|
Acessibilidade do site
Autor: CERT.br
Versão: 1.3 — 04/04/2022
Modelos para download: [Português] [Inglês]
Parte indispensável do processo de tratamento de incidentes, a notificação é uma atividade de grande importância visto que:
Este documento tem por objetivo reunir boas práticas para a notificação de incidentes de segurança em computadores e redes, visando sua eficácia.
(1) De acordo com o relatório da Mandiant "M-Trends® 2021: Special Report", 41% das instituições vítimas de comprometimento souberam do problema por meio de notificação recebida de entidade externa.[ voltar ]
Devem ser notificados eventos adversos relacionados à segurança dos sistemas de computação ou das redes de computadores, em desrespeito à política de segurança ou à política de uso aceitável da organização, como por exemplo:
Enviar a notificação aos contatos apropriados é fundamental para não retardar seu processamento ou, ainda pior, seu descarte. A seleção criteriosa dos contatos é igualmente importante a fim de evitar que a notificação seja remetida ao próprio atacante ou fraudador, para não alertá-lo.
De maneira geral, devem ser notificados os responsáveis pelo equipamento que originou a atividade maliciosa e também os CSIRTs/contatos de abuso das redes envolvidas. Todavia, a escolha dos contatos apropriados pode variar em razão das características do incidente.
Os exemplos abaixo, apesar de não comporem uma lista exaustiva, ilustram a variação de contatos conforme o tipo do incidente:
Em todos os casos, se houver um contato de CSIRT para rede/AS/domínio, este deve ser incluído na notificação, bem como o(s) contato(s) do(s) CSIRT(s) de responsabilidade nacional deve(m) ser incluído(s) em cópia.
Caso algum dos domínios ou redes envolvidos seja brasileiro, mantenha sempre o CERT.br (cert@cert.br) na cópia da mensagem. Reclamações de spam devem ser encaminhadas exclusivamente para o endereço <mail-abuse@cert.br>.
Nos casos de incidentes envolvendo a Administração Pública Federal Brasileira (.gov.br) deve-se incluir também o Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da Administração Pública Federal - CTIR Gov (ctir@ctir.gov.br).
Não existe uma fonte única de busca para informações de contatos, seja para recursos de números (IP/ASN), de domínios ou de grupos de resposta a incidentes. Seguem abaixo algumas referências relevantes.
Uma das principais fontes de pesquisa para dados de contatos de redes, domínios, ASs, é o serviço de WHOIS. Não existe uma base de dados única global e, dependendo do cliente WHOIS utilizado, pode ser necessário especificar o servidor WHOIS exato a ser consultado. Algumas ferramentas online podem facilitar a busca e a identificação do servidor WHOIS mantenedor dos registros.
Dos campos de contato disponíveis nos registros WHOIS, o contato "abuse" é quem deve ser notificado. Na ausência do "abuse", o contato técnico é o mais apropriado.
Em virtude da falta de padronização na estrutura de dados do WHOIS, outros campos, até mesmo comentários, podem conter dados relacionados a contatos de segurança/abuso. Informações complementares podem ser encontradas na seção 7. Exemplos de consultas WHOIS e RDAP.
Seguem abaixo alguns endereços úteis de serviços de WHOIS:
É comum que as bases de WHOIS contenham dados defasados, visto que depende de cada instituição manter seu próprio registro atualizado. Por conseguinte, é também comum que os CSIRTs recebam respostas à notificações enviadas, informando que o contato referente a tal rede ou domínio mudou. Nestes casos, recomenda-se orientar a instituição para que promova a atualização dos dados de contatos junto à entidade que mantém seus registros e dados de WHOIS.
Exemplos de buscas em bases de dados WHOIS podem ser encontradas a partir da seção 7.1. Considerações no uso do WHOIS.
O protocolo RDAP (Registration Data Access Protocol) é um padrão desenvolvido pelo Internet Engineering Task Force (IETF) para ser o sucessor do WHOIS na consulta de informações de registro dos Regional Internet Registries (RIRs) e de Domain Name Registries (DNRs). Ele busca corrigir deficiências do WHOIS, tratando questões como:
Bootstrapping (auto-inicialização, numa tradução livre) é o processo de determinar qual servidor RDAP é autoritativo para responder uma consulta, no contexto do escopo solicitado (nome de domínio, endereço IP ou número de sistema autônomo).
O RDAP emprega o conceito de serviços RESTful, baseando-se no protocolo HTTP/HTTPS para comunicação e no formato JSON para estrutura das respostas, o que facilita o parsing automatizado das informações. As consultas usam URIs específicas para pesquisar os diferentes recursos:
Recurso URI ================================================================== Domínio /domain/<FQDN> Entidade (organização, titular, contato) /entity/<ID> Sistema Autônomo /autnum/<ASN> IP /ip/<ip> Bloco IP /ip/<prefixo>/<cidr>
As especificações básicas do protocolo RDAP são referenciadas como STD 95 do IETF, que é composto pelas RFCs 7480, 7481, 9082, 9083 e 9224.
Informações complementares e atualizações podem ser encontradas nas RFCs 7485 e 8521 (BCP 221).
O serviço de consulta via RDAP já está disponível em todos os RIRs e em alguns ccTLDs/NIRs (National Internet Registries), dentre eles o .br (NIC.br/Registro.br). O serviço é obrigatório para gTLDs.
Dentre os serviços RDAP disponíveis, destacam-se:
Para facilitar a identificação dos servidores RDAP autoritativos referentes à diferentes recursos e permitir o bootstrapping, a IANA mantém listas das URLs base dos serviços, conforme o tipo de recursos, em:
Exemplos de buscas usando o protocolo RDAP podem ser encontradas a partir da seção 7.7. Considerações no uso do RDAP.
Algumas fontes de consulta para contatos de CSIRTs são:
Para contatos relacionados aos Top-Level Domains (TLDs), e em especial para os novos gTLDs registrados a partir de 2012, pode-se pesquisar informações via a página da IANA:
Para cada um dos domínios listados na página, é possível verificar dados da delegação do domínio, tais como organização responsável, contato administrativo, contato técnico e, em "Registry Information", pode-se obter outros dados de contato bem como informações sobre o servidor WHOIS.
Em geral, os novos gTLDs possuem também uma página com informações para contato cujo endereço segue o formato padrão http://nic.gTLD. Por exemplo: para o gTLD .rio, a página é https://nic.rio.
Todos os novos gTLDs devem ter uma política para tratamento de abuso definida em seu documento de Política de Registro, que especifique canais de atendimento eletrônicos e postais.
É importante que os CSIRTs criem e atualizem continuamente sua própria base de dados à medida que forem tomando conhecimento de contatos mais apropriados àqueles indicados nas bases WHOIS, especialmente para instituições relevantes em seu dia-a-dia de notificações.
Com a evolução, a base própria tende a se tornar a primeira fonte de consulta do CSIRT, embora certamente não será a única visto que não há como ser exaustiva.
Dados para alimentar a base própria podem ser obtidos, por exemplo, a partir de:
Algumas considerações importantes sobre a base própria:
Alternativas para busca de contatos, caso as demais falharem, podem ser:
Existem diferentes formas para se notificar incidentes, embora algumas sejam mais recomendadas que outras em determinadas situações:
Quando os canais formais não resultarem em resposta, pode-se buscar métodos alternativos tais como:
O conteúdo da notificação precisa ser claro, em formato simples e deve incluir as informações necessárias para a rápida e correta identificação do problema e da ação requerida.
É importante também que o campo referente ao "Assunto" (Subject) do e-mail contenha uma descrição clara e sucinta sobre o conteúdo da notificação.
Sobre o formato da notificação, recomenda-se:
Sobre o teor da notificação, são dados essenciais a serem incluídos:
É de extrema importância que o horário de servidores e equipamentos de redes estejam sincronizados com uma fonte confiável de tempo (ex: via protocolo NTP) para que não haja disparidades na correlação de eventos, logs e outros dados.
Ainda sobre o teor da notificação, recomenda-se:
Um modelo genérico de notificação pode ser:
A seção 8. Modelos de notificações traz sugestões de modelos para diversos tipos de notificações, tanto em língua portuguesa como inglesa.
Em caso de comunicação subsequente, relativa a uma notificação, recomenda-se:
visando preservar o contexto e facilitar o trabalho de tratamento dos incidentes.
Nos exemplos a seguir serão empregados, sempre que possível, números e nomes especialmente reservados para fins de documentação conforme descrito nas RFCs 2606, 3849, 5398 e 5737.
Quando forem exibidos resultados de buscas referenciando entidades terceiras não fictícias, os dados serão sanitizados ou parcialmente omitidos.
Apesar de a maioria dos serviços WHOIS oferecerem interface Web para consulta, esta forma de pesquisa pode não ser a mais adequada quando se deseja automatizar a busca, por exemplo, através de scripts. Neste caso, o cliente via linha de comando pode ser mais vantajoso.
Em geral, sistemas baseados em UNIX, Linux e BSD já possuem o software cliente instalado por padrão, ao passo que sistemas Windows requerem instalação adicional, por exemplo, do software whois disponível no pacote Windows Sysinternals.
É importante observar que:
Devido à falta de padronização dos objetos/campos das bases WHOIS, é possível encontrar endereço de contato de abusos em objetos/campos diversos, tais como:
onde IRT significa "Incident Response Team".
Ao não determinar o servidor específico para a busca, o resultado retornado pode variar em função do software cliente utilizado. Há clientes que possuem mecanismos de busca recursiva, que usam parâmetros de arquivo de configuração e outros que possuem alguma "inteligência" para identificação do servidor adequado. Recomenda-se ter mais de um software cliente disponível caso algum deles não consiga efetivar a pesquisa de forma satisfatória.
