Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE växer. Nu finns två jobbannonser ute: it-säkerhetsspecialist och systemadministratör.

Publicerad

Notice & Takedown - nedstängning av skadliga IP-adresser eller domäner

I det här avsnittet behandlas Notice & Takedown.

Följande punkter behandlas:

Notice & Takedown

I det fall då en domän eller IP-adress använts med ont uppsåt som t.ex.i phishing, "drive-by-download" eller någon annan form av angrepp, bör den drabbade organisation kontakta ägaren av domänen/IP-adressen för att uppmärksamma dem på överträdelsen.

Notice & takedown handlar i stort sett om två saker: söka ut information om IP-adresser eller domännamn samt att notifiera ägare av nät, IP-adresser eller domännamn för att avhjälpa problemet.

Vad kan CERT-SE bidra med?

  • Alla steg inom "Notice & Takedown"-processen
  • Information
  • Samordning
  • Kontakter till andra CERT-organisationer

Förutsättningar och terminologi

Förutsättningarna för att effektivt kunna utföra Notice & Takedown är loggar från nätverksutrustning.

drive-by-downloads

phishing

Fast Flux

TLD

Malware

Insamling av information från situationen

I de fall där en organisation har råkat ut för någon typ av attack t.ex. domän som serverar en phishing-sida eller en IP-adress som innehåller en webbsida med skadlig kod så är det viktigt att komma i kontakt med den ansvariga organisationen bakom dessa.

Det är också viktigt att den drabbade organisationen "säkrar bevis" i form av all tillgänglig information om angreppet (för användning vid en eventuell polisanmälan).Till exempel kopior på eventuella phishing-sidor, loggar, insamlad domän/IP-information. Dessutom be att få tillgång till information relaterad till angreppet av organisation som ansvarar för IP-adressen/domänen som varit inblandad, t.ex. ISP, Webbhotell eller TLD. Information som kan vara intressant är till exempel: kontoinformation, loggar, hela webbsidan (som varit inblandad i t.ex en phishing-attack) eller motsvarande.

Hur ska den drabbade organisationen ta reda på information om vilka som står bakom?

I de flesta operativsystem finns det vanligtvis flera program som kan hjälpa till med att hitta den typen av information. Det finns även ett antal webbsidor som har tjänster som hjälper med sådana fall. Man kan med relativt enkla medel få fram ganska mycket information om en IP-adress eller domän.

För att ta reda på vilket land, nät, domän eller leverantör IP-adressen tillhör så finns några olika kommandon som kan användas:

  • host - Slår upp ett namn, domäninformation eller IP-adress utifrån en IP-adress eller ett domännamn
  • dig - Slår upp ett namn, domäninformation eller IP-adress utifrån en IP-adress eller ett domännamn (ger lite mer information än host)
  • whois - Slår upp information om ISP, Landskod, Nätägare, AS-nummer, TLD (för domän) utifrån en IP-adress eller ett domännamn
  • traceroute (Windows: tracert) - Visar routing-information om vägen till en IP-adress

Dessa kommandon finns vanligen förinstallerade i en Unix/Linux-miljö. De finns också som tilläggsprogram till Windows, t.ex.: Cygwin

Vi använder det i några olika sökningar för att se vilka resultat som kan uppnås.

I exemplen nedan används IP-adressen 213.129.76.19 samt domänen first.org för att illustrera utsökningen.

Nedan görs en enkel sökning efter namn på IP-adressen:

$ host 213.129.76.19

19.76.129.213.in-addr.arpa domain name pointer www0.first.hosted-at.thebunker.net.

Sökningen går lite mer på djupet för att ta reda på vem som äger, ansvarar, är kontakt för, har registrerat nätet:

$ whois 213.129.76.19

% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.

% To receive output for a database update, use the "-B" flag.

