG WHOIS information is provided to assist persons in 

determining the contents of a domain name registration record in the Public Interest Registry

registry database. The data in this record is provided by Public Interest Registry

for informational purposes only, and Public Interest Registry does not guarantee its 

accuracy.  This service is intended only for query-based access.  You agree 

that you will use this data only for lawful purposes and that, under no 

circumstances will you use this data to: (a) allow, enable, or otherwise 

support the transmission by e-mail, telephone, or facsimile of mass 

unsolicited, commercial advertising or solicitations to entities other than 

the data recipient's own existing customers; or (b) enable high volume, 

automated, electronic processes that send queries or data to the systems of 

Registry Operator or any ICANN-Accredited Registrar, except as reasonably 

necessary to register domain names or modify existing registrations.  All 

rights reserved. Public Interest Registry reserves the right to modify these terms at any 

time. By submitting this query, you agree to abide by this policy. 

 

Domain ID:D766817-LROR

Domain Name:FIRST.ORG

Created On:17-Dec-1991 05:00:00 UTC

Last Updated On:16-Oct-2009 18:21:17 UTC

Expiration Date:16-Dec-2010 05:00:00 UTC

Sponsoring Registrar:Network Solutions LLC (R63-LROR)

Status:CLIENT TRANSFER PROHIBITED

Registrant ID:31737549-NSIV

Registrant Name:FIRST.ORG, Inc.

Registrant Organization:FIRST.ORG, Inc.

Registrant Street1:ATTN insert domain name here

Registrant Street2:care of Network Solutions

Registrant Street3:

Registrant City:Drums

Registrant State/Province:PA

Registrant Postal Code:18222

Registrant Country:US

Registrant Phone:+1.5707088780

Registrant Phone Ext.:

Registrant FAX:

Registrant FAX Ext.:

Registrant Email:ed82x6xr7ur@networksolutionsprivateregistration.com

Admin ID:43570176-NSIV

Admin Name:Nora Duhig

Admin Organization:FIRST.org, Inc

Admin Street1:ATTN insert domain name here

Admin Street2:care of Network Solutions

Admin Street3:

Admin City:Drums

Admin State/Province:PA

Admin Postal Code:18222

Admin Country:US

Admin Phone:+1.5707088780

Admin Phone Ext.:

Admin FAX:

Admin FAX Ext.:

Admin Email:tu54422y9vg@networksolutionsprivateregistration.com

Tech ID:38705262-NSIV

Tech Name:FIRST Secretariat

Tech Organization:FIRST.Org, Inc.

Tech Street1:ATTN insert domain name here

Tech Street2:care of Network Solutions

Tech Street3:

Tech City:Drums

Tech State/Province:PA

Tech Postal Code:18222

Tech Country:US

Tech Phone:+1.5707088780

Tech Phone Ext.:

Tech FAX:

Tech FAX Ext.:

Tech Email:hr69b7cm4ey@networksolutionsprivateregistration.com

Name Server:UDNS1.ULTRADNS.NET

Name Server:UDNS2.ULTRADNS.NET

Name Server: 

Name Server: 

Name Server: 

Name Server: 

Name Server: 

Name Server: 

Name Server: 

Name Server: 

Name Server: 

Name Server: 

Name Server: 

DNSSEC:Unsigned

 

------------------------------8<----------------------------------

För att hitta djupare DNS-information så kan följande kommando användas (i det här fallet så frågar vi udns2.ultradns.net):

$ dig @udns2.ultradns.net -t any first.org

; <<>> DiG 9.6.1-P1 <<>> @udns2.ultradns.net -t any first.org

; (1 server found)

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35611

;; flags: qr aa rd; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 4

;; WARNING: recursion requested but not available

 

;; QUESTION SECTION:

;first.org. IN ANY

 

;; ANSWER SECTION:

first.org. 86400 IN SOA udns1.ultradns.net. first-sec.first.org. 2009111900 10800 3600 2592000 86400

first.org. 8600 IN A 213.129.76.19

first.org. 86400 IN NS udns2.ultradns.net.

first.org. 86400 IN NS udns1.ultradns.net.

first.org. 86900 IN MX 20 roll.first.org.

first.org. 86900 IN MX 10 rock.first.org.

 

;; ADDITIONAL SECTION:

udns2.ultradns.net. 86400 IN A 204.74.101.1

udns1.ultradns.net. 86400 IN A 204.69.234.1

roll.first.org. 86400 IN A 213.129.91.57

rock.first.org. 86400 IN A 213.129.76.17

 

;; Query time: 34 msec

;; SERVER: 204.74.101.1#53(204.74.101.1)

;; WHEN: Tue Apr 13 15:27:41 2010

;; MSG SIZE  rcvd: 247

 

------------------------------8<----------------------------------

Den här sökningen tar fram vilken TLD som är ansvarig för toppdomänen .org:

$ whois -h whois.iana.org .org 

IANA Whois Service

Domain: org

ID: org

 

Sponsoring Organization:

    Name: 

    Organization: Public Interest Registry (PIR)

    Address1: 1775 Wiehle Avenue

    Address2: Suite 102A

    Address3: 

    City: Reston

    State/Province: Virginia

    Country: United States

    Postal Code: 20190

    Phone: 

    Fax: 

    Email: 

    Registration Date: 31-December-2002

    Last Updated Date: 31-December-2002

 

Administrative Contact:

    Name: Michelle Coon

    Organization: Public Interest Registry (PIR)

    Address1: 1775 Wiehle Avenue

    Address2: Suite 200

    Address3: 

    City: Reston

    State/Province: Virginia

    Country: United States

    Postal Code: 20190

    Phone: +1 703 889 5762

    Fax: +1 703 889 5779

    Email: mcoon@pir.org

    Registration Date: 31-December-2002

    Last Updated Date: 19-December-2008

 

Technical Contact:

    Name: Michelle Coon

    Organization: Public Interest Registry (PIR)

    Address1: 1775 Wiehle Avenue

    Address2: Suite 200

    Address3: 

    City: Reston

    State/Province: Virginia

    Country: United States

    Postal Code: 20190

    Phone: +1 703 889 5762

    Fax: +1 703 889 5779

    Email: mcoon@pir.org

    Registration Date: 31-December-2002

    Last Updated Date: 19-December-2008

URL for registration services: http://www.pir.org

Whois Server (port 43): whois.pir.org

 

Nameserver Information:

    Nameserver: a0.org.afilias-nst.info.

    IP Address: 199.19.56.1 2001:500:e:0:0:0:0:1

    Nameserver: b0.org.afilias-nst.org.

    IP Address: 199.19.54.1 2001:500:c:0:0:0:0:1

    Nameserver: c0.org.afilias-nst.info.

    IP Address: 199.19.53.1 2001:500:b:0:0:0:0:1

    Nameserver: d0.org.afilias-nst.org.

    IP Address: 199.19.57.1 2001:500:f:0:0:0:0:1

    Nameserver: a2.org.afilias-nst.info.

    IP Address: 199.249.112.1 2001:500:40:0:0:0:0:1

    Nameserver: b2.org.afilias-nst.org.

    IP Address: 199.249.120.1 2001:500:48:0:0:0:0:1

------------------------------8<----------------------------------

Nu när insamling av data är gjord så vet organisationen följande om IP 213.129.76.19: 

Bakåtuppslagning: www0.first.hosted-at.thebunker.net

ISP: The Bunker Secure Hosting Ltd.

Abuse-adress: abuse@thebunker.net

AS-nummer: 24958

Routing-prefix: 213.129.64.0/20

AS-Path: 6939 24916 24958

Organisationsnamn: TBSH Client Network - FIRST

Nätnamn: TBSH-CLIENT-FIRST

Land: UNITED KINGDOM

Ansvariga namnservrar: 

ns2.thebunker.net. 93604 IN A 208.185.88.33

ns1.thebunker.net. 93604 IN A 213.129.94.9

ns3.thebunker.net. 93604 IN A 217.114.97.210

ns0.thebunker.net. 93604 IN A 213.129.65.10

 

Domäninformation för first.org (här hittades väldigt lite information) 

Admin ID:43570176-NSIV

Admin Name:Nora Duhig

Admin Organization:FIRST.org, Inc

Admin Street1:ATTN insert domain name here

Admin Street2:care of Network Solutions

Admin Street3:

Admin City:Drums

Admin State/Province:PA

Admin Postal Code:18222

Admin Country:US

Admin Phone:+1.5707088780

Admin Phone Ext.:

Admin FAX:

Admin FAX Ext.:

Admin Email:fv8a43mq4rw@networksolutionsprivateregistration.com

 

Ansvarig organisation och person för .org-domäner:

Name: Michelle Coon

Organization: Public Interest Registry (PIR)

Address1: 1775 Wiehle Avenue

Address2: Suite 200

Address3: 

City: Reston

State/Province: Virginia

Country: United States

Postal Code: 20190

Phone: +1 703 889 5762

Fax: +1 703 889 5779

Email: mcoon@pir.org

  

Nedstängning av domän eller IP-adress

Efter insamlingen av information om IP-adressen eller domänen så är det dags för att begränsa eller avbryta överträdelsen. 

 

Vid nedstängning av en överträdelse så är organisationen oftast beroende av hjälp från tredje part, typ ISP, TLD, Webbhotell, annan organisation som har någon form av ansvar för parten inblandad. Det är därför viktigt att ha uppdaterade kontaktlistor för att snabba upp arbetet med att begränsa eller avbryta angreppet. Det är också viktigt att veta att i många fall så har även den"angripande" organisationen utsatts för ett intrång som är grund för vidare attacker.

Detta kan göras på två olika sätt:

  • I det fall det handlar om en IP-adress (utan domänupplag) som har servat en phishing-sida eller serverat skadlig kod via en webbsida, så bör drabbad organisation kontakta ISP, webbhotell, nätägare eller annan ansvarig organisation för att få hjälp med nedstängning. 
  • I det fall det handlar om att ett domännamn använts för att lura användare att ladda ner skadlig kod eller bifoga sin inloggningsuppgifter på en phishing-sida, så bör drabbad kontakta domänägare, TLD, ISP eller annan ansvarig organisation för få hjälp med nedstängning.

I vissa fall använder angriparen Fast Flux, som är en metod - som vanligen används av "botnet" - som bygger på att angriparen byter IP-adress för en domän kanske så ofta som var 10:e minut, eller oftare. Detta innebär att det är svårt att stänga ner IP-adressen som kommer att bytas ut till en annan 5-10 minuter senare.

För att tackla ett sådant tilltag så bör drabbad organisation kontakta TLD:n för den toppdomänen t.ex. first.org (som kunde sökas ut med kommandot "whois -h whois.iana.org .org"). TLD:n kan i det här fallet ta bort pekarna till  DNS:erna (namnservrarna) för domänen vilket resulterar i domänen inte kan slås upp. 

Sedan är det dags att skicka abuse-mail till berörd part: ISP, TLD i första hand (CC:a berörd CERT), om det inte ger något resultat så kan berörd CERT kontaktas direkt.

För att hitta vilken CERT som agerar på det område där angreppet kommit ifrån kan organisationen leta i listan över CERT:ar hos FIRST eller via deras kartfunktion.

Uppdaterad 2011-01-10 12:07 | Publicerad 2010-09-21 15:45
CERT-SE
Telefon: 08-678 57 99
E-post: cert@cert.se - PGP-nyckel
Om cookies
[FiRST][TI]