$ whois 192.0.2.1
[...]
NetRange: 192.0.2.0 - 192.0.2.255
CIDR: 192.0.2.0/24
NetName: TEST-NET-1
NetHandle: NET-192-0-2-0-1
Parent: NET192 (NET-192-0-0-0-0)
NetType: IANA Special Use
OriginAS:
Organization: Internet Assigned Numbers Authority (IANA)
RegDate: 2009-06-29
Updated: 2013-08-30
Comment: Addresses starting with "192.0.2.", "198.51.100.", or
"203.0.113 ." are reserved for use in documentation
and sample configurations. They should never be used
in a live network configuration. No one has
permission to use these addresses on the Internet.
[...]
OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: ICANN
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org
OrgAbuseRef: https://rdap.arin.net/registry/entity/IANA-IP-ARIN
Neste caso, os campos iniciados com "OrgAbuse" identificam os dados de contato de abuso.
Eventualmente, o software cliente pode não ser capaz de identificar o servidor WHOIS adequado para a consulta. Será então necessário tentar manualmente diferentes servidores. Alternativas para se iniciar a busca são:
No exemplo abaixo, a pesquisa será direcionada ao servidor do APNIC usando-se a opção "-h" (host):
$ whois -h whois.apnic.net 2001:DB8::1 % [whois.apnic.net] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html % Information related to '2001:db8::/32' % Abuse contact for '2001:db8::/32' is 'helpdesk@apnic.net' inet6num: 2001:db8::/32 netname: IPV6-DOC-AP descr: IPv6 prefix for documentation purpose country: AU org: ORG-ARAD1-AP admin-c: HM20-AP tech-c: HM20-AP status: ALLOCATED PORTABLE remarks: This address range is to be used for documentation remarks: purpose only. For more information please see remarks: http://www.apnic.net/info/faq/ipv6-documentation-prefix-faq.html mnt-by: APNIC-HM mnt-lower: APNIC-HM mnt-routes: APNIC-HM mnt-irt: IRT-APNIC-AP last-modified: 2017-10-06T12:52:11Z source: APNIC irt: IRT-APNIC-AP address: Brisbane, Australia e-mail: helpdesk@apnic.net abuse-mailbox: helpdesk@apnic.net admin-c: HM20-AP tech-c: NO4-AP auth: # Filtered remarks: APNIC is a Regional Internet Registry. remarks: We do not operate the referring network and remarks: are unable to investigate complaints of network abuse. remarks: For information about IRT, see www.apnic.net/irt remarks: helpdesk@apnic.net was validated on 2020-02-03 mnt-by: APNIC-HM last-modified: 2020-02-03T02:04:33Z source: APNIC [...]
O contato "abuse" neste caso é exibido em dois locais: em um comentário logo no início da resposta "% Abuse contact for '2001:db8::/32' is 'helpdesk@apnic.net'" e também no objeto "irt", campo "abuse-mailbox".
$ whois nic.br [...] domain: nic.br owner: Núcleo de Inf. e Coord. do Ponto BR - NIC.BR ownerid: 05.506.560/0001-36 responsible: Demi Getschko country: BR owner-c: FAN tech-c: FAN nserver: a.dns.br nsstat: 20200913 AA nslastaa: 20200913 nserver: b.dns.br nsstat: 20200913 AA nslastaa: 20200913 nserver: c.dns.br nsstat: 20200913 AA nslastaa: 20200913 nserver: d.dns.br nsstat: 20200913 AA nslastaa: 20200913 nserver: e.dns.br nsstat: 20200913 AA nslastaa: 20200913 dsrecord: 47828 ECDSASHA256 B9BEC0EAC0F064929C8586DB185537787015EC3A48F0894BEA74DEEA452F3060 dsstatus: 20200913 DSOK dslastok: 20200913 created: 19970711 #46903 changed: 20180327 status: published nic-hdl-br: FAN person: Frederico Augusto de Carvalho Neves e-mail: fneves@registro.br country: BR created: 19971217 changed: 20200702
Como para domínios não existe um identificador para contato de abuso ("abuse-c"), então utiliza-se o contato técnico ("tech-c"), FAN.
Pode ser que se queira saber se um IP faz parte de um AS (ex: para agrupar um conjunto de notificações por ASN). Entretanto, nem todos os serviços de WHOIS identificam se um determinado IP está associado a um AS. Uma alternativa é utilizar o serviço de WHOIS do Team Cymru, que além de fazer o mapeamento de IP para ASN, identifica o RIR e o "Country Code" do respectivo IP/AS.
$ whois -h whois.cymru.com " -v 2001:12ff:0:4::6" AS | IP | BGP Prefix | CC | Registry | Allocated | AS Name 22548 | 2001:12ff:0:4::6 | 2001:12ff::/32 | BR | lacnic | 2007-12-19 | Núcleo de Inf. e Coord. do Ponto BR - NIC., BR
Ao se obter o ASN e o respectivo RIR, pode-se fazer outra pesquisa WHOIS para se obter os contatos:
$ whois -h whois.lacnic.net AS22548 % Copyright (c) Nic.br % The use of the data below is only permitted as described in % full by the terms of use at https://registro.br/termo/en.html , % being prohibited its distribution, commercialization or % reproduction, in particular, to use it for advertising or % any similar purpose. % 2022-03-18T14:03:13-03:00 - IP: 2001:12ff:0:7001:0:0:0:68 aut-num: AS22548 owner: Núcleo de Inf. e Coord. do Ponto BR - NIC.BR ownerid: 05.506.560/0001-36 responsible: Demi Getschko country: BR owner-c: FAN routing-c: FAN abuse-c: FAN created: 20011016 changed: 20210915 inetnum: 200.160.0.0/20 inetnum: 2001:12ff::/32 as-in: from AS2914 100 accept ANY as-in: from AS3549 100 accept ANY as-in: from AS6939 100 accept ANY as-in: from AS16735 100 accept ANY as-out: to AS2914 announce AS22548 as-out: to AS3549 announce AS22548 as-out: to AS6939 announce AS22548 as-out: to AS16735 announce AS22548 nic-hdl-br: FAN person: Frederico Augusto de Carvalho Neves e-mail: fneves@registro.br country: BR created: 19971217 changed: 20200702 % Security and mail abuse issues should also be addressed to % cert.br, http://www.cert.br/ , respectivelly to cert@cert.br % and mail-abuse@cert.br % % whois.registro.br accepts only direct match queries. Types % of queries are: domain (.br), registrant (tax ID), ticket, % provider, CIDR block, IP and ASN.
Neste caso, o contato de abuso pode ser localizado através do identificador "abuse-c:" e nos comentários há indicação de contato adicional a ser incluído em cópia nas notificações.
Os exemplos abaixo ilustram o uso de campos diversos para informar contatos de abuso e formas de notificação. As informações foram obtidas a partir de consultas WHOIS a redes efetivamente em uso, porém os dados organizacionais e pessoais foram sanitizados ou omitidos.
------------------------------------------ Comment: *** The IP addresses under this netblock are in use by Comment: EXAMPLE customers *** Comment: Comment: Please direct all abuse and legal complaints regarding Comment: these addresses to the EXAMPLE Abuse desk Comment: (compliance@example.com). Complaints sent to Comment: any other POC will be ignored. ------------------------------------------ ------------------------------------------ Comment: To report suspected security issues specific to Comment: traffic emanating from EXAMPLE online services, Comment: including the distribution of malicious content or Comment: other illicit or illegal material through a EXAMPLE Comment: online service, please submit reports to: Comment: * https://cert.example.com Comment: Comment: For SPAM and other abuse issues, such as EXAMPLE Comment: Accounts, please contact: Comment: * abuse@example.com Comment: Comment: To report security vulnerabilities in EXAMPLE products Comment: and services, please contact: Comment: * secure@example.com ------------------------------------------ ------------------------------------------ Comment: The activity you have detected originates from a Comment: dynamic hosting environment. Comment: For fastest response, please submit abuse reports at Comment: http://example.com/.../EXEAbuse [...] Comment: All reports MUST include: Comment: * src IP Comment: * dest IP (your IP) Comment: * dest port Comment: * Accurate date/timestamp and timezone of activity Comment: * Intensity/frequency (short log extracts) Comment: * Your contact details (phone and email) Without these Comment: we will be unable to identify the correct owner of the Comment: IP address at that point in time. ------------------------------------------
------------------------------------------ % Abuse contact for '109.xxx.yyy.0 - 109.xxx.yyy.255' is 'abuse@example.net' [...] remarks: trouble: +--------------------------------------------------- remarks: trouble: | Abuse and Spam issues: abuse@example.net | remarks: trouble: | * IN CASE OF HACK ATTACKS ILLEGAL ACTIVITY, | remarks: trouble: | * VIOLATION, SCANS, PROBES, SPAM, ETC. * | remarks: trouble: | DNS issues: hostmaster@example.net | remarks: trouble: +--------------------------------------------------- remarks: 24x7 @ +1234567890 ------------------------------------------ ------------------------------------------ remarks: Federal Higher education remarks: Security issues should be adressed to Fulano de Tal, remarks: email: fulano@exemplo.br, phone: +1234567890 ------------------------------------------ ------------------------------------------ remarks: Email address for spam or abuse complaints : abuse@example.com ------------------------------------------ ------------------------------------------ remarks: ************************************************* remarks: * For spam/abuse/security issues please contact * remarks: * abuse@example.com, not this address. * remarks: * The contents of your abuse email will be * remarks: * forwarded directly on to our client for * remarks: * handling. * remarks: ************************************************* ------------------------------------------
irt: IRT-EXAMPLE [...] abuse-mailbox: cert@example.nl signature: PGPKEY-A1B2C3D4 encryption: PGPKEY-A1B2C3D4 [...] irt-nfy: cert@example.nl
Existem diferentes maneiras de consultar serviços RDAP e de processar as respostas. Entre elas:
Apesar de alguns serviços RDAP oferecerem cliente Web com facilidades para busca e visualização para os usuários, o uso de ferramentas de linha de comando permite a automatização de rotinas para múltiplas consultas. Ferramentas de linhas de comando, como wget e curl, são comumente encontradas em sistemas baseados em UNIX, Linux e BSD, e estão disponíveis também para Windows e macOS.