% Information related to '213.129.76.16 - 213.129.76.31'

inetnum: 213.129.76.16 - 213.129.76.31

netname: TBSH-CLIENT-FIRST

descr: TBSH Client Network - FIRST

country: GB

admin-c: TBHA1-RIPE

tech-c: TBHA1-RIPE

status: ASSIGNED PA

mnt-by: BUNKER-MNT

source: RIPE \# Filtered

role: The Bunker Host Admin

nic-hdl: TBHA1-RIPE

address: The Bunker Secure Hosting Ltd.

address: Ash Radar Station

address: Marshborough Rd

address: Sandwich

address: Kent

address: CT13 0PL

address: England

phone: +44 (0)1304 814800

e-mail: hostmaster@thebunker.net

remarks: \*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*

remarks: If you wish to report network abuse, please use

remarks: abuse@thebunker.net. Please do not use any other

remarks: address, as this may well delay the processing

remarks: of your abuse report.

remarks: \*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*

admin-c: DUNC-RIPE

admin-c: MATT3-RIPE

admin-c: BP1571-RIPE

admin-c: HUSS-RIPE

tech-c: DUNC-RIPE

tech-c: MATT3-RIPE

tech-c: BP1571-RIPE

tech-c: HUSS-RIPE

mnt-by: BUNKER-MNT

source: RIPE \# Filtered

% Information related to '213.129.64.0/19AS24958'

route: 213.129.64.0/19

descr: The Bunker Secure Hosting Ltd - Allocation 1

origin: AS24958

mnt-by: BUNKER-MNT

source: RIPE \# Filtered

% Information related to '213.129.64.0/20AS24958'

route: 213.129.64.0/20

descr: The Bunker Secure Hosting Ltd - Allocation 1 Part 1

origin: AS24958

mnt-by: BUNKER-MNT

source: RIPE \# Filtered

Nästa gång söker vi efter landskod, AS-nummer, AS-Path:

$ whois -h whois.pwhois.org "213.129.76.19"

IP: 213.129.76.19

Origin-AS: 24958

Prefix: 213.129.64.0/20

AS-Path: 6939 24916 24958

AS-Org-Name: TBSH Telehouse and Newbury site

Org-Name: TBSH Client Network - FIRST

Net-Name: TBSH-CLIENT-FIRST

Cache-Date: 1271047417

Latitude: 54.150000

Longitude: -4.473000

City: -

Region: -

Country: UNITED KINGDOM

Det här kommandot visar vägen till IP-adressen:

$ traceroute -w 2 -I 213.129.76.19

traceroute to 213.129.76.19 (213.129.76.19), 30 hops max, 60 byte packets

1 \* \* \*

2 82.96.53.137 (82.96.53.137) 1.042 ms 1.058 ms 1.059 ms

3 te4-4-r72.cr0-r70.tc2-ams.nl.p80.net (82.96.1.34) 33.980 ms 33.989 ms 33.994 ms

4 10ge-r1.ams2.nl.as5580.net (78.152.63.25) 34.611 ms 34.636 ms 34.627 ms

5 10ge-r1.par2.fr.as5580.net (80.94.64.78) 39.182 ms 39.209 ms 39.215 ms

6 linx1.orbital.net (195.66.225.93) 39.473 ms 39.513 ms 39.504 ms

7 eth1-12.thn-bgp-1.thn.core.thebunker.net (80.88.202.70) 32.738 ms 32.803 ms 32.785 ms

8 ve-17.ash-bgp-2.ash.core.thebunker.net (213.129.95.233) 35.445 ms 35.443 ms 35.289 ms

9 ge0-24.ash-abr-1-b.ash.thebunker.net (213.129.78.37) 35.587 ms 35.916 ms 36.473 ms

10 ash-ce-1-a.thebunker.net (213.129.78.1) 36.088 ms 37.708 ms 36.371 ms

11 widgeon.hosted-at.thebunker.net (213.129.79.37) 37.232 ms 37.222 ms 37.151 ms

12 www0.first.hosted-at.thebunker.net (213.129.76.19) 37.444 ms 37.501 ms 37.481 ms

Nu börjar sökning efterdomännamn:

$ dig 213.129.76.19

; <<\>\> DiG 9.6.1-P1 <<\>\> a 213.129.76.19

;; global options: +cmd

;; Got answer:

;; -\>\>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 49421

;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:

;213.129.76.19. IN A

;; AUTHORITY SECTION:

. 10800 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2010041200 1800 900 604800 86400

;; Query time: 5 msec

;; SERVER: 192.121.218.36\#53(192.121.218.36)

;; WHEN: Mon Apr 12 15:08:17 2010

;; MSG SIZE rcvd: 106

Här slås information om namn samt namnservrar upp:

$ dig -x 213.129.76.19


; <<\>\> DiG 9.6.1-P1 <<\>\> -x 213.129.76.19

;; global options: +cmd

;; Got answer:

;; -\>\>HEADER<<- opcode: QUERY, status: NOERROR, id: 47609

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4



;; QUESTION SECTION:

;19.76.129.213.in-addr.arpa. IN PTR



;; ANSWER SECTION:

19.76.129.213.in-addr.arpa. 93604 IN PTR www0.first.hosted-at.thebunker.net.



