Publicerad
Notice & Takedown - nedstängning av skadliga IP-adresser eller domäner
I det här avsnittet behandlas Notice & Takedown.
Följande punkter behandlas:
Notice & Takedown
I det fall då en domän eller IP-adress använts med ont uppsåt som t.ex.i phishing, "drive-by-download" eller någon annan form av angrepp, bör den drabbade organisation kontakta ägaren av domänen/IP-adressen för att uppmärksamma dem på överträdelsen.
Notice & takedown handlar i stort sett om två saker: söka ut information om IP-adresser eller domännamn samt att notifiera ägare av nät, IP-adresser eller domännamn för att avhjälpa problemet.
Vad kan CERT-SE bidra med?
- Alla steg inom "Notice & Takedown"-processen
- Information
- Samordning
- Kontakter till andra CERT-organisationer
Förutsättningar och terminologi
Förutsättningarna för att effektivt kunna utföra Notice & Takedown är loggar från nätverksutrustning.
Insamling av information från situationen
I de fall där en organisation har råkat ut för någon typ av attack t.ex. domän som serverar en phishing-sida eller en IP-adress som innehåller en webbsida med skadlig kod så är det viktigt att komma i kontakt med den ansvariga organisationen bakom dessa.
Det är också viktigt att den drabbade organisationen "säkrar bevis" i form av all tillgänglig information om angreppet (för användning vid en eventuell polisanmälan).Till exempel kopior på eventuella phishing-sidor, loggar, insamlad domän/IP-information. Dessutom be att få tillgång till information relaterad till angreppet av organisation som ansvarar för IP-adressen/domänen som varit inblandad, t.ex. ISP, Webbhotell eller TLD. Information som kan vara intressant är till exempel: kontoinformation, loggar, hela webbsidan (som varit inblandad i t.ex en phishing-attack) eller motsvarande.
Hur ska den drabbade organisationen ta reda på information om vilka som står bakom?
I de flesta operativsystem finns det vanligtvis flera program som kan hjälpa till med att hitta den typen av information. Det finns även ett antal webbsidor som har tjänster som hjälper med sådana fall. Man kan med relativt enkla medel få fram ganska mycket information om en IP-adress eller domän.
För att ta reda på vilket land, nät, domän eller leverantör IP-adressen tillhör så finns några olika kommandon som kan användas:
- host - Slår upp ett namn, domäninformation eller IP-adress utifrån en IP-adress eller ett domännamn
- dig - Slår upp ett namn, domäninformation eller IP-adress utifrån en IP-adress eller ett domännamn (ger lite mer information än host)
- whois - Slår upp information om ISP, Landskod, Nätägare, AS-nummer, TLD (för domän) utifrån en IP-adress eller ett domännamn
- traceroute (Windows: tracert) - Visar routing-information om vägen till en IP-adress
Dessa kommandon finns vanligen förinstallerade i en Unix/Linux-miljö. De finns också som tilläggsprogram till Windows, t.ex.: Cygwin
Vi använder det i några olika sökningar för att se vilka resultat som kan uppnås.
I exemplen nedan används IP-adressen 213.129.76.19 samt domänen first.org för att illustrera utsökningen.
Nedan görs en enkel sökning efter namn på IP-adressen:
$ host 213.129.76.19
19.76.129.213.in-addr.arpa domain name pointer www0.first.hosted-at.thebunker.net.
Sökningen går lite mer på djupet för att ta reda på vem som äger, ansvarar, är kontakt för, har registrerat nätet:
$ whois 213.129.76.19
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '213.129.76.16 - 213.129.76.31'
inetnum: 213.129.76.16 - 213.129.76.31
netname: TBSH-CLIENT-FIRST
descr: TBSH Client Network - FIRST
country: GB
admin-c: TBHA1-RIPE
tech-c: TBHA1-RIPE
status: ASSIGNED PA
mnt-by: BUNKER-MNT
source: RIPE \# Filtered
role: The Bunker Host Admin
nic-hdl: TBHA1-RIPE
address: The Bunker Secure Hosting Ltd.
address: Ash Radar Station
address: Marshborough Rd
address: Sandwich
address: Kent
address: CT13 0PL
address: England
phone: +44 (0)1304 814800
e-mail: hostmaster@thebunker.net
remarks: \*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*
remarks: If you wish to report network abuse, please use
remarks: abuse@thebunker.net. Please do not use any other
remarks: address, as this may well delay the processing
remarks: of your abuse report.
remarks: \*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*
admin-c: DUNC-RIPE
admin-c: MATT3-RIPE
admin-c: BP1571-RIPE
admin-c: HUSS-RIPE
tech-c: DUNC-RIPE
tech-c: MATT3-RIPE
tech-c: BP1571-RIPE
tech-c: HUSS-RIPE
mnt-by: BUNKER-MNT
source: RIPE \# Filtered
% Information related to '213.129.64.0/19AS24958'
route: 213.129.64.0/19
descr: The Bunker Secure Hosting Ltd - Allocation 1
origin: AS24958
mnt-by: BUNKER-MNT
source: RIPE \# Filtered
% Information related to '213.129.64.0/20AS24958'
route: 213.129.64.0/20
descr: The Bunker Secure Hosting Ltd - Allocation 1 Part 1
origin: AS24958
mnt-by: BUNKER-MNT
source: RIPE \# Filtered
Nästa gång söker vi efter landskod, AS-nummer, AS-Path:
$ whois -h whois.pwhois.org "213.129.76.19"
IP: 213.129.76.19
Origin-AS: 24958
Prefix: 213.129.64.0/20
AS-Path: 6939 24916 24958
AS-Org-Name: TBSH Telehouse and Newbury site
Org-Name: TBSH Client Network - FIRST
Net-Name: TBSH-CLIENT-FIRST
Cache-Date: 1271047417
Latitude: 54.150000
Longitude: -4.473000
City: -
Region: -
Country: UNITED KINGDOM
Det här kommandot visar vägen till IP-adressen:
$ traceroute -w 2 -I 213.129.76.19
traceroute to 213.129.76.19 (213.129.76.19), 30 hops max, 60 byte packets
1 \* \* \*
2 82.96.53.137 (82.96.53.137) 1.042 ms 1.058 ms 1.059 ms
3 te4-4-r72.cr0-r70.tc2-ams.nl.p80.net (82.96.1.34) 33.980 ms 33.989 ms 33.994 ms
4 10ge-r1.ams2.nl.as5580.net (78.152.63.25) 34.611 ms 34.636 ms 34.627 ms
5 10ge-r1.par2.fr.as5580.net (80.94.64.78) 39.182 ms 39.209 ms 39.215 ms
6 linx1.orbital.net (195.66.225.93) 39.473 ms 39.513 ms 39.504 ms
7 eth1-12.thn-bgp-1.thn.core.thebunker.net (80.88.202.70) 32.738 ms 32.803 ms 32.785 ms
8 ve-17.ash-bgp-2.ash.core.thebunker.net (213.129.95.233) 35.445 ms 35.443 ms 35.289 ms
9 ge0-24.ash-abr-1-b.ash.thebunker.net (213.129.78.37) 35.587 ms 35.916 ms 36.473 ms
10 ash-ce-1-a.thebunker.net (213.129.78.1) 36.088 ms 37.708 ms 36.371 ms
11 widgeon.hosted-at.thebunker.net (213.129.79.37) 37.232 ms 37.222 ms 37.151 ms
12 www0.first.hosted-at.thebunker.net (213.129.76.19) 37.444 ms 37.501 ms 37.481 ms
Nu börjar sökning efterdomännamn:
$ dig 213.129.76.19
; <<\>\> DiG 9.6.1-P1 <<\>\> a 213.129.76.19
;; global options: +cmd
;; Got answer:
;; -\>\>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 49421
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;213.129.76.19. IN A
;; AUTHORITY SECTION:
. 10800 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2010041200 1800 900 604800 86400
;; Query time: 5 msec
;; SERVER: 192.121.218.36\#53(192.121.218.36)
;; WHEN: Mon Apr 12 15:08:17 2010
;; MSG SIZE rcvd: 106
Här slås information om namn samt namnservrar upp:
$ dig -x 213.129.76.19
; <<\>\> DiG 9.6.1-P1 <<\>\> -x 213.129.76.19
;; global options: +cmd
;; Got answer:
;; -\>\>HEADER<<- opcode: QUERY, status: NOERROR, id: 47609
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4
;; QUESTION SECTION:
;19.76.129.213.in-addr.arpa. IN PTR
;; ANSWER SECTION:
19.76.129.213.in-addr.arpa. 93604 IN PTR www0.first.hosted-at.thebunker.net.