Uma consulta RDAP é construída basicamente de três elementos:
<URL base>/<recurso>/<dado para consulta>
Sendo:
Se um servidor RDAP tiver as informações solicitadas, ele responderá com HTTP 200 junto com os dados solicitados em formato JSON. Caso o servidor RDAP não tenha as informações, ele poderá responder com um redirecionamento (HTTP 3XX) para outro servidor, ou retornará HTTP 404 indicando que as informações da solicitação não foram encontradas. Se uma consulta não puder ser concluída por outros motivos (ex: consulta incorreta, método não implementado, falha do servidor, etc.), uma resposta de erro HTTP apropriada será fornecida (4XX, 5XX).
A estrutura de dados JSON da resposta segue as definições da RFC 9083. A classe de objetos "entity" reúne várias informações de registro e pode representar diferentes entidades (como organizações, indivíduos, etc.). Entidades ("entities") podem ter uma ou mais funções, identificadas através de "roles". De maneira geral, para se identificar os contatos para notificação de abuso, deve-se buscar pelas "entities" que tenham função ("roles") "abuse" ou, na ausência desta, a função "technical". As informações de contatos são representadas em "vcardArray", conforme o formato JCard (JSON vCard).
É importante ter em mente que, apesar de as respostas RDAP seguirem o formato JSON, o parsing dos dados pode não ser uniforme entre todos os registries e registrars em virtude de escolhas de implementação, de políticas ou do mapeamento de dados com relação à base WHOIS. E que apesar de o RDAP ter contribuído de maneira significativa para representação do contato de abuso com o uso de "roles", ainda é possível observar informações de contato e instruções sobre como notificar abuso distribuídas em outros objetos, especialmente em "remarks".
Convém ainda considerar que:
Não é possível fazer uma consulta RDAP sem indicar algum servidor. Quando não se sabe qual é o servidor autoritativo, pode-se utilizar um servidor com recursos de bootstrapping e redirecionamento.
Neste exemplo utilizaremos o servidor bootstrap do ARIN, que é capaz de encaminhar requisições de consultas tanto para recursos numéricos como de nome.
$ curl -s -L https://rdap.arin.net/bootstrap/ip/192.0.2.1 | jq .
[...]
{
"handle": "IANA-IP-ARIN",
"vcardArray": [
"vcard",
[
[
"version",
{},
"text",
"4.0"
],
[...]
[
"fn",
{},
"text",
"ICANN"
],
[
"org",
{},
"text",
"ICANN"
],
[
"kind",
{},
"text",
"group"
],
[
"email",
{},
"text",
"abuse@iana.org"
],
[...] ]
],
"roles": [
"abuse",
"technical"
],
[...]
Ao listar as "entities" da resposta, é possível identificar um contato para notificar abuso, que na verdade tem a dupla função "roles": ["abuse", "technical"].
Para melhor visualizar o redirecionamento, pode-se utilizar a opção do curl de exibir apenas cabeçalhos (-I). No exemplo abaixo é possível ver que o servidor bootstrapping do ARIN faz um redirecionamento (código HTTP 302) para o servidor do registry autoritativo do recurso, que neste caso é o servidor do próprio ARIN (registry).
$ curl -I -L https://rdap.arin.net/bootstrap/ip/192.0.2.1 HTTP/1.1 302 [...] Location: https://rdap.arin.net/registry/ip/192.0.2.1 Transfer-Encoding: chunked Access-Control-Allow-Origin: * Content-Type: application/x-troff-man HTTP/1.1 200 [...] Content-Type: application/rdap+json Transfer-Encoding: chunked Access-Control-Allow-Origin: *
Eventualmente, para se evitar sobrecarregar de requisições um único servidor bootstrap, pode-se fazer a pesquisa diretamente ao servidor autoritativo do recurso.
No exemplo abaixo, a pesquisa será direcionada ao servidor do APNIC:
$ curl -s https://rdap.apnic.net/ip/2001:DB8::1 | jq .
[...]
{
"roles": [
"abuse"
],
[...]
"vcardArray": [
"vcard",
[
[
"version",
{},
"text",
"4.0"
],
[
"fn",
{},
"text",
"IRT-APNIC-AP"
],
[
"kind",
{},
"text",
"group"
],
[...]
[
"email",
{},
"text",
"helpdesk@apnic.net"
],
[
"email",
{
"pref": "1"
},
"text",
"helpdesk@apnic.net"
]
]
],
"objectClassName": "entity",
"handle": "IRT-APNIC-AP"
}
$ curl -s https://rdap.registro.br/domain/nic.br | jq .
[...]
{
"objectClassName": "entity",
"handle": "FAN",
"vcardArray": [
"vcard",
[
[
"version",
{},
"text",
"4.0"
],
[
"kind",
{},
"text",
"individual"
],
[
"fn",
{},
"text",
"Frederico Augusto de Carvalho Neves"
],
[
"email",
{},
"text",
"fneves@registro.br"
],
[
"lang",
{},
"language-tag",
"pt"
],
[...]
]
],
"roles": [
"technical"
],
[...]
Como não existe contato com role "abuse", utilizar o e-mail do contato com role "technical".
Como exemplificado na seção 7.5, saber se um IP faz parte de um AS pode ser útil para agrupar um conjunto de notificações para o mesmo contato de um ASN. Todavia, nem todos os registries identificam se um determinado IP está associado a um AS. Uma alternativa é utilizar o serviço de WHOIS do Team Cymru que além de fazer o mapeamento de IP para ASN, identifica o RIR e o "Country Code (CC)" do respectivo IP/AS. Saber o CC de um recurso pode ser útil também para se localizar o time de resposta a incidentes nacional, como last resort para uma notificação.
Utilizando o mesmo mapeamento da seção 7.5, de IP 2001:12ff:0:4::6 para o ASN 22548, uma consulta RDAP para o contato de "abuse" do ASN seria:
$ curl -s -L https://rdap.lacnic.net/rdap/autnum/22548| jq .
[...]
{
"objectClassName": "entity",
"handle": "FAN",
"vcardArray": [
"vcard",
[
[
"version",
{},
"text",
"4.0"
],
[...]
[
"email",
{},
"text",
"fneves@registro.br"
],
[...]
],
"roles": [
"administrative",
"abuse"
],
[...]
Convém destacar que no caso específico de recursos numéricos designados ao Brasil, o RDAP do Registro.br já faz o mapeamento do IP para o respectivo ASN através da extensão "nicbr_autnum", conforme mostrado abaixo:
$ curl -s https://rdap.registro.br/ip/2001:12ff:0:4::6 | jq .
{
"objectClassName": "ip network",
"handle": "2001:12ff::/32",
"startAddress": "2001:12ff::",
"endAddress": "2001:12ff:ffff:ffff:ffff:ffff:ffff:ffff",
"ipVersion": "v6",
"name": "106736",
"type": "ASSIGNED",
"country": "BR",
"status": [
"active"
],
"nicbr_autnum": 22548,
[...]
O RDAP contribuiu para uma certa uniformização na representação do contato de abuso com o uso de "vCard" e "roles". Todavia, ainda é possível encontrar informações de contato, e instruções sobre como notificar abuso, distribuídas em outros objetos, especialmente em "remarks".
Os exemplos abaixo foram obtidos a partir de consultas RDAP a redes efetivamente em uso, porém os dados organizacionais e pessoais foram sanitizados ou omitidos.
------------------------------------------
"remarks": [
{
"title": "Registration Comments",
"description": [
"EXAMPLE Web Services Abuse - The activity you have detected originates from a dynamic hosting environment. For fastest response, please submit abuse reports to abuse@example.com",
"All reports MUST include:",
"* src IP",
"* dest IP (your IP)",
"* dest port",
"* Accurate date/timestamp and timezone of activity",
"* Intensity/frequency (short log extracts)",
"* Your contact details (phone and email)",
"Without these we will be unable to identify the correct owner of the IP address at that point in time."
]
},
------------------------------------------
"handle": "103.xxx.yyy.0 - 103.xxx.yyy.255",
"entities": [
{
"roles": [
"technical"
],
[...]
"remarks": [
{
"description": [
"send spam and abuse report to abuse@example.com"
],
"title": "remarks"
}
],
[...]
{
"roles": [
"abuse"
],
[...]
"remarks": [
{
"description": [
"send spam and abuse report to abuse@example.com"
],
"title": "remarks"
}
],
[...]
"vcardArray": [
"vcard",
[
[
"version",
{},
"text",
"4.0"
],
[
"fn",
{},
"text",
"IRT-IN-EXAMPLE"
],
[
"kind",
{},
"text",
"group"
],
[...]
[
"email",
{},
"text",
"contact@example.com"
],
[
"email",
{
"pref": "1"
},
"text",
"abuse@example.com"
]
]
],
"objectClassName": "entity",
"handle": "IRT-IN-EXAMPLE"
}
------------------------------------------
"remarks": [
{
"title": "Registration Comments",
"description": [
"All EXAMPLE abuse reporting can be done via https://www.example.com/abuse"
]
}
],
------------------------------------------
"remarks": [
{
"title": "Registration Comments",
"description": [
"** The IP addresses under this netblock are in use by EXAMPLE Cloud customers ** \r",
"\r",
"Direct all copyright and legal complaints to \r",
"https://support.example.com/legal/go/report\r",
"\r",
"Direct all spam and abuse complaints to \r",
"https://support.example.com/code/go/gce_abuse_report\r",
"\r",
"For fastest response, use the relevant forms above.\r",
"\r",
"Complaints can also be sent to the EXAMPLE Abuse desk \r",
"(example-cloud-compliance@example.com) \r",
"but may have longer turnaround times.\r",
"\r",
"Complaints sent to any other POC will be ignored."