;; AUTHORITY SECTION:

76.129.213.in-addr.arpa. 93604 IN NS ns0.thebunker.net.

76.129.213.in-addr.arpa. 93604 IN NS ns2.thebunker.net.

76.129.213.in-addr.arpa. 93604 IN NS ns3.thebunker.net.

76.129.213.in-addr.arpa. 93604 IN NS ns1.thebunker.net.



;; ADDITIONAL SECTION:

ns2.thebunker.net. 93604 IN A 208.185.88.33

ns1.thebunker.net. 93604 IN A 213.129.94.9

ns3.thebunker.net. 93604 IN A 217.114.97.210

ns0.thebunker.net. 93604 IN A 213.129.65.10



;; Query time: 10 msec

;; SERVER: 192.121.218.36\#53(192.121.218.36)

;; WHEN: Tue Apr 13 12:59:53 2010

;; MSG SIZE rcvd: 228

I det fall då organisationen vet vilken domän som används för angreppet så kan följande sökning göras.

$ whois first.org

NOTICE: Access to .ORG WHOIS information is provided to assist persons in

determining the contents of a domain name registration record in the Public Interest Registry

registry database. The data in this record is provided by Public Interest Registry

for informational purposes only, and Public Interest Registry does not guarantee its

accuracy. This service is intended only for query-based access. You agree

that you will use this data only for lawful purposes and that, under no

circumstances will you use this data to: (a) allow, enable, or otherwise

support the transmission by e-mail, telephone, or facsimile of mass

unsolicited, commercial advertising or solicitations to entities other than

the data recipient's own existing customers; or (b) enable high volume,

automated, electronic processes that send queries or data to the systems of

Registry Operator or any ICANN-Accredited Registrar, except as reasonably

necessary to register domain names or modify existing registrations. All

rights reserved. Public Interest Registry reserves the right to modify these terms at any

time. By submitting this query, you agree to abide by this policy.

Domain ID:D766817-LROR

Domain Name:FIRST.ORG

Created On:17-Dec-1991 05:00:00 UTC

Last Updated On:16-Oct-2009 18:21:17 UTC

Expiration Date:16-Dec-2010 05:00:00 UTC

Sponsoring Registrar:Network Solutions LLC (R63-LROR)

Status:CLIENT TRANSFER PROHIBITED

Registrant ID:31737549-NSIV

Registrant Name:FIRST.ORG, Inc.

Registrant Organization:FIRST.ORG, Inc.

Registrant Street1:ATTN insert domain name here

Registrant Street2:care of Network Solutions

Registrant Street3:

Registrant City:Drums

Registrant State/Province:PA

Registrant Postal Code:18222

Registrant Country:US

Registrant Phone:+1.5707088780

Registrant Phone Ext.:

Registrant FAX:

Registrant FAX Ext.:

Registrant Email:ed82x6xr7ur@networksolutionsprivateregistration.com

Admin ID:43570176-NSIV

Admin Name:Nora Duhig

Admin Organization:FIRST.org, Inc

Admin Street1:ATTN insert domain name here

Admin Street2:care of Network Solutions

Admin Street3:

Admin City:Drums

Admin State/Province:PA

Admin Postal Code:18222

Admin Country:US

Admin Phone:+1.5707088780

Admin Phone Ext.:

Admin FAX:

Admin FAX Ext.:

Admin Email:tu54422y9vg@networksolutionsprivateregistration.com

Tech ID:38705262-NSIV

Tech Name:FIRST Secretariat

Tech Organization:FIRST.Org, Inc.