;; AUTHORITY SECTION:
76.129.213.in-addr.arpa. 93604 IN NS ns0.thebunker.net.
76.129.213.in-addr.arpa. 93604 IN NS ns2.thebunker.net.
76.129.213.in-addr.arpa. 93604 IN NS ns3.thebunker.net.
76.129.213.in-addr.arpa. 93604 IN NS ns1.thebunker.net.
;; ADDITIONAL SECTION:
ns2.thebunker.net. 93604 IN A 208.185.88.33
ns1.thebunker.net. 93604 IN A 213.129.94.9
ns3.thebunker.net. 93604 IN A 217.114.97.210
ns0.thebunker.net. 93604 IN A 213.129.65.10
;; Query time: 10 msec
;; SERVER: 192.121.218.36\#53(192.121.218.36)
;; WHEN: Tue Apr 13 12:59:53 2010
;; MSG SIZE rcvd: 228
I det fall då organisationen vet vilken domän som används för angreppet så kan följande sökning göras.
$ whois first.org
NOTICE: Access to .ORG WHOIS information is provided to assist persons in
determining the contents of a domain name registration record in the Public Interest Registry
registry database. The data in this record is provided by Public Interest Registry
for informational purposes only, and Public Interest Registry does not guarantee its
accuracy. This service is intended only for query-based access. You agree
that you will use this data only for lawful purposes and that, under no
circumstances will you use this data to: (a) allow, enable, or otherwise
support the transmission by e-mail, telephone, or facsimile of mass
unsolicited, commercial advertising or solicitations to entities other than
the data recipient's own existing customers; or (b) enable high volume,
automated, electronic processes that send queries or data to the systems of
Registry Operator or any ICANN-Accredited Registrar, except as reasonably
necessary to register domain names or modify existing registrations. All
rights reserved. Public Interest Registry reserves the right to modify these terms at any
time. By submitting this query, you agree to abide by this policy.
Domain ID:D766817-LROR
Domain Name:FIRST.ORG
Created On:17-Dec-1991 05:00:00 UTC
Last Updated On:16-Oct-2009 18:21:17 UTC
Expiration Date:16-Dec-2010 05:00:00 UTC
Sponsoring Registrar:Network Solutions LLC (R63-LROR)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:31737549-NSIV
Registrant Name:FIRST.ORG, Inc.
Registrant Organization:FIRST.ORG, Inc.
Registrant Street1:ATTN insert domain name here
Registrant Street2:care of Network Solutions
Registrant Street3:
Registrant City:Drums
Registrant State/Province:PA
Registrant Postal Code:18222
Registrant Country:US
Registrant Phone:+1.5707088780
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:ed82x6xr7ur@networksolutionsprivateregistration.com
Admin ID:43570176-NSIV
Admin Name:Nora Duhig
Admin Organization:FIRST.org, Inc
Admin Street1:ATTN insert domain name here
Admin Street2:care of Network Solutions
Admin Street3:
Admin City:Drums
Admin State/Province:PA
Admin Postal Code:18222
Admin Country:US
Admin Phone:+1.5707088780
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:tu54422y9vg@networksolutionsprivateregistration.com
Tech ID:38705262-NSIV
Tech Name:FIRST Secretariat
Tech Organization:FIRST.Org, Inc.
Tech Street1:ATTN insert domain name here
Tech Street2:care of Network Solutions
Tech Street3:
Tech City:Drums
Tech State/Province:PA
Tech Postal Code:18222
Tech Country:US
Tech Phone:+1.5707088780
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:hr69b7cm4ey@networksolutionsprivateregistration.com
Name Server:UDNS1.ULTRADNS.NET
Name Server:UDNS2.ULTRADNS.NET
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
DNSSEC:Unsigned
För att hitta djupare DNS-information så kan följande kommando användas (i det här fallet så frågar vi udns2.ultradns.net):
$ dig @udns2.ultradns.net -t any first.org
; <<\>\> DiG 9.6.1-P1 <<\>\> @udns2.ultradns.net -t any first.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; -\>\>HEADER<<- opcode: QUERY, status: NOERROR, id: 35611
;; flags: qr aa rd; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 4
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;first.org. IN ANY
;; ANSWER SECTION:
first.org. 86400 IN SOA udns1.ultradns.net. first-sec.first.org. 2009111900 10800 3600 2592000 86400
first.org. 8600 IN A 213.129.76.19
first.org. 86400 IN NS udns2.ultradns.net.
first.org. 86400 IN NS udns1.ultradns.net.
first.org. 86900 IN MX 20 roll.first.org.
first.org. 86900 IN MX 10 rock.first.org.
;; ADDITIONAL SECTION:
udns2.ultradns.net. 86400 IN A 204.74.101.1
udns1.ultradns.net. 86400 IN A 204.69.234.1
roll.first.org. 86400 IN A 213.129.91.57
rock.first.org. 86400 IN A 213.129.76.17
;; Query time: 34 msec
;; SERVER: 204.74.101.1\#53(204.74.101.1)
;; WHEN: Tue Apr 13 15:27:41 2010
;; MSG SIZE rcvd: 247
Den här sökningen tar fram vilken TLD som är ansvarig för toppdomänen .org:
$ whois -h whois.iana.org .org
IANA Whois Service
Domain: org
ID: org
Sponsoring Organization:
Name:
Organization: Public Interest Registry (PIR)
Address1: 1775 Wiehle Avenue
Address2: Suite 102A
Address3:
City: Reston
State/Province: Virginia
Country: United States
Postal Code: 20190
Phone:
Fax:
Email:
Registration Date: 31-December-2002
Last Updated Date: 31-December-2002
Administrative Contact:
Name: Michelle Coon
Organization: Public Interest Registry (PIR)
Address1: 1775 Wiehle Avenue
Address2: Suite 200
Address3:
City: Reston
State/Province: Virginia
Country: United States
Postal Code: 20190
Phone: +1 703 889 5762
Fax: +1 703 889 5779
Email: mcoon@pir.org
Registration Date: 31-December-2002
Last Updated Date: 19-December-2008
Technical Contact:
Name: Michelle Coon
Organization: Public Interest Registry (PIR)
Address1: 1775 Wiehle Avenue
Address2: Suite 200
Address3:
City: Reston
State/Province: Virginia
Country: United States
Postal Code: 20190
Phone: +1 703 889 5762
Fax: +1 703 889 5779
Email: mcoon@pir.org
Registration Date: 31-December-2002
Last Updated Date: 19-December-2008
URL for registration services: http://www.pir.org
Whois Server (port 43): whois.pir.org
Nameserver Information:
Nameserver: a0.org.afilias-nst.info.
IP Address: 199.19.56.1 2001:500:e:0:0:0:0:1
Nameserver: b0.org.afilias-nst.org.
IP Address: 199.19.54.1 2001:500:c:0:0:0:0:1
Nameserver: c0.org.afilias-nst.info.
IP Address: 199.19.53.1 2001:500:b:0:0:0:0:1
Nameserver: d0.org.afilias-nst.org.
IP Address: 199.19.57.1 2001:500:f:0:0:0:0:1
Nameserver: a2.org.afilias-nst.info.
IP Address: 199.249.112.1 2001:500:40:0:0:0:0:1
Nameserver: b2.org.afilias-nst.org.
IP Address: 199.249.120.1 2001:500:48:0:0:0:0:1
Nu när insamling av data är gjord så vet organisationen följande om IP 213.129.76.19:
Bakåtuppslagning: www0.first.hosted-at.thebunker.net
ISP: The Bunker Secure Hosting Ltd.
Abuse-adress: abuse@thebunker.net
AS-nummer: 24958
Routing-prefix: 213.129.64.0/20
AS-Path: 6939 24916 24958
Organisationsnamn: TBSH Client Network - FIRST
Nätnamn: TBSH-CLIENT-FIRST
Land: UNITED KINGDOM
Ansvariga namnservrar:
ns2.thebunker.net. 93604 IN A 208.185.88.33
ns1.thebunker.net. 93604 IN A 213.129.94.9
ns3.thebunker.net. 93604 IN A 217.114.97.210
ns0.thebunker.net. 93604 IN A 213.129.65.10
Domäninformation för first.org(här hittades väldigt lite information)
Admin ID:43570176-NSIV
Admin Name:Nora Duhig
Admin Organization:FIRST.org, Inc
Admin Street1:ATTN insert domain name here
Admin Street2:care of Network Solutions
Admin Street3:
Admin City:Drums
Admin State/Province:PA
Admin Postal Code:18222
Admin Country:US
Admin Phone:+1.5707088780
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:fv8a43mq4rw@networksolutionsprivateregistration.com
Ansvarig organisation och person för .org-domäner:
Name: Michelle Coon
Organization: Public Interest Registry (PIR)
Address1: 1775 Wiehle Avenue
Address2: Suite 200
Address3:
City: Reston
State/Province: Virginia
Country: United States
Postal Code: 20190
Phone: +1 703 889 5762
Fax: +1 703 889 5779
Email: mcoon@pir.org
Nedstängning av domän eller IP-adress
Efter insamlingen av information om IP-adressen eller domänen så är det dags för att begränsa eller avbryta överträdelsen.
Vid nedstängning av en överträdelse så är organisationen oftast beroende av hjälp från tredje part, typ ISP, TLD, Webbhotell, annan organisation som har någon form av ansvar för parten inblandad. Det är därför viktigt att ha uppdaterade kontaktlistor för att snabba upp arbetet med att begränsa eller avbryta angreppet. Det är också viktigt att veta att i många fall så har även den"angripande" organisationen utsatts för ett intrång som är grund för vidare attacker.
Detta kan göras på två olika sätt:
- I det fall det handlar om en IP-adress (utan domänupplag) som har servat en phishing-sida eller serverat skadlig kod via en webbsida, så bör drabbad organisation kontakta ISP, webbhotell, nätägare eller annan ansvarig organisation för att få hjälp med nedstängning.
- I det fall det handlar om att ett domännamn använts för att lura användare att ladda ner skadlig kod eller bifoga sin inloggningsuppgifter på en phishing-sida, så bör drabbad kontakta domänägare, TLD, ISP eller annan ansvarig organisation för få hjälp med nedstängning.
I vissa fall använder angriparen Fast Flux, som är en metod - som vanligen används av "botnet" - som bygger på att angriparen byter IP-adress för en domän kanske så ofta som var 10:e minut, eller oftare. Detta innebär att det är svårt att stänga ner IP-adressen som kommer att bytas ut till en annan 5-10 minuter senare.
För att tackla ett sådant tilltag så bör drabbad organisation kontakta TLD:n för den toppdomänen t.ex. first.org (som kunde sökas ut med kommandot "whois -h whois.iana.org .org"). TLD:n kan i det här fallet ta bort pekarna till DNS:erna (namnservrarna) för domänen vilket resulterar i domänen inte kan slås upp.
Sedan är det dags att skicka abuse-mail till berörd part: ISP, TLD i första hand (CC:a berörd CERT), om det inte ger något resultat så kan berörd CERT kontaktas direkt.
För att hitta vilken CERT som agerar på det område där angreppet kommit ifrån kan organisationen leta i listan över CERT:ar hos FIRST eller via deras kartfunktion.