]
}
],
------------------------------------------
Os modelos apresentados a seguir foram elaborados para cobrir situações típicas de incidentes de segurança vivenciadas por grupos de resposta a incidentes. Não se trata de uma coletânea completa, mas de um conjunto de exemplos que podem ser adaptados para o uso por qualquer entidade e para uma variedade de outros incidentes.
Nas seções a seguir há uma descrição detalhada de cada um dos modelos, bem como são listados os tipos de incidentes que se enquadram em cada modelo de notificação.
Para facilitar a integração com sistemas de acompanhamento e notificação de incidentes, os modelos também estão disponíveis em arquivos .txt nos idiomas português (pt-br) e inglês (en-us). Estes modelos estão todos disponíveis para download, compactados em arquivos .zip, conforme o idioma:
Para facilitar a utilização em diversos sistemas operacionais, foram incluídos nos .zips, arquivos .txt convertidos para suportar diferentes delimitadores de linha (LF para Unix e CRLF para Windows) e distintas codificações, Latin1 (ISO-8859-1), UTF-8, UTF-16LE e ASCII.
Ao descompactar o arquivo .zip, será obtida uma estrutura de diretórios semelhante à descrita abaixo:
diretorio-base
|_ idioma
|_ sistema-operacional-1
|_ codificacao-1
...
|_ codificacao-n
|_ sistema-operacional-2
|_ codificacao-1
...
|_ codificacao-n
sendo que as codificações disponíveis variam conforme o idioma e o sistema operacional.
Dentro de cada .zip há um arquivo chamado README (ASCII) com detalhes acerca de seu conteúdo.
Os modelos de notificações de incidentes são disponibilizados pelo CERT.br sob a licença Creative Commons Atribuição-NãoComercial-CompartilhaIgual 4.0 Internacional (CC BY-NC-SA 4.0).
Você tem o direito de:
O licenciante não pode revogar estes direitos desde que você respeite os termos da licença.
De acordo com os termos seguintes:
Mais detalhes sobre esta licença de uso dos Modelos estão disponíveis em: https://creativecommons.org/licenses/by-nc-sa/4.0/deed.pt_BR
As variáveis de texto (placeholders) são representações de informações necessárias nos modelos. Elas devem ser substituídas pelo seu conteúdo correspondente em cada notificação a ser enviada. Seguem as descrições para as variáveis de texto empregadas nos modelos:
Variável Descrição
<ATTACK_TYPE> Descrição do ataque sendo notificado.
<ORGANIZATION_DESCRIPTION> Breve descritivo da instituição
que está enviando a notificação.
<ORGANIZATION_NAME> Nome da instituição que está enviando a
notificação.
<ARTIFACT_DESCRIPTION> Descritivo do artefato malicioso que está
se solicitando a remoção.
<DOMAIN_CONTACT> E-mail do responsável pelo domínio
sendo notificado.
<DOMAIN> Nome do domínio notificado.
<HOSTNAME> Porção da URL que identifica o
nome completo do host (hostname).
Hostname sendo notificado.
<HOSTNAME_OFFICIAL> Hostname da instituição sendo
referenciada na fraude.
<IP> Endereço IP sendo notificado.
<NATIONAL_CSIRT> E-mail de contato do CSIRT nacional
responsável pelo IP / rede.
<NETWORK_CONTACT> E-mail do responsável pela rede
sendo notificada.
<NOTE_GEO> Observação acerca de geolocalização
em páginas de phishing.
<PORT> Porta de conexão/serviço sendo notificada.
<PORT_PHISHING> Porta utilizada na URL do phishing.
<PROTOCOL> Protocolo de comunicação observado em
conexão maliciosa sendo notificada.
<REGISTRAR_CONTACT> E-mail de contato do Registrar
(entidade de registro) responsável
pelo registro do domínio.
<SERVICE_NAME> Nome do serviço explorado para
realização de ataque.
<SIGNATURE> Assinatura de quem está enviando a
notificação.
<TIMEZONE> Fuso horário dos registros dos
logs. Pode ser expresso nos
formatos [+-]hh:mm, [+-]hhmm, ou
[+-]hh. UTC "+hhmm" indica que a
data/hora foi expressa em um fuso
horário que é "hh" horas e "mm"
minutos à frente da hora UTC. UTC
"-hhmm" indica que a data/hora foi
expressa em um fuso horário que é
"hh" horas e "mm" minutos atrás da
hora UTC. Alternativamente pode
ser expresso simplesmente com "Z",
que significa que o horário está
em UTC.
<URL_ARTIFACT> URL do artefato malicioso.
<URL_DEFACEMENT> URL que sofreu desfiguração.
<URL_OFFICIAL> URL do site oficial da instituição
reclamante da fraude.
<URL_PHISHING> URL do phishing.
<URL_PII> URL onde estão sendo publicados
dados sensíveis de identificação
pessoal.
Modelo de notificação para casos onde deseja-se informar uma instituição brasileira que seu site foi desfigurado e o conteúdo adulterado permanece acessível.
Arquivo do Modelo: defacement-pt-br.txt Subject: Desfiguracao de pagina <HOSTNAME>. To: <NETWORK_CONTACT>, <DOMAIN_CONTACT> Cc: cert@cert.br Caro responsável, Somos o grupo de tratamento de incidentes de segurança da <ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>. Você recebeu esta mensagem porque é o contato da rede citada abaixo no WHOIS/RDAP. Esta mensagem é destinada ao responsável pela segurança de sua rede e, se este não for o endereço correto, por favor encaminhe-a ao destinatário apropriado. Informamos que o endereço abaixo teve sua página desfigurada e que o conteúdo alterado permanece online: <URL_DEFACEMENT> Pedimos sua colaboração na análise e solução deste incidente. Recomendamos também que as vulnerabilidades que permitiram esse ataque sejam identificadas e corrigidas. Agradecemos desde já e solicitamos que, se possível, uma resposta nos seja enviada confirmando o recebimento desta mensagem. Atenciosamente, <SIGNATURE>
Modelo de notificação para casos onde deseja-se informar uma instituição estrangeira que seu site foi desfigurado e o conteúdo adulterado permanece acessível.
Arquivo do Modelo: defacement-en-us.txt Subject: Website defacement <HOSTNAME> To: <NETWORK_CONTACT>, <DOMAIN_CONTACT> Cc: <NATIONAL_CSIRT>, cert@cert.br Dear Sir/Madam, We are the computer security incident response team for <ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>. You have received this message because you are the WHOIS/RDAP contact for the network mentioned below. This message is intended for the person responsible for computer security at your site. If this is not the correct address, please forward this message to the appropriate party. We have noticed that the web page below has been defaced and the modified page remains online: <URL_DEFACEMENT> We kindly request you to look into the matter. We also recommend finding and mitigating the vulnerabilities that let the attack succeed. Thanks in advance. We would also appreciate a reply that this message has been received. Best regards, <SIGNATURE>
Modelo de notificação e solicitação de verificação de domínios brasileiros usados para prática de fraudes contra instituições brasileiras e/ou seus usuários, como por exemplo, quando o nome do domínio é similar ao da instituição referenciada na fraude e está associado a conteúdo fraudulento.
Para domínios .br, os casos podem ser notificados diretamente ao Registro.br (hostmaster@registro.br), mantendo o CERT.br em cópia.
Para novos gTLDs (registrados a partir de 2012), deve-se localizar a instituição responsável e o contato adequado para abusos, conforme indicado na seção 4.3. Top-Level Domains (TLDs).
É importante salientar que as entidades registradoras de domínios (Registrars e Registries) só tem capacidade de sanção contra domínios que estejam desrespeitando cláusulas contratuais, ou por ordem judicial. Se o procedimento para verificação do domínio não constatar violação de contrato, será necessário que a entidade vítima da fraude mova ação judicial contra o dono do domínio fraudulento, a fim de obter ordem judicial para cancelamento do domínio. Este modelo NÃO contempla esta situação.
Arquivo do Modelo: domain-pt-br.txt
Subject: Dominio usado em fraudes (<DOMAIN>)
To: <REGISTRAR_CONTACT>
Cc: cert@cert.br
Cara Entidade Registradora de Domínios,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Identificamos o seguinte domínio sendo utilizado para prática de fraudes:
<DOMAIN>
Este domínio se faz passar pelo domínio da <ORGANIZATION_NAME>, cujo
site oficial é:
<URL_OFFICIAL>
e está associado à páginas fraudulentas, como as destacadas abaixo:
<URL_PHISHING>
Gentilmente solicitamos que o domínio em questão seja verificado e, se
possível, sejam instaurados os procedimentos administrativos cabíveis.
Não hesite em nos contactar caso necessite de mais informações.
Agradecemos desde já,
Atenciosamente,
<SIGNATURE>
Modelo de notificação e solicitação de verificação de domínios NÃO brasileiros usados para prática de fraudes contra instituições brasileiras e/ou seus usuários, como por exemplo, quando o nome do domínio é similar ao da instituição referenciada na fraude e está associado a conteúdo fraudulento.
Tais casos devem ser notificados diretamente à organização onde o domínio foi registrado (Registrar), mantendo em cópia o CERT.br e o CSIRT Nacional do país de registro.