Tech Street1:ATTN insert domain name here

Tech Street2:care of Network Solutions

Tech Street3:

Tech City:Drums

Tech State/Province:PA

Tech Postal Code:18222

Tech Country:US

Tech Phone:+1.5707088780

Tech Phone Ext.:

Tech FAX:

Tech FAX Ext.:

Tech Email:hr69b7cm4ey@networksolutionsprivateregistration.com

Name Server:UDNS1.ULTRADNS.NET

Name Server:UDNS2.ULTRADNS.NET

Name Server:

Name Server:

Name Server:

Name Server:

Name Server:

Name Server:

Name Server:

Name Server:

Name Server:

Name Server:

Name Server:

DNSSEC:Unsigned

För att hitta djupare DNS-information så kan följande kommando användas (i det här fallet så frågar vi udns2.ultradns.net):

$ dig @udns2.ultradns.net -t any first.org

; <<\>\> DiG 9.6.1-P1 <<\>\> @udns2.ultradns.net -t any first.org

; (1 server found)

;; global options: +cmd

;; Got answer:

;; -\>\>HEADER<<- opcode: QUERY, status: NOERROR, id: 35611

;; flags: qr aa rd; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 4

;; WARNING: recursion requested but not available

;; QUESTION SECTION:

;first.org. IN ANY

;; ANSWER SECTION:

first.org. 86400 IN SOA udns1.ultradns.net. first-sec.first.org. 2009111900 10800 3600 2592000 86400

first.org. 8600 IN A 213.129.76.19

first.org. 86400 IN NS udns2.ultradns.net.

first.org. 86400 IN NS udns1.ultradns.net.

first.org. 86900 IN MX 20 roll.first.org.

first.org. 86900 IN MX 10 rock.first.org.

;; ADDITIONAL SECTION:

udns2.ultradns.net. 86400 IN A 204.74.101.1

udns1.ultradns.net. 86400 IN A 204.69.234.1

roll.first.org. 86400 IN A 213.129.91.57

rock.first.org. 86400 IN A 213.129.76.17

;; Query time: 34 msec

;; SERVER: 204.74.101.1\#53(204.74.101.1)

;; WHEN: Tue Apr 13 15:27:41 2010

;; MSG SIZE rcvd: 247

Den här sökningen tar fram vilken TLD som är ansvarig för toppdomänen .org:

$ whois -h whois.iana.org .org

IANA Whois Service

Domain: org

ID: org

Sponsoring Organization:

Name:

Organization: Public Interest Registry (PIR)

Address1: 1775 Wiehle Avenue

Address2: Suite 102A

Address3:

City: Reston

State/Province: Virginia

Country: United States

Postal Code: 20190

Phone:

Fax:

Email:

Registration Date: 31-December-2002

Last Updated Date: 31-December-2002

Administrative Contact:

Name: Michelle Coon

Organization: Public Interest Registry (PIR)

Address1: 1775 Wiehle Avenue

Address2: Suite 200

Address3:

City: Reston

State/Province: Virginia

Country: United States

Postal Code: 20190

Phone: +1 703 889 5762

Fax: +1 703 889 5779

Email: mcoon@pir.org

Registration Date: 31-December-2002

Last Updated Date: 19-December-2008

Technical Contact:

Name: Michelle Coon

Organization: Public Interest Registry (PIR)

Address1: 1775 Wiehle Avenue

Address2: Suite 200

Address3:

City: Reston

State/Province: Virginia

Country: United States

Postal Code: 20190

Phone: +1 703 889 5762

Fax: +1 703 889 5779

Email: mcoon@pir.org

Registration Date: 31-December-2002

Last Updated Date: 19-December-2008

URL for registration services: http://www.pir.org

Whois Server (port 43): whois.pir.org

Nameserver Information:

Nameserver: a0.org.afilias-nst.info.

IP Address: 199.19.56.1 2001:500:e:0:0:0:0:1

Nameserver: b0.org.afilias-nst.org.

IP Address: 199.19.54.1 2001:500:c:0:0:0:0:1

Nameserver: c0.org.afilias-nst.info.

IP Address: 199.19.53.1 2001:500:b:0:0:0:0:1

Nameserver: d0.org.afilias-nst.org.

IP Address: 199.19.57.1 2001:500:f:0:0:0:0:1

Nameserver: a2.org.afilias-nst.info.

IP Address: 199.249.112.1 2001:500:40:0:0:0:0:1

Nameserver: b2.org.afilias-nst.org.

IP Address: 199.249.120.1 2001:500:48:0:0:0:0:1

Nu när insamling av data är gjord så vet organisationen följande om IP 213.129.76.19:

Bakåtuppslagning: www0.first.hosted-at.thebunker.net

ISP: The Bunker Secure Hosting Ltd.

Abuse-adress: abuse@thebunker.net

AS-nummer: 24958

Routing-prefix: 213.129.64.0/20

AS-Path: 6939 24916 24958

Organisationsnamn: TBSH Client Network - FIRST

Nätnamn: TBSH-CLIENT-FIRST

Land: UNITED KINGDOM

Ansvariga namnservrar:

ns2.thebunker.net. 93604 IN A 208.185.88.33

ns1.thebunker.net. 93604 IN A 213.129.94.9

ns3.thebunker.net. 93604 IN A 217.114.97.210

ns0.thebunker.net. 93604 IN A 213.129.65.10

Domäninformation för first.org(här hittades väldigt lite information)

Admin ID:43570176-NSIV

Admin Name:Nora Duhig

Admin Organization:FIRST.org, Inc

Admin Street1:ATTN insert domain name here

Admin Street2:care of Network Solutions

Admin Street3:

Admin City:Drums

Admin State/Province:PA

Admin Postal Code:18222

Admin Country:US

Admin Phone:+1.5707088780

Admin Phone Ext.:

Admin FAX:

Admin FAX Ext.:

Admin Email:fv8a43mq4rw@networksolutionsprivateregistration.com

Ansvarig organisation och person för .org-domäner:

Name: Michelle Coon

Organization: Public Interest Registry (PIR)

Address1: 1775 Wiehle Avenue

Address2: Suite 200

Address3:

City: Reston

State/Province: Virginia

Country: United States

Postal Code: 20190

Phone: +1 703 889 5762

Fax: +1 703 889 5779

Email: mcoon@pir.org

Nedstängning av domän eller IP-adress

Efter insamlingen av information om IP-adressen eller domänen så är det dags för att begränsa eller avbryta överträdelsen.

Vid nedstängning av en överträdelse så är organisationen oftast beroende av hjälp från tredje part, typ ISP, TLD, Webbhotell, annan organisation som har någon form av ansvar för parten inblandad. Det är därför viktigt att ha uppdaterade kontaktlistor för att snabba upp arbetet med att begränsa eller avbryta angreppet. Det är också viktigt att veta att i många fall så har även den"angripande" organisationen utsatts för ett intrång som är grund för vidare attacker.

Detta kan göras på två olika sätt:

  • I det fall det handlar om en IP-adress (utan domänupplag) som har servat en phishing-sida eller serverat skadlig kod via en webbsida, så bör drabbad organisation kontakta ISP, webbhotell, nätägare eller annan ansvarig organisation för att få hjälp med nedstängning.
  • I det fall det handlar om att ett domännamn använts för att lura användare att ladda ner skadlig kod eller bifoga sin inloggningsuppgifter på en phishing-sida, så bör drabbad kontakta domänägare, TLD, ISP eller annan ansvarig organisation för få hjälp med nedstängning.

I vissa fall använder angriparen Fast Flux, som är en metod - som vanligen används av "botnet" - som bygger på att angriparen byter IP-adress för en domän kanske så ofta som var 10:e minut, eller oftare. Detta innebär att det är svårt att stänga ner IP-adressen som kommer att bytas ut till en annan 5-10 minuter senare.

För att tackla ett sådant tilltag så bör drabbad organisation kontakta TLD:n för den toppdomänen t.ex. first.org (som kunde sökas ut med kommandot "whois -h whois.iana.org .org"). TLD:n kan i det här fallet ta bort pekarna till DNS:erna (namnservrarna) för domänen vilket resulterar i domänen inte kan slås upp.

Sedan är det dags att skicka abuse-mail till berörd part: ISP, TLD i första hand (CC:a berörd CERT), om det inte ger något resultat så kan berörd CERT kontaktas direkt.

För att hitta vilken CERT som agerar på det område där angreppet kommit ifrån kan organisationen leta i listan över CERT:ar hos FIRST eller via deras kartfunktion.