Recomendações para Notificações de Incidentes de Segurança
Autor: CERT.br
Versão: 1.1 — 20/04/2016
Modelos para download: [Português] [Inglês]
Sumário
- 1. Importância da notificação de incidentes de segurança
- 2. O que notificar
- 3. A quem notificar
- 4. Buscando contatos
- 5. Formas e formato de notificar
- 6. O que incluir na notificação
- 7. Exemplos de consultas WHOIS
- 8. Modelos de notificações
- 8.1 Modelos para download
- 8.2 Licença de uso dos modelos de notificações
- 8.3 Descrição das variáveis de texto
- 8.4 Desfiguração de página
- 8.5 Domínios utilizados para fraudes
- 8.6 Divulgação de dados pessoais sensíveis
- 8.7 Ataques à rede em geral
- 8.8 Servidor DNS malicioso
- 8.9 DDoS por botnet sem spoofing
- 8.10 Ataque de negação de serviço distribuído com uso de amplificação (DRDoS)
- 8.11 Hospedagem de artefatos maliciosos
- 8.12 Phishing simples ou com geolocalização
- 8.13 Phishing com Pharming
- 8.14 Servidor enviando phishing scam
- 8.15 Servidor de comando e controle de RAT
- 9. Glossário
- 10. Referências
- 11. Agradecimentos
- 12. Histórico de Revisões
1. Importância da notificação de incidentes de segurança
Parte indispensável do processo de tratamento de incidentes, a notificação é uma atividade de grande importância visto que:
- Melhora a capacidade de detecção de incidentes. Muitas instituições descobrem que estão comprometidas apenas quando são notificadas por terceiros1. Notificar incidentes pode ajudar a identificar problemas e prevenir novas ocorrências;
- Contribui para a segurança geral da Internet. Ao notificar uma tentativa de ataque da qual foi vítima, ao invés de apenas mitigá-la, busca-se a solução do problema e demonstra-se comprometimento com questões de segurança;
- Pode ajudar a conter danos e prejuízos. Notificações podem ser instrumentos eficazes na mitigação de incidentes e na contenção dos prejuízos, como por exemplo, em casos de fraudes;
- Permite gerar estatísticas, correlacionar dados e identificar tendências que ajudarão a elaborar recomendações e materiais de apoio, a orientar campanhas pela adoção de boas práticas e a estabelecer ações em cooperação.
Este documento tem por objetivo reunir boas práticas para a notificação de incidentes de segurança em computadores e redes, visando sua eficácia.
(1) De acordo com o relatório da Mandiant "M-Trends® 2015: A View from the Frontlines", 69% das instituições vítimas de comprometimento souberam do problema por meio de notificação recebida de entidade externa.[ voltar ]
2. O que notificar
Devem ser notificados eventos adversos relacionados à segurança dos sistemas de computação ou das redes de computadores, em desrespeito à política de segurança ou à política de uso aceitável da organização, como por exemplo:
- tentativas, com ou sem sucesso, de ganhar acesso não autorizado a um sistema ou a seus dados (ex: varreduras, ataques de força bruta SSH);
- interrupção indesejada de serviço (ex: ataque de negação de serviço);
- uso não autorizado de um sistema (ex: site comprometido hospedando páginas de phishing, propagando malware ou infectado com bot para ataque a terceiros/envio de spam);
- modificações em um sistema sem o conhecimento ou consentimento prévio de seu dono (ex: desfiguração de página);
- sistemas desatualizados ou incorretamente configurados, permitindo abuso (ex: DNS recursivo aberto, NTP permitindo amplificação);
- uso abusivo, em desrespeito à política de uso aceitável do provedor de serviço (ex: contratação de sistema em nuvem para uso malicioso).
3. A quem notificar
Enviar a notificação aos contatos apropriados é fundamental para não retardar seu processamento ou, ainda pior, seu descarte. A seleção criteriosa dos contatos é igualmente importante a fim de evitar que a notificação seja remetida ao próprio atacante ou fraudador, para não alertá-lo.