É importante salientar que as entidades registradoras de domínios (Registrars e Registries) só tem capacidade de sanção contra domínios que estejam desrespeitando cláusulas contratuais, ou por ordem judicial. Se o procedimento para verificação do domínio não constatar violação de contrato, será necessário que a entidade vítima da fraude mova ação judicial contra o dono do domínio fraudulento, a fim de obter ordem judicial para cancelamento do domínio. Este modelo NÃO contempla esta situação.
Arquivo do Modelo: domain-en-us.txt
Subject: Domain used in frauds (<DOMAIN>)
To: <REGISTRAR_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You have received this message because you are the Registrar contact
for the domain mentioned below. This message is intended for the
person responsible for treating abuse cases and if this is not the
correct address, please forward this message to the appropriate party.
We have detected the following domain being used for fraud:
<DOMAIN>
This is a domain pretending to be a <ORGANIZATION_NAME> domain,
whose official website is
<URL_OFFICIAL>
and it is associated with fraudulent pages such as those listed
below:
<URL_PHISHING>
We kindly ask your cooperation to verify this domain and, according to
your policies, take the appropriate measures to cease any
irregularity, if it's the case.
Please let us know if any additional information is required.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
Modelo de notificação para casos onde dados pessoais sensíveis, indevidamente obtidos, estão sendo divulgados através de site em rede/domínio no Brasil.
Caso seja evidente que o domínio do site usado para a divulgação dos dados não é malicioso e/ou possa estar sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.
Arquivo do Modelo: pii-pt-br.txt
Subject: Dados pessois sensiveis divulgados em seu site <HOSTNAME>
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você recebeu esta mensagem porque é o contato da rede citada abaixo no
WHOIS/RDAP. Esta mensagem é destinada ao responsável pela segurança de
sua rede e, se este não for o endereço correto, por favor encaminhe-a
ao destinatário apropriado.
Tomamos conhecimento que sua infraestrutura está sendo utilizada para
armazenar e divulgar dados sensíveis de identificação pessoal de
usuários de nossa instituição/cliente.
Estes dados estão acessíveis através do site:
<URL_PII>
<HOSTNAME> com endereço IP <IP>
Solicitamos sua colaboração para que:
* sejam removidos todos os dados armazenados e páginas relacionadas;
* nos sejam enviados quaisquer logs ou outras informações
relacionadas à publicação destes dados, se possível, de acordo com
suas políticas. Tais informações podem ser de grande valia em
nossas análises.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
Modelo de notificação para casos onde dados pessoais sensíveis, indevidamente obtidos, estão sendo divulgados através de site em rede/domínio no exterior.
Caso seja evidente que o domínio do site usado para a divulgação dos dados não é malicioso e/ou possa estar sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.
Arquivo do Modelo: pii-en-us.txt
Subject: Sensitive personal information published at your site <HOSTNAME>
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You have received this message because you are the WHOIS/RDAP contact
for the network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
We have noticed that your infrastructure is being used to store and
publish sensitive personally identifiable information (PII) from our
users/customers.
These data are accessible at:
<URL_PII>
<HOSTNAME> with IP <IP>
We kindly ask your cooperation:
* to delete all stored data and related pages;
* if possible, and according to your policies, to send us any logs
or other information regarding the publication of to this data. It
could help us in our analysis.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
Modelo de notificação para casos de ataques de varredura de portas, de força bruta e tentativas de exploração de vulnerabilidades conhecidas, originados a partir de IPs em redes no Brasil.
Neste modelo, o <ATTACK_TYPE> deve ser substituído por um descritivo do tipo de ataque identificado nos logs que serão enviados na notificação. Alguns exemplos de <ATTACK_TYPE> são:
Arquivo do Modelo: misc-pt-br.txt
Subject: <IP> - maquina realizando atividades maliciosas
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você recebeu esta mensagem porque é o contato da rede citada abaixo no
WHOIS/RDAP. Esta mensagem é destinada ao responsável pela segurança de
sua rede e, se este não for o endereço correto, por favor encaminhe-a
ao destinatário apropriado.
Os logs anexados ao final desta mensagem mostram atividades maliciosas
aparentemente partindo de um endereço IP em sua rede. São amostras de
<ATTACK_TYPE>. Os horários estão em UTC<TIMEZONE>.
Pode tratar-se de:
* uma máquina em sua rede que foi comprometida e está sendo usada
como base para ataques, ou;
* algum usuário legítimo envolvido em atividades que, provavelmente,
são contrárias à sua política de uso aceitável da rede.
Em qualquer um dos casos pedimos sua colaboração na análise e solução
deste incidente.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
##################################################################
## LOGs em UTC<TIMEZONE>
Modelo de notificação para casos de ataques de varredura de portas, de força bruta e tentativas de exploração de vulnerabilidades conhecidas, originados a partir de IPs do exterior.
Neste modelo, o <ATTACK_TYPE> deve ser substituído por um descritivo do tipo de ataque identificado nos logs que serão enviados na notificação. Alguns exemplos de <ATTACK_TYPE> são:
Arquivo do Modelo: misc-en-us.txt
Subject: <IP> - possible malicious activity from this host
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You have received this message because you are the WHOIS/RDAP contact
for the network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
The logs attached at the end of this message show malicious activity
originated from an IP address in your network. They are samples of
<ATTACK_TYPE>. All times are UTC<TIMEZONE>.
Either:
* a machine in your network has been compromised and is now being
used to launch attacks, or;
* a legitimate user is engaged in activity that is probably in
violation of your Terms of Service.
We kindly request you to look into the matter.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
##################################################################
## LOGs - all times are UTC<TIMEZONE>
Modelo de notificação para casos de servidor DNS, ativo em IPs de redes no Brasil, respondendo maliciosamente, de forma autoritativa, para nomes de domínios de instituições conhecidas, a fim de direcionar os usuários para sites falsos (ataque de sequestro de DNS).
Arquivo do Modelo: rogue-dns-pt-br.txt
Subject: <IP> - Servidor DNS malicioso usado em sequestro de DNS
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você recebeu esta mensagem porque é o contato da rede citada abaixo no
WHOIS/RDAP. Esta mensagem é destinada ao responsável pela segurança de
sua rede e, se este não for o endereço correto, por favor encaminhe-a
ao destinatário apropriado.
Nossos logs indicam que o seguinte IP da sua rede
Endereço IP: <IP>
é um servidor DNS que permite abuso de duas formas:
* atua como um servidor DNS malicioso, usado para ataques de
sequestro de DNS, isto é, fornecendo respostas autoritativas (flag
'aa' presente na saída do comando dig) maliciosas para domínios
sobre os quais não tem autoridade;
* atua como um servidor DNS recursivo aberto, que pode ser explorado
para amplificação de tráfego em ataques DDoS.
Tal servidor DNS malicioso está fornecendo respostas incorretas para
nome(s) de domínio da nossa organização e/ou outros domínios
conhecidos (como bancos, serviços de pagamento, comércio eletrônico,
etc.), com o objetivo de redirecionar os usuários para sites falsos.
Pode tratar-se de:
* um servidor DNS instalado pelo próprio atacante (por exemplo,
contratando serviços de hospedagem ou de nuvem), ou;
* um servidor DNS legítimo que foi comprometido.
Em qualquer um dos casos pedimos sua colaboração na análise e solução
deste incidente.
Ao final desta desta mensagem anexamos partes de nossos logs de
consultas DNS para facilitar sua análise. Todos os horários estão em
UTC<TIMEZONE>.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
##################################################################
## LOGs em UTC<TIMEZONE>
Modelo de notificação para casos de servidor DNS, ativo em IPs de redes no exterior, respondendo maliciosamente, de forma autoritativa, para nomes de domínios de instituições conhecidas, a fim de direcionar os usuários para sites falsos (ataque de sequestro de DNS).
Arquivo do Modelo: rogue-dns-en-us.txt
Subject: <IP> - Rogue DNS server used in DNS Hijacking Attacks.
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You have received this message because you are the WHOIS/RDAP contact
for the network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
Our logs indicate that
IP Address: <IP>
in your network is a malicious DNS server acting both
* as a rogue DNS server used in DNS hijacking attacks, that is, it
is providing malicious authoritative answers ('aa' flag present in
a dig command output) for domains it does not have authority over;
* as an open recursive DNS server, that can be exploited for traffic
amplification in order to launch DDoS attacks.
Such rogue DNS server is providing wrong answers to domain name(s)
from our organization and/or other well-known domains (like banks,
payment services, e-commerce, etc.) with the purpose of redirecting
users to phishing sites.
Either:
* this is a DNS server installed by the attacker (e.g. buying
hosting or cloud services for this purpose);
* this is a legitimate DNS server that has been compromised.
In either case, we kindly request you to look into the matter.
At the bottom of this message we have attached parts of our DNS query
logs in order to help you track down this activity. All times are
UTC<TIMEZONE>.
You can find a description of DNS hijacking and Rogue DNS servers at:
https://en.wikipedia.org/wiki/DNS_hijacking
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
##################################################################
## LOGs - all times are UTC<TIMEZONE>
Modelo de notificação para casos de ataque de negação de serviço a instituição brasileira, realizado por IPs de redes no Brasil, caracterizados por participarem de botnet, sem spoofing de endereço.
Arquivo do Modelo: dosbot-pt-br.txt
Subject: <IP> usado em ataque de negacao de servico.
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você recebeu esta mensagem porque é o contato da rede citada abaixo no
WHOIS/RDAP. Esta mensagem é destinada ao responsável pela segurança de
sua rede e, se este não for o endereço correto, por favor encaminhe-a
ao destinatário apropriado.
Nossos logs indicam que um dispositivo da sua rede participou de um
ataque de negação de serviço contra nossa instituição/cliente. Ao
final desta mensagem anexamos partes dos logs para facilitar a
análise. Os horários estão em UTC<TIMEZONE>.
O tráfego analisado é compatível com atividade de botnet usada para
DDoS. Também em função dos padrões de tráfego, acreditamos que o
endereço IP de origem dos pacotes NÃO tenha sido adulterado.
Pode tratar-se de:
* um computador/dispositivo de rede que foi comprometido e está
sendo controlado remotamente ("bot") para realização de ataques,
ou;
* algum usuário legítimo envolvido em atividades que, provavelmente,
são contrárias à sua política de uso aceitável da rede.
Em qualquer um dos casos pedimos sua colaboração na análise e solução
deste incidente.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
##################################################################
## LOGs em UTC<TIMEZONE>
Modelo de notificação para casos de ataque de negação de serviço a instituição brasileira, realizado por IPs de redes no exterior, caracterizados por participarem de botnet, sem spoofing de endereço.
Arquivo do Modelo: dosbot-en-us.txt
Subject: <IP> used in denial of service attack.
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You have received this message because you are the WHOIS/RDAP contact
for the network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
Our logs indicate that a computer/network device in your network
participated in a deny of service attack against our company /
customer. At the end of this message we have attached partial logs in
order to facilitate your analysis. All times are UTC<TIMEZONE>.
The network traffic shows specific characteristics related to DDoS
botnet activities. Still according to traffic patterns we do NOT
believe the source IP address has been spoofed.
Either:
* a computer/network device has been compromised and is being
remotely controlled (bot) to launch attacks, or;
* a legitimate user is engaged in activity that is probably in
violation of your Terms of Service.
In either case, we kindly request you to look into the matter.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
##################################################################
## LOGs - all times are UTC<TIMEZONE>
Modelo de notificação para casos de ataque de negação de serviço distribuído com uso de amplificação (DRDoS) contra instituição brasileira, com IP de rede no Brasil participando como amplificador do ataque.
Nos casos de amplificação/reflexão, em virtude do uso de endereços de origem adulterados (spoofing), só é possível notificar os servidores de amplificação/reflexão e não os responsáveis pelas máquinas que originaram as requisições (origem do abuso).
Neste modelo, <SERVICE_NAME> deve ser substituído pelo descritivo do serviço/protocolo abusado para produzir a amplificação do ataque. Alguns exemplos de <SERVICE_NAME> são:
Arquivo do Modelo: drdos-pt-br.txt Subject: <IP> - servico abusado para ataque de negacao de servico. To: <NETWORK_CONTACT> Cc: cert@cert.br Caro responsável, Somos o grupo de tratamento de incidentes de segurança da <ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>. Você recebeu esta mensagem porque é o contato da rede citada abaixo no WHOIS/RDAP. Esta mensagem é destinada ao responsável pela segurança de sua rede e, se este não for o endereço correto, por favor encaminhe-a ao destinatário apropriado. Nossos logs indicam que uma máquina da sua rede participou de um ataque de negação de serviço contra nossa instituição/cliente. Ao final desta mensagem anexamos partes dos logs referentes ao ataque. Os horários estão em UTC<TIMEZONE>. A análise do tráfego indica que o serviço <SERVICE_NAME> encontra-se possivelmente ativo em sua rede, no endereço IP: <IP> e servindo como amplificador de tráfego em ataques de negação de serviço. Este serviço pode gerar respostas de tamanho muito grande (várias vezes maior que o da requisição) e, através de requisições forjadas com endereço IP adulterado (IP spoofing), um atacante pode direcionar as respostas ao alvo de seu ataque. Tal abuso parece ocorrer porque o serviço aparenta atender, sem restrições, a qualquer requisição proveniente da Internet. Solicitamos sua colaboração na solução deste incidente, seja corrigindo o problema que permite o abuso do serviço ou desativando-o completamente, caso não tenha uso efetivo. Agradecemos desde já e solicitamos que, se possível, uma resposta nos seja enviada confirmando o recebimento desta mensagem. Atenciosamente, <SIGNATURE> ################################################################## ## LOGs em UTC<TIMEZONE>
Modelo de notificação para casos de ataque de negação de serviço distribuído com uso de amplificação (DRDoS) contra instituição brasileira, com IP de rede no exterior participando como amplificador do ataque.
Nos casos de amplificação/reflexão, em virtude do uso de endereços de origem adulterados (spoofing), só é possível notificar os servidores de amplificação/reflexão e não os responsáveis pelas máquinas que originaram as requisições (origem do abuso).
Neste modelo, <SERVICE_NAME> deve ser substituído pelo descritivo do serviço/protocolo abusado para produzir a amplificação do ataque. Alguns exemplos de <SERVICE_NAME> são:
Arquivo do Modelo: drdos-en-us.txt Subject: <IP> - service abused in denial of service attack. To: <NETWORK_CONTACT> Cc: <NATIONAL_CSIRT>, cert@cert.br Dear Sir/Madam, We are the computer security incident response team for <ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>. You have received this message because you are the WHOIS/RDAP contact for the network mentioned below. This message is intended for the person responsible for computer security at your site. If this is not the correct address, please forward this message to the appropriate party. Our logs indicate that a computer in your network participated in a denial of service attack against our company/customer. At the end of this message we have attached partial logs in order to facilitate your analysis. All times are UTC<TIMEZONE>. The network traffic indicates a service <SERVICE_NAME> possibly active in your network at IP: <IP> and serving as amplifier in denial of service attacks. This service can produce large responses (several times larger than the request size) and an attacker can abuse it by creating spoofed requests in a way that the responses are directed to its desired target. Such abuse seems to be taking place because the service apparently is answering to requests from the open Internet without any restriction. We kindly ask your cooperation to solve this incident by correcting the misconfigurations that allow the service abuse, or by disabling the service completely if it has no effective use. Thanks in advance. We would also appreciate a reply that this message has been received. Best regards, <SIGNATURE> ################################################################## ## LOGs - all times are UTC<TIMEZONE>
Modelo de notificação para casos de artefatos maliciosos (ex: páginas com iFrame malicioso, código binário ou script, arquivo tipo .pac, etc) hospedados em IPs de redes no Brasil.
Neste modelo, <ARTIFACT_DESCRIPTION> deve ser substituído por um descritivo do artefato malicioso para o qual se pede a remoção, e de como foi detectado, a fim de permitir o entendimento do problema e das entradas de log anexas. Alguns exemplos de <ARTIFACT_DESCRIPTION> são:
Caso seja evidente que o domínio usado na URL do artefato não é malicioso e que esteja sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.
Arquivo do Modelo: malware-pt-br.txt
Subject: Artefato malicioso hospedado em <HOSTNAME> -> <IP>.
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você recebeu esta mensagem porque é o contato da rede citada abaixo no
WHOIS/RDAP. Esta mensagem é destinada ao responsável pela segurança de
sua rede e, se este não for o endereço correto, por favor encaminhe-a
ao destinatário apropriado.
Nossos logs indicam que seu site está hospedando artefato
malicioso. Trata-se de <ARTIFACT_DESCRIPTION>.
O artefato está hospedado em:
<URL_ARTIFACT>
<HOSTNAME> com endereço IP <IP>
Ao final desta desta mensagem anexamos partes de nossos logs para
facilitar a análise. Os horários estão em UTC<TIMEZONE>.
Solicitamos sua colaboração para que:
* o código malicioso seja removido do site;
* seja verificado se esta máquina foi comprometida e, possivelmente,
esteja sendo usada por invasores como repositório de ferramentas,
ou se um usuário legítimo está envolvido em atividades que são,
provavelmente, contrárias à sua política de uso aceitável da rede.
Caso haja mais de um código malicioso hospedado em sua rede, você
receberá múltiplas mensagens semelhantes a esta, cada uma contendo
evidências (logs) diferentes.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
##################################################################
## LOGs em UTC<TIMEZONE>
Modelo de notificação para casos de artefatos maliciosos (ex: páginas com iFrame malicioso, código binário ou script, arquivo tipo .pac, etc) hospedados em IPs de redes no exterior.
Neste modelo, <ARTIFACT_DESCRIPTION> deve ser substituído por um descritivo do artefato malicioso para o qual se pede a remoção, e de como foi detectado, a fim de permitir o entendimento do problema e das entradas de log anexas. Alguns exemplos de <ARTIFACT_DESCRIPTION> são:
Caso seja evidente que o domínio usado na URL do artefato não é malicioso e que esteja sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.
Arquivo do Modelo: malware-en-us.txt
Subject: Malicious artifact hosted at your site (<HOSTNAME> -> <IP>)
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You have received this message because you are the WHOIS/RDAP contact
for the network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
Our logs indicate that your site is hosting malicious artifact. It
seems to be a <ARTIFACT_DESCRIPTION>.
The artifact is hosted at:
<URL_ARTIFACT>
<HOSTNAME> with IP address <IP>
At the end of this message we have attached partial logs in order to
facilitate your analysis. All times are UTC<TIMEZONE>.
We kindly ask your cooperation to:
* remove the malicious files from your site;
* verify whether this machine has been compromised and it's being
used by intruders to host malicious files, or a legitimate user is
engaged in activity that is probably in violation of your Terms of
Service.
In case we detect more than one malicious code hosted on your network,
you will receive multiple messages similar to this, each one containing
different evidence (logs).
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
##################################################################
## LOGs - all times are UTC<TIMEZONE>
Modelo de notificação para de casos de páginas falsas (phishing) hospedadas em IPs e/ou domínio brasileiros, referenciando instituições brasileiras ou estrangeiras.
Caso seja evidente que o domínio usado na URL do phishing <URL-PHISHING> não é malicioso e que esteja sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.
Em casos de páginas de phishing que utilizam técnicas de geolocalização para serem exibidas apenas a IPs alocados ao Brasil, acrescentar a mensagem abaixo em substituição ao item <NOTE_GEO>. Do contrário, apenas remover <NOTE_GEO> do texto principal.
IMPORTANTE: Esta página falsa faz uso de técnicas de geolocalização e
somente pode ser visualizada por IPs alocados ao Brasil.
Assim, caso a página não esteja visível em seu navegador,
por favor procure por ela diretamente no sistema de
arquivos do servidor Web.
Arquivo do Modelo: phishing-pt-br.txt
Subject: Pagina falsa hospedada em (<HOSTNAME> -> <IP>)
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você recebeu esta mensagem porque é o contato da rede citada abaixo no
WHOIS/RDAP. Esta mensagem é destinada ao responsável pela segurança de
sua rede e, se este não for o endereço correto, por favor encaminhe-a
ao destinatário apropriado.
Identificamos um site de phishing hospedado em:
<URL_PHISHING>
<HOSTNAME> com endereço IP <IP>
Esta página falsa se faz passar pela página da <ORGANIZATION_NAME> com
o propósito de cometer fraude contra a instituição e/ou seus usuários.
O site legítimo da instituição é:
<URL_OFFICIAL>
<NOTE_GEO>
Solicitamos sua colaboração, de acordo com suas políticas, para que:
* seja interrompido o acesso a esta página falsa;
* nos sejam enviados quaisquer logs ou outras informações
relacionadas com o acesso a estes dados;
* nos sejam enviados os arquivos que compõem o site de phishing;
* seja determinado para onde os dados coletados estão sendo
enviados, caso seja possível. Tais informações podem ser de grande
valia em nossas análises.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
Modelo de notificação para de casos de página falsa (phishing) hospedadas em IPs e/ou domínios no exterior, referenciando instituições brasileiras.
Caso seja evidente que o domínio usado na URL do phishing <URL-PHISHING> não é malicioso e que esteja sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.
Em casos de páginas de phishing que utilizam técnicas de geolocalização para serem exibidas apenas a IPs alocados ao Brasil, acrescentar a mensagem abaixo em substituição ao item <NOTE_GEO>. Do contrário, apenas remover <NOTE_GEO> do texto principal.
IMPORTANT: This fake page makes use of geolocation techniques and can
only be seen by IPs allocated to Brazil. Therefore, if the
page is not visible on your Web browser, please, search for
it directly at your Web server file system.
Arquivo do Modelo: phishing-en-us.txt
Subject: Phishing hosted at your site (<HOSTNAME> -> <IP>)
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You have received this message because you are the WHOIS/RDAP contact
for the network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
We detected a phishing web site hosted at:
<URL_PHISHING>
<HOSTNAME> with IP <IP>
This is a fake website pretending to be <ORGANIZATION_NAME> website
with the intent of committing fraud against the organization and/or
its users. The organization's legitimate website is:
<URL_OFFICIAL>
<NOTE_GEO>
We kindly ask your cooperation, according to your policies:
* to cease this activity and shut down the phishing page;
* to send us any logs or other information regarding the access to
this homepage;
* to send us the phishing website files;
* also, if in the course of your analysis you can determine where
the collected data is being sent to, please send us this
information. It could help us in our analysis.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
Modelo de notificação para de casos de páginas falsas (phishing), direcionadas a usuários de dispositivos móveis, hospedadas em IPs e/ou domínio brasileiros, referenciando instituições brasileiras ou estrangeiras.
Para visualizar a página falsa a partir de um computador é necessário simular um dispositivo móvel, ajustando características como user agent e tamanho da janela de visualização.
Caso seja evidente que o domínio usado na URL do phishing <URL-PHISHING> não é malicioso e que esteja sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.
Arquivo do Modelo: phishing-mobile-pt-br.txt
Subject: Pagina falsa para dispositivos moveis hospedada em <HOSTNAME> -> <IP>
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você recebeu esta mensagem porque é o contato da rede citada abaixo no
WHOIS/RDAP. Esta mensagem é destinada ao responsável pela segurança de
sua rede e, se este não for o endereço correto, por favor encaminhe-a
ao destinatário apropriado.
Identificamos uma página falsa direcionada para dispositivos móveis
hospedada em:
<URL_PHISHING>
<HOSTNAME> com endereço IP <IP>
Esta página falsa se faz passar pela página da <ORGANIZATION_NAME> com
o propósito de cometer fraude contra a instituição e/ou seus usuários.
O site legítimo da instituição é:
<URL_OFFICIAL>
Para visualizar a página falsa no navegador de um computador é
necessário simular um dispositivo móvel, em especial o user agent e o
tamanho da janela de visualização. Uma forma de fazê-lo é usando o
modo de design responsivo nativamente disponível em navegadores como
Chrome ou Firefox. Informações adicionais estão disponíveis em
Chrome:
https://developers.google.com/web/tools/chrome-devtools/device-mode?hl=pt-br
Firefox:
https://developer.mozilla.org/en-US/docs/Tools/Responsive_Design_Mode
Solicitamos sua colaboração, de acordo com suas políticas, para que:
* seja interrompido o acesso a esta página falsa;
* nos sejam enviados quaisquer logs ou outras informações
relacionadas com o acesso a estes dados;
* nos sejam enviados os arquivos que compõem o site de phishing;
* seja determinado para onde os dados coletados estão sendo
enviados, caso seja possível. Tais informações podem ser de grande
valia em nossas análises.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
Modelo de notificação para de casos de páginas falsas (phishing), direcionadas a usuários de dispositivos móveis, hospedadas em IPs e/ou domínios no exterior, referenciando instituições brasileiras ou estrangeiras.
Para visualizar a página falsa a partir de um computador é necessário simular um dispositivo móvel, ajustando características como user agent e tamanho da janela de visualização.
Caso seja evidente que o domínio usado na URL do phishing <URL-PHISHING> não é malicioso e que esteja sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.
Arquivo do Modelo: phishing-mobile-en-us.txt
Subject: Phishing targeting mobile devices hosted at <HOSTNAME> -> <IP>
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You have received this message because you are the WHOIS/RDAP contact
for the network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
We detected a phishing page tailored for mobile devices hosted at:
<URL_PHISHING>
<HOSTNAME> with IP <IP>
This is a fake page pretending to be <ORGANIZATION_NAME> website
with the intent of committing fraud against the organization and/or
its users. The organization's legitimate website is:
<URL_OFFICIAL>
To be able to see the fake page on a desktop browser it is necessary
to simulate the properties of a mobile device, especially the user
agent and viewport size. A way of doing this is using the responsive
design mode natively available in browsers like Chrome or Firefox.
Additional information is available at
Chrome:
https://developers.google.com/web/tools/chrome-devtools/device-mode
Firefox:
https://developer.mozilla.org/en-US/docs/Tools/Responsive_Design_Mode
We kindly ask your cooperation, according to your policies:
* to cease this activity and shut down the phishing page;
* to send us any logs or other information regarding the access to
this homepage;
* to send us the phishing website files;
* also, if in the course of your analysis you can determine where
the collected data is being sent to, please send us this
information. It could help us in our analysis.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
Modelo de notificação para de casos de páginas falsas (phishing) referenciando instituições brasileiras, hospedadas em IPs no Brasil, e em associação com ataques de pharming para direcionar os usuários.
Arquivo do Modelo: phishing-pharming-pt-br.txt
Subject: Pagina falsa da <ORGANIZATION_NAME> hospedada em <IP>
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você recebeu esta mensagem porque é o contato da rede citada abaixo no
WHOIS/RDAP. Esta mensagem é destinada ao responsável pela segurança de
sua rede e, se este não for o endereço correto, por favor encaminhe-a
ao destinatário apropriado.
Identificamos uma página falsa hospedada em:
Endereço IP: <IP>
Esta página falsa se faz passar pela página da <ORGANIZATION_NAME>
com o propósito de cometer fraude contra a instituição e/ou seus
usuários. O site legítimo da instituição é:
<URL_OFFICIAL>
Esta fraude também emprega alguns subterfúgios para alterar a
resolução de nomes no contexto do usuário a fim de direcioná-lo à
pagina falsa (ataque de pharming). Por esta razão, nem sempre é
possível a visualização da página falsa usando o navegador de
computadores não afetados.
As seguintes alternativas podem ser usadas para permitir a visualização
da página falsa:
1. via o comando "curl":
curl -s -H "Host: <HOSTNAME_OFFICIAL>" <URL_PHISHING>
Versões do curl estão disponíveis em:
https://curl.se/download.html
e também via os repositórios oficiais das distribuições de diversos
sistemas operacionais.
2. editando o arquivo "hosts" da máquina e adicionando a seguinte linha:
<IP> <HOSTNAME_OFFICIAL>
e acessando o site como:
<URL_OFFICIAL>
Por favor não se esqueça de remover a linha adicionada ao arquivo
"hosts" após verificar o site de phishing.
3. mudando a configuração de proxy do browser:
Configure o proxy do browser para:
servidor: <IP>
porta: <PORT_PHISHING>
e acesse o site usando:
<URL_OFFICIAL>
Por favor, não se esqueça de remover esta configuração do proxy após
verificar a página de phishing.
Solicitamos sua colaboração, de acordo com suas políticas, para que:
* seja interrompido o acesso a esta página falsa;
* nos sejam enviados quaisquer logs ou outras informações
relacionadas com o acesso a estes dados;
* nos sejam enviados os arquivos que compõem o site de phishing;
* seja determinado para onde os dados coletados estão sendo
enviados, caso seja possível. Tais informações podem ser de grande
valia em nossas análises.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
Modelo de notificação para de casos de páginas falsas (phishing) referenciando instituições brasileiras, hospedadas em IPs no exterior, e em associação com ataques de pharming para direcionar os usuários.