De maneira geral, devem ser notificados os responsáveis pelo equipamento que originou a atividade maliciosa e também os CSIRTs/contatos de abusos das redes envolvidas. Todavia, a escolha dos contatos apropriados pode variar em razão das características do incidente.
Os exemplos abaixo, apesar de não comporem uma lista exaustiva, ilustram a variação de contatos conforme o tipo do incidente:
- Scan de redes, tentativas de ganhar acesso não autorizado, tentativa de exploração de vulnerabilidade para execução de código remoto: utilizar o contato do responsável pela rede e/ou AS do qual o endereço IP, identificado nos logs do ataque, faz parte;
- Página maliciosa em website não malicioso: caso típico de página de phishing ou de página para download/execução de código malicioso, hospedada em website de natureza não maliciosa (ex: sites de notícias, de compras, de entretenimento, de governo, etc), mas que foi comprometido por atacante/fraudador. Utilizar o contato do responsável pela rede e/ou AS da qual o endereço IP do website faz parte e, se disponível, o contato do responsável pelo domínio;
- Página maliciosa em website malicioso: caso típico de página de phishing ou de página para download/execução de código malicioso, hospedada em website de natureza maliciosa, por exemplo, cujo nome do domínio se assemelha ao domínio da instituição referenciada na fraude e, em geral, registrado há pouco tempo. Neste caso NÃO se recomenda utilizar o contato de domínio (da URL da página) pois, provavelmente, é do próprio fraudador. Deve-se utilizar o contato do responsável pela rede e/ou AS do qual o endereço IP do website faz parte e o contato da entidade registradora do domínio (Registrar);
- DNS mal configurado permitindo abuso: caso típico de DNS recursivo aberto. Utilizar o contato do responsável pela rede e/ou AS do qual o IP do DNS faz parte. Se disponível, incluir o contato do administrador do DNS (em geral encontrado no registro SOA do DNS);
- DNS malicioso hospedado em provedor de serviços (rogue DNS) ou DNS comprometido: são dois casos típicos, um em que o fraudador instala servidor malicioso em infraestrutura de terceiros, em geral provedor de serviços de hospedagem ou de nuvem, e outro em que um servidor DNS legítimo é comprometido e sua configuração é adulterada para gerar respostas maliciosas (ex: respostas autoritativas para zonas que não são de sua administração). Em ambos os casos, recomenda-se utilizar o contato do responsável pela rede e/ou AS do qual o IP do DNS faz parte;
- Ataque de negação de serviço (DDoS): dependendo das características do ataque, pode não ser possível identificar e notificar seus responsáveis, de forma que uma análise minuciosa do incidente deve ser conduzida. Duas situações típicas são:
- as evidências permitem identificar os IPs participantes, por exemplo, em ataque direto por bots sem spoofing de endereços. Neste caso notificam-se os responsáveis pelas redes e/ou ASs dos quais os IPs atacantes (bots) fazem parte;
- não é possível a identificação dos IPs que originaram o ataque, por exemplo, em ataque indireto via requisições com endereço adulterado (spoofing) disparadas a serviços abertos/mal configurados, gerando amplificação contra terceiro (alvo do ataque). Recomenda-se notificar os responsáveis pelos computadores que foram abusados para gerar a amplificação, a fim de que corrijam as vulnerabilidades que possibilitaram o abuso pelo atacante (ex: DNS recursivo aberto, NTP permitindo "monlist", SNMP aberto, serviço CHARGEN ativo e aberto, rede permitindo spoofing, etc);
- Vazamento de dados pessoais (PII): caso típico de dados pessoais (ex: endereço e-mail, nomes de familiares, números de documentos, de conta bancária, de cartão de crédito, etc) divulgados na Internet e obtidos a partir de servidores ou redes comprometidos. Dependendo da natureza dos dados divulgados, devem ser notificados os contatos das redes (a rede de onde os dados foram extraídos e a rede na qual os dados foram publicados), os contatos de CSIRTs das demais instituições envolvidas (ex: bancos, operadoras de cartão de crédito, etc) e o contato do domínio do site usado para divulgação dos dados, desde que seja evidente que o domínio não é malicioso.