Arquivo do Modelo: phishing-pharming-en-us.txt
Subject: Fake page of <ORGANIZATION_NAME> hosted at <IP>
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You have received this message because you are the WHOIS/RDAP contact
for the network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
We detected a phishing web site hosted at
IP address: <IP>
This is a fake website pretending to be <ORGANIZATION_NAME> website
with the intent of committing fraud against the organization and/or
its users. The organization's legitimate website is:
<URL_OFFICIAL>
This fraud also uses some subterfuges to modify the name resolution to
misdirect users to the fake page (pharming attack). Because of this,
it's not always possible to see the page in the browser of unaffected
computers.
In order to access the page, the following options may be used:
1. using the "curl" command:
curl -s -H "Host: <HOSTNAME_OFFICIAL>" <URL_PHISHING>
curl versions are available at:
https://curl.se/download.html
and also via official repository of several operating system
distributions.
2. editing the "hosts" file adding the follow line:
<IP> <HOSTNAME_OFFICIAL>
and accessing the site as:
<URL_OFFICIAL>
Please, don't forget to remove the line added to the "hosts" file
after checking the phishing site.
3. changing your browser proxy configuration:
Set your proxy configuration to:
server: <IP>
port: <PORT_PHISHING>
and access the site as:
<URL_OFFICIAL>
Please, don't forget to remove the browser proxy configuration
after checking the phishing site.
We kindly ask your cooperation, according to your policies:
* to cease this activity and shut down the phishing page;
* to send us any logs or other information regarding the access to
this homepage;
* to send us the phishing website files;
* also, if in the course of your analysis you can determine where
the collected data is being sent to, please send us this
information. It could help us in our analysis.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
Modelo de notificação para casos de servidor de e-mail enviando phishing scam, a partir de IPs no Brasil.
Se após análise do cabeçalho da mensagem ficar evidente a conta de e-mail utilizada para envio, pode-se acrescentá-la às informações da notificação, pois pode ajudar a identificar uma conta de usuário ou máquina comprometida.
Entretanto, é importante salientar que identificar a conta do remetente apenas pelo campo "From:" da mensagem não é evidência suficiente, pois tal campo pode ser facilmente forjado, a menos que seja possível validá-lo, por exemplo, pela verificação de assinatura DKIM.
Arquivo do Modelo: phishing-scam-pt-br.txt
Subject: <HOSTNAME> -> <IP> enviando e-mail phishing.
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você recebeu esta mensagem porque é o contato da rede citada abaixo no
WHOIS/RDAP. Esta mensagem é destinada ao responsável pela segurança de
sua rede e, se este não for o endereço correto, por favor encaminhe-a
ao destinatário apropriado.
Usuários de nossa rede receberam mensagens de phishing enviadas a
partir do seguinte servidor de e-mail sob sua responsabilidade:
Endereço: <IP>
Servidor: <HOSTNAME>
A mensagem falsa tenta fazer o leitor acreditar que foi enviada
pelo(a) <ORGANIZATION_NAME> e tem o propósito de cometer fraude contra
a instituição e/ou seus usuários.
Ao final desta mensagem anexamos o e-mail original, incluindo
cabeçalhos, para sua análise.
Pode tratar-se de:
* uma conta de usuário comprometida (senha conhecida pelo atacante)
sendo abusada para envio de phishing;
* um servidor de e-mail configurado como "open relay", permitindo
envio de mensagens por terceiros, externos à sua rede;
* um servidor ou dispositivo de usuário infectado com malware para
envio de phishing;
* algum sistema Web, com capacidade de envio de e-mail (ex:
formulário em página Web), sendo abusado;
* algum usuário legítimo envolvido em atividades que, provavelmente,
são contrárias à sua política de uso aceitável da rede.
Em qualquer um dos casos pedimos sua colaboração na análise e solução
deste incidente.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
##################################################################
## MENSAGEM com CABEÇALHOS
Modelo de notificação para casos de servidor de e-mail enviando phishing scam, a partir de IPs no exterior.
Se após análise do cabeçalho da mensagem ficar evidente a conta de e-mail utilizada para envio, pode-se acrescentá-la às informações da notificação, pois pode ajudar a identificar uma conta de usuário ou máquina comprometida.
Entretanto, é importante salientar que identificar a conta do remetente apenas pelo campo "From:" da mensagem não é evidência suficiente, pois tal campo pode ser facilmente forjado, a menos que seja possível validá-lo, por exemplo, pela verificação de assinatura DKIM.
Arquivo do Modelo: phishing-scam-en-us.txt
Subject: <HOSTNAME> -> <IP> sending phishing scam.
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You have received this message because you are the WHOIS/RDAP contact
for the network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
Users of our network have received phishing messages sent from the
following e-mail server:
IP: <IP>
Server: <HOSTNAME>
The fake message tries to make the reader believe that it was sent by
<ORGANIZATION_NAME> for the purpose of committing fraud against the
institution and/or its users.
At the end of this message we have attached the original e-mail
including headers to facilitate your analysis.
Possible causes are:
* a compromised user account (password known by the attacker) being
abused to send phishing;
* an e-mail server configured as an "open relay", allowing third
parties external to your network to send messages;
* a server or user device infected with malware to send phishing;
* a Web system with e-mail sending capability (e.g. form on Web
page), being abused;
* a legitimate user is engaged in activity that is probably in
violation of your Terms of Service.
In any case, we kindly request you to look into the matter.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
##################################################################
## MESSAGE with HEADERS
Modelo de notificação para casos de servidor de comando e controle de trojan de acesso remoto (RAT), ativo em IPs de redes no Brasil.
Se, após análise dos logs, estiver disponível a informação do nome do servidor (HOSTNAME), pode-se acrescentá-la ao conjunto de dados da notificação.
Arquivo do Modelo: cc-rat-pt-br.txt
Subject: Comando e Controle de RAT em <IP>.
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você recebeu esta mensagem porque é o contato da rede citada abaixo no
WHOIS/RDAP. Esta mensagem é destinada ao responsável pela segurança de
sua rede e, se este não for o endereço correto, por favor encaminhe-a
ao destinatário apropriado.
Nossas análises indicam um servidor de comando e controle (C&C) de
trojan de acesso remoto (RAT) ativo em sua rede:
Endereço IP: <IP>
Porta/Protocolo: <PORT>/<PROTOCOL>
Servidores de comando e controle (C&C) são ferramentas utilizadas por
criminosos para controlar remotamente dispositivos infectados com
trojan de acesso remoto (RAT), normalmente com propósito de coletar
informações sensíveis, de maneira interativa (ex: durante atividade do
usuário em sessão de Internet Banking).
IMPORTANTE: a tentativa simples de conexão ao IP e porta acima citados
pode não resultar em qualquer mensagem pois tais servidores são, em
geral, programados para responder somente a comandos específicos e
parâmetros pré-determinados.
Ao final desta mensagem anexamos partes de nossos logs para facilitar
a análise. Trata-se de tráfego de rede capturado durante interações
entre o C&C e a máquina controlada. Os horários estão em UTC<TIMEZONE>.
Pode tratar-se de:
* uma máquina em sua rede que foi comprometida e está sendo abusada
por invasores, ou;
* algum usuário legítimo envolvido em atividades que, provavelmente,
são contrárias à sua política de uso aceitável da rede.
Em qualquer um dos casos pedimos sua colaboração para:
* análise e solução deste incidente, a fim de cessar as atividades
maliciosas deste servidor;
* se possível, de acordo com suas políticas, nos enviar quaisquer
logs ou outras informações armazenadas no servidor, relacionadas
à nossa instituição. Tais informações podem ser de grande valia
em nossas análises.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
##################################################################
## LOGs em UTC<TIMEZONE>
Modelo de notificação para casos de servidor de comando e controle de trojan de acesso remoto (RAT), ativo em IPs de redes no exterior.
Se, após análise dos logs, estiver disponível a informação do nome do servidor (HOSTNAME), pode-se acrescentá-la ao conjunto de dados da notificação.
Arquivo do Modelo: cc-rat-en-us.txt
Subject: RAT command and control server active on <IP>
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You have received this message because you are the WHOIS/RDAP contact
for the network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
Our logs indicate a remote access Trojan (RAT) command and control
(C&C) server active on your network:
IP Address: <IP>
Port/Protocol: <PORT>/<PROTOCOL>
Command and control servers (C&C) are tools used by criminals to
remotely control devices infected with RATs, in order to interactively
collect sensitive information (e.g. during user activity on Internet
Banking).
IMPORTANT: a simple attempt to connect to the aforementioned IP and
port may not result in any message because these servers are generally
programmed to respond only to specific commands and predetermined
parameters.
At the end of this message we have attached partial logs in order to
facilitate your analysis. This is network traffic captured during
interactions between the C&C and controlled machine. All times are
UTC<TIMEZONE>.
Either:
* a machine in your network has been compromised and is being abused
by intruders, or;
* a legitimate user is engaged in activity that is probably in
violation of your Terms of Service.
In either case, we kindly ask your cooperation, according to your
policies:
* to solve this incident in order to cease the malicious activities
from this server, and;
* to send us any logs or information stored in this server related
to our institution. Such information may be of great value in our
analysis.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
##################################################################
## LOGs - all times are UTC<TIMEZONE>
Segue abaixo uma lista de referências que subsidiaram a escrita deste documento e que são recomendadas como leitura complementar.
Gostaríamos de agradecer a Lucimara Desiderá pelo desenvolvimento da versão inicial e subsequentes atualizações deste documento, e a Cristine Hoepers, Klaus Steding-Jessen, Luiz Eduardo R. Cordeiro, Miriam von Zuben e Renato Otranto Jr. pela revisão e por sugestões para o desenvolvimento deste documento.
$Date: 2022/04/04 18:08:00 $