Em todos os casos, se houver um contato de CSIRT para rede/AS/domínio, este deve ser incluído na notificação, bem como o(s) contato(s) do(s) CSIRT(s) de responsabilidade nacional deve(m) ser incluído(s) em cópia.
Caso algum dos domínios ou redes envolvidos seja brasileiro, mantenha sempre o CERT.br (cert@cert.br) na cópia da mensagem. Reclamações de spam devem ser encaminhadas exclusivamente para o endereço <mail-abuse@cert.br>.
Nos casos de incidentes envolvendo a Administração Pública Federal Brasileira (.gov.br) deve-se incluir também o Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da Administração Pública Federal - CTIR Gov (ctir@ctir.gov.br).
4. Buscando contatos
Não existe uma fonte única de busca para informações de contatos, seja para recursos de números (IP/ASN), de domínios ou de grupos de resposta a incidentes. Seguem abaixo algumas referências relevantes.
4.1 WHOIS
Uma das principais fontes de pesquisa para dados de contatos de redes, domínios, ASs, é o serviço de WHOIS. Não existe uma base de dados única global e, dependendo do cliente WHOIS utilizado, pode ser necessário especificar o servidor WHOIS exato a ser consultado. Algumas ferramentas online podem facilitar a busca e a identificação do servidor WHOIS mantenedor dos registros.
Dos campos de contato disponíveis nos registros WHOIS, o contato "abuse" é quem deve ser notificado. Na ausência do "abuse", o contato técnico é o mais apropriado.
Em virtude da falta de padronização na estrutura de dados do WHOIS, outros campos, até mesmo comentários, podem conter dados relacionados a contatos de segurança/abuso. Informações complementares podem ser encontradas na seção 7 - Exemplos de consultas WHOIS.
Seguem abaixo alguns endereços úteis de serviços de WHOIS:
- Para redes e domínios no Brasil (.br)
- servidor WHOIS: whois.registro.br
- interface Web: https://registro.br/cgi-bin/whois/
- Registros Regionais da Internet (Regional Internet Registries RIRs): são organizações responsáveis pela distribuição e gerenciamento dos recursos de números Internet (IPs e ASNs) para uma determinada região do mundo. Cada RIR possui sua própria base de dados e seu próprio serviço WHOIS para consulta às informações referentes a suas respectivas regiões de serviço.
Para facilitar as consultas, o LACNIC e o APNIC implantaram o serviço Joint Whois, o qual funciona como ponto único de consulta a dados de qualquer RIR. O sistema é essencialmente um "proxy" que encaminha as consultas recebidas para o servidor WHOIS do RIR responsável e retorna a resposta final ao usuário.
Os serviços WHOIS de cada RIR podem ser consultados em:
- AfriNIC (África e partes do oceano Índico)
- servidor WHOIS: whois.afrinic.net
- interface Web: https://www.afrinic.net/services/whois-query
- APNIC (Ásia/Pacífico)
- servidor WHOIS: whois.apnic.net
- Joint Whois: jwhois.apnic.net
- interface Web: https://wq.apnic.net/whois-search/static/search.html
- ARIN (América do Norte e partes do Caribe)
- servidor WHOIS: whois.arin.net
- interface Web: http://whois.arin.net/ui
- LACNIC (América Latina e partes do Caribe)
- servidor WHOIS: whois.lacnic.net (também é Joint Whois)
- interface Web: https://lacnic.net/cgi-bin/lacnic/whois
- RIPE NCC (Europa, Oriente Médio e Ásia Central)
- servidor WHOIS: whois.ripe.net
- interface Web: https://apps.db.ripe.net/search/query.html
- AfriNIC (África e partes do oceano Índico)
- IANA (Internet Assigned Numbers Authority) é o departamento da ICANN responsável pela coordenação do conjunto global de endereços IPs e ASNs e a alocação destes recursos para os RIRs. É também responsável pela delegação dos Top-Level Domains (TLDs).
- servidor WHOIS: whois.iana.org
- interface Web: https://www.iana.org/whois
- Ferramentas para redes conectadas à Internet em todas as regiões:
- Geektools: ferramenta (proxy WHOIS) que permite consultar dados de registro de redes, domínios e ASNs, bem como identificar o servidor de WHOIS específico.
- servidor WHOIS: whois.geektools.com
- interface Web: http://www.geektools.com/whois.php
- Team Cymru: oferece um serviço de mapeamento de IP para ASN e prefixos BGP.
- http://www.team-cymru.org/IP-ASN-mapping.html
- servidor WHOIS: whois.cymru.com e peer.whois.cymru.com
- interface Web: https://asn.cymru.com/
- Merit RADB: prove informações coletadas de todos os Registries que fazem parte do Internet Routing Registry. Os registros coletados fornecem informações sobre a maioria das redes e ASs roteados na Internet.
- servidor WHOIS: whois.radb.net
- interface Web: http://www.radb.net/query/
- Geektools: ferramenta (proxy WHOIS) que permite consultar dados de registro de redes, domínios e ASNs, bem como identificar o servidor de WHOIS específico.
É comum que as bases de WHOIS contenham dados defasados, visto que depende de cada instituição manter seu próprio registro atualizado. Por conseguinte, é também comum que os CSIRTs recebam respostas à notificações enviadas, informando que o contato referente a tal rede ou domínio mudou. Nestes casos, recomenda-se orientar a instituição para que promova a atualização dos dados de contatos junto à entidade que mantém seus registros e dados de WHOIS.
Exemplos de buscas em bases de dados WHOIS podem ser encontradas na seção 7 - Exemplos de consultas WHOIS.
Um novo padrão, denominado Registration Data Access Protocol (RDAP), foi publicado pelo IETF em Março de 2015 e encontra-se em estágio experimental de implantação.
O novo padrão visa corrigir várias deficiências do WHOIS tradicional, tratando questões como:
- padronização no formato de requisições e respostas;
- suporte a caracteres especiais e internacionalização;
- capacidade de redireção;
- suporte a segurança (autenticação, autorização, confidencialidade).
O RDAP utiliza o protocolo HTTP para submissão das consultas e as respostas são estruturadas em formato JSON. Detalhes sobre as especificações do protocolo podem ser encontradas nas RFCs 7480, 7481, 7482, 7483 e 7484.
4.2 CSIRTs
Algumas fontes de consulta para contatos de CSIRTs são:
- contatos de CSIRTs brasileiros:
https://www.cert.br/csirts/brasil/ - contatos de CSIRTs mundiais:
- CSIRTs com responsabilidade nacional:
http://www.cert.org/incident-management/national-csirts/national-csirts.cfm - CSIRTs membros do FIRST (Forum of Incident Response and Security Teams):
http://www.first.org/about/organization/teams/ - CSIRTs da América Latina:
http://www.lacnic.net/web/lacnic/csirts/ - CSIRTs Europeus:
https://www.trusted-introducer.org/directory/ - CSIRTs da Ásia e Oceania membros do APCERT:
http://www.apcert.org/about/structure/members.html
- CSIRTs com responsabilidade nacional:
4.3 Top-Level Domains (TLDs)
Para contatos relacionados aos Top-Level Domains (TLDs), e em especial para os novos gTLDs registrados a partir de 2012, pode-se pesquisar informações via a página da IANA:
Para cada um dos domínios listados na página, é possível verificar dados da delegação do domínio, tais como organização responsável, contato administrativo, contato técnico e, em "Registry Information", pode-se obter outros dados de contato bem como informações sobre o servidor WHOIS.
Em geral, os novos gTLDs possuem também uma página com informações para contato cujo endereço segue o formato padrão http://nic.gTLD. Por exemplo: para o gTLD .rio, a página é http://nic.rio.
Todos os novos gTLDs devem ter uma política para tratamento de abuso definida em seu documento de Política de Registro, que especifique canais de atendimento eletrônicos e postais.
4.4 Criando e mantendo base de contatos própria
É importante que os CSIRTs criem e atualizem continuamente sua própria base de dados à medida que forem tomando conhecimento de contatos mais apropriados àqueles indicados nas bases WHOIS, especialmente para instituições relevantes em seu dia-a-dia de notificações.
Com a evolução, a base própria tende a se tornar a primeira fonte de consulta do CSIRT, embora certamente não será a única visto que não há como ser exaustiva.
Dados para alimentar a base própria podem ser obtidos, por exemplo, a partir de:
- consulta a um CSIRT conhecido ou fórum de CSIRTs (ex: FIRST);
- resposta recebida à notificação enviada e que foi encaminhada ao contato/grupo responsável;
- notificação recebida anteriormente;
- networking em reuniões, conferências e treinamentos;
- filiação à instituições/grupos de combate a abusos (ex: APWG, M3AAWG, etc).
Algumas considerações importantes sobre a base própria:
- incluir somente dados confiáveis, relevantes e previamente verificados;
- estabelecer uma rotina periódica para verificação que contemple:
- adição de novos contatos;
- atualização de contatos existentes, por exemplo, por mudança de funcionário no cargo ou comunicado de mudança de e-mail de um CSIRT/contato de abuso;
- remoção de contatos desatualizados, por exemplo, contato pessoal que mudou de empregador, e-mail retornando erro, etc.
Alternativas para busca de contatos, caso as demais falharem, podem ser:
- Página Web da instituição;
- Perfil oficial da instituição em redes sociais (Ex: Twitter, Facebook, LinkedIn);
- Contato do provedor de conexão (upstream provider).
5. Formas e formato de notificar
Existem diferentes formas para se notificar incidentes, embora algumas sejam mais recomendadas que outras em determinadas situações:
- e-mail: método mais usual e eficaz de envio de notificações. É o mais recomendado para grupos de resposta a incidentes por sua facilidade de automatização, o que permite ganho de escala na submissão de grandes quantidades de incidentes. Demais opções devem ser usadas apenas quando o e-mail não tenha se mostrado efetivo ou não esteja disponível.
Sobre a caixa postal de envio das notificações, recomenda-se que:- no caso de instituições/CSIRTs, utilize endereço de e-mail corporativo e com nome que permita identificação do grupo (ex: não usar contas como root@localhost, test);
- a caixa não seja exclusiva para envio e que permita a interação entre as partes (ex: para esclarecer dúvidas, trocar informações, etc);
- que tenha um endereço "Reply-To" adequadamente configurado.
- formulário Web: método alternativo e mais indicado para notificações por usuários finais, por ser mais interativo;
- telefone: se utilizado como a forma principal de contato para notificações provavelmente será bastante custosa, tanto em termos financeiros como de eficiência do trabalho de tratamento de incidentes. É mais indicado como alternativa para situações complexas ou emergenciais. Ainda assim, recomenda-se o envio dos detalhes sobre o incidente por e-mail.
Para instituições que possuem sistema autônomo (AS), recomenda-se o uso de telefones INOC. INOC-DBA é uma rede VoIP, exclusiva para comunicação entre ASs, na qual as chamadas são feitas usando o número do AS (ASN) seguido de um ramal. Permite estabelecer um canal direto de comunicação (hotline) entre NOCs e CSIRTs dos ASs participantes. No Brasil, adotou-se como padrão "ASN*800" para o telefone dos CSIRTs (ex: usa-se 22548*800 para falar com o CERT.br). Para mais detalhes, veja http://inoc.nic.br/
Quando os canais formais não resultarem em resposta, pode-se buscar métodos alternativos tais como:
- chat;
- redes sociais.
6. O que incluir na notificação
O conteúdo da notificação precisa ser claro, em formato simples e deve incluir as informações necessárias para a rápida e correta identificação do problema e da ação requerida.
É importante também que o campo referente ao "Assunto" (Subject) do e-mail contenha uma descrição clara e sucinta sobre o conteúdo da notificação.
Sobre o formato da notificação, recomenda-se:
- utilizar formato texto. Formatos como .pdf, .doc, .html .xls, .zip, .png, .jpg, .gif, entre outros, dificultam a leitura direta e também o processamento automatizado dos dados;
- incluir uma linha em branco entre os parágrafos para facilitar a leitura;
- evitar linhas longas. Recomenda-se entre 70 e 80 caracteres por linha;
- utilizar criptografia na mensagem se houver necessidade de encaminhar informações sigilosas/evidências (ex: arquivo com dados pessoais como números de contas, de cartões de créditos e senhas, obtidos por site de fraude).
Sobre o teor da notificação, são dados essenciais a serem incluídos:
- logs completos que evidenciem a atividade maliciosa (ex: logs de redes, de sistemas, de servidor Web, mensagem de e-mail, etc);
- informação de data, horário e time zone dos logs ou da ocorrência da atividade sendo notificada;
- qualquer outra informação que tenha sido utilizada para identificar a atividade maliciosa.
É de extrema importância que o horário de servidores e equipamentos de redes estejam sincronizados com uma fonte confiável de tempo (ex: via protocolo NTP) para que não haja disparidades na correlação de eventos, logs e outros dados.
Ainda sobre o teor da notificação, recomenda-se:
- sanitizar dados sigilosos ou que não sejam essenciais à identificação do incidente tais como dados pessoais (PII), IPs/redes e nomes de máquinas do destino/alvo;
- evitar mensagem de caráter jurídico, acusatório ou retaliativo visto que afasta a possibilidade de ação colaborativa e diminui a chance de resposta.
Um modelo genérico de notificação pode ser:
- Saudação;
- Apresentação breve da entidade que está enviando a notificação;
- Descrição do problema, incluindo:
- explicação concisa;
- evidências da ocorrência (logs completos, incluindo data, hora e time zone);
- Informações complementares que possam trazer mais esclarecimentos sobre o problema;
- Descrição da ação esperada;
- Agradecimento;
- Assinatura sucinta.
A seção 8 - Modelos de notificações traz sugestões de modelos para diversos tipos de notificações, tanto em língua portuguesa como inglesa.
Em caso de comunicação subsequente, relativa a uma notificação, recomenda-se:
- responder ao e-mail usando sempre a opção "Reply All"
- manter o histórico das mensagens trocadas
- não modificar o "Subject" da mensagem
- não remover identificador gerado por algum sistema de controle de chamados (ticket)
visando preservar o contexto e facilitar o trabalho de tratamento dos incidentes.
7. Exemplos de consultas WHOIS
Apesar de a maioria dos serviços WHOIS oferecerem interface Web para consulta, esta forma de pesquisa pode não ser a mais adequada quando se deseja automatizar a busca, por exemplo, através de scripts. Neste caso, o cliente via linha de comando pode ser mais vantajoso.
Em geral, sistemas baseados em UNIX, Linux e BSD já possuem o software cliente instalado por padrão, ao passo que sistemas Windows requerem instalação adicional, por exemplo, do software whois disponível no pacote Windows Sysinternals. Uma opção, disponível para vários sistemas, inclusive Windows, é o GNU "jwhois", que permite usar um arquivo de configuração para otimização das buscas.
Algumas considerações para utilização do serviço WHOIS:
- serviço WHOIS padrão utiliza a porta TCP/43. A máquina que for realizar as consultas requer acesso de saída a qualquer endereço da Internet na porta TCP/43;
- a grande maioria dos serviços de WHOIS limita a quantidade de consultas em função da origem. Ao implantar mecanismos automatizados para múltiplas consultas, é recomendado considerar alternativas como:
- identificar o RIR correto antes de fazer a consulta, por exemplo via estatísticas de alocação de IPs dos RIRs. Estatísticas de todos os RIRs, atualizadas diariamente, podem ser obtidas em: ftp://ftp.lacnic.net/pub/stats/
- implementar distribuição temporal das consultas, respeitando os limites definidos nos termos de uso do serviço.
- não existe padrão para a estrutura dos dados e nem para interface de consulta das bases WHOIS. Deve-se ficar atento para mensagens exibidas em linhas de comentários ou em campos "remarks" pois costumam exibir informações pertinentes tais como:
- parâmetros para uso da interface;
- contato e forma de notificar abusos.
Devido à falta de padronização dos objetos/campos das bases WHOIS, é possível encontrar endereço de contato de abusos em objetos/campos diversos, tais como:
- abuse-c / e-mail
- Comment
- remarks
- % Abuse contact for
- OrgAbuseEmail
- abuse-mailbox
- irt / irt-nfy
- irt / abuse-mailbox
onde IRT significa "Incident Response Team".
Nos exemplos a seguir serão empregados, sempre que possível, números e nomes especialmente reservados para fins de documentação conforme descrito nas RFCs 2606, 3849, 5398 e 5737. Quando forem exibidos resultados de buscas referenciando entidades terceiras não fictícias, os dados serão sanitizados. As consultas dos exemplos foram realizadas no sistema operacional Ubuntu 14.04 LTS, utilizando o software cliente whois versão 5.1.1.
7.1 Pesquisa por IP sem determinação do servidor WHOIS
Ao não determinar o servidor específico para a busca, o resultado retornado pode variar em função do software cliente utilizado. Há clientes que possuem mecanismos de busca recursiva, que usam parâmetros de arquivo de configuração e outros que possuem alguma "inteligência" para identificação do servidor adequado. Recomenda-se ter mais de um software cliente disponível caso algum deles não consiga efetivar a pesquisa de forma satisfatória.
$ whois 192.0.2.1
[...]
NetRange: 192.0.2.0 - 192.0.2.255
CIDR: 192.0.2.0/24
NetName: TEST-NET-1
NetHandle: NET-192-0-2-0-1
Parent: NET192 (NET-192-0-0-0-0)
NetType: IANA Special Use
OriginAS:
Organization: Internet Assigned Numbers Authority (IANA)
RegDate: 2009-06-29
Updated: 2013-08-30
Comment: Addresses starting with "192.0.2.", "198.51.100.", or
"203.0.113 ." are reserved for use in documentation
and sample configurations. They should never be used
in a live network configuration. No one has
permission to use these addresses on the Internet.
[...]
OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: ICANN
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org
OrgAbuseRef: http://whois.arin.net/rest/poc/IANA-IP-ARIN
Neste caso, os campos iniciados com "OrgAbuse" identificam os dados de contato de abuso.
7.2 Pesquisa por IP selecionando o servidor WHOIS
Eventualmente, o software cliente pode não ser capaz de identificar o servidor WHOIS adequado para a consulta. Será então necessário tentar manualmente diferentes servidores. Alternativas para se iniciar a busca são:
- whois da IANA: em geral indicará o RIR para o qual o endereço foi alocado e o respectivo servidor whois;
- whois dos RIRs: pode-se tentar um a um até encontrar o correto, ou um proxy Joint Whois (LACNIC ou APNIC).
No exemplo abaixo, a pesquisa será direcionada ao servidor do LACNIC usando-se a opção "-h" (host):
$ whois -h whois.lacnic.net 2001:DB8::1 % Joint Whois - whois.lacnic.net % This server accepts single ASN, IPv4 or IPv6 queries % [whois.apnic.net] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html % Information related to '2001:0DB8::/32' inet6num: 2001:0DB8::/32 netname: IPV6-DOC-AP descr: IPv6 prefix for documentation purpose country: AP admin-c: HM20-AP tech-c: HM20-AP status: ALLOCATED PORTABLE remarks: This address range is to be used for documentation remarks: purpose only. For more information please see remarks: http://www.apnic.net/info/faq/ipv6-documentation-prefix-faq.html [...] role: APNIC Hostmaster address: 6 Cordelia Street address: South Brisbane address: QLD 4101 country: AU [...] e-mail: helpdesk@apnic.net [...] nic-hdl: HM20-AP remarks: Administrator for APNIC
Como não há identificador para contato "abuse", então utiliza-se o contato técnico, HM20-AP.
7.3 Pesquisa por nome de domínio
$ whois example.org Domain Name:EXAMPLE.ORG Domain ID: D2328855-LROR Creation Date: 1995-08-31T04:00:00Z Updated Date: 2010-07-27T20:57:51Z Registry Expiry Date: 2010-08-30T04:00:00Z Sponsoring Registrar:Internet Assigned Numbers Authority (IANA) (R193-LROR) Sponsoring Registrar IANA ID: 376 WHOIS Server: Referral URL: [...] Tech ID:IANA Tech Name:Internet Assigned Numbers Authority Tech Organization:Internet Assigned Numbers Authority (IANA) [...] Tech Email:res-dom@iana.org [...]
Como não existe contato de abuso, utilizar o e-mail do contato técnico.
7.4 Mapeamento de IP para ASN e busca por ASN
Pode ser que se queira saber se um IP faz parte de um AS (ex: para agrupar um conjunto de notificações por ASN). Entretanto, nem todos os serviços de WHOIS identificam se um determinado IP está associado a um AS. Uma alternativa é utilizar o serviço de WHOIS do Team Cymru que além de fazer o mapeamento de IP para ASN, identifica o RIR e o "country code" do respectivo IP/AS.
$ whois -h whois.cymru.com " -v 2001:12ff:0:4::6" AS | IP | BGP Prefix | CC | Registry | Allocated | AS Name 22548 | 2001:12ff:0:4::6 | 2001:12ff::/32 | BR | lacnic | 2007-12-19 | Núcleo de Inf. e Coord. do Ponto BR - NIC.BR,BR
Ao se obter o ASN e o respectivo RIR, pode-se fazer outra pesquisa WHOIS para se obter os contatos:
$ whois -h whois.lacnic.net AS22548 % Joint Whois - whois.lacnic.net % This server accepts single ASN, IPv4 or IPv6 queries % Brazilian resource: whois.registro.br % Copyright (c) Nic.br % The use of the data below is only permitted as described in % full by the terms of use at http://registro.br/termo/en.html , % being prohibited its distribution, comercialization or % reproduction, in particular, to use it for advertising or % any similar purpose. % 2015-05-08 19:39:03 (BRT -03:00) aut-num: AS22548 owner: Núcleo de Inf. e Coord. do Ponto BR - NIC.BR ownerid: 005.506.560/0001-36 responsible: Demi Getschko country: BR owner-c: FAN routing-c: FAN abuse-c: FAN created: 20011016 changed: 20130306 inetnum: 200.160.0/20 inetnum: 2001:12ff::/32 as-in: from AS3549 100 accept ANY as-in: from AS16735 100 accept ANY as-out: to AS3549 announce AS22548 as-out: to AS16735 announce AS22548 nic-hdl-br: FAN person: Frederico Augusto de Carvalho Neves e-mail: fneves@registro.br created: 19971217 changed: 20140703 % Security and mail abuse issues should also be addressed to % cert.br, http://www.cert.br/, respectivelly to cert@cert.br % and mail-abuse@cert.br % % whois.registro.br accepts only direct match queries. Types % of queries are: domain (.br), registrant (tax ID), ticket, % provider, contact handle (ID), CIDR block, IP and ASN.
Neste caso, o contato de abuso pode ser localizado através do identificador "abuse-c:" e nos comentários há indicação de contato adicional a ser incluído em cópia nas notificações.
7.5 Exemplos de indicação de contato de abuso em campos diversos
Os exemplos abaixo ilustram o uso de campos diversos para informar contatos de abuso e formas de notificação. As informações foram obtidas a partir de consultas WHOIS a redes efetivamente em uso, porém menções a nomes, números, domínios e endereços de e-mail foram sanitizadas ou omitidas.
7.5.1 Campo "Comment"
------------------------------------------ Comment: *** The IP addresses under this netblock are in use by Comment: EXAMPLE customers *** Comment: Comment: Please direct all abuse and legal complaints regarding Comment: these addresses to the EXAMPLE Abuse desk Comment: (compliance@example.com). Complaints sent to Comment: any other POC will be ignored. ------------------------------------------ ------------------------------------------ Comment: To report suspected security issues specific to Comment: traffic emanating from EXAMPLE online services, Comment: including the distribution of malicious content or Comment: other illicit or illegal material through a EXAMPLE Comment: online service, please submit reports to: Comment: * https://cert.example.com Comment: Comment: For SPAM and other abuse issues, such as EXAMPLE Comment: Accounts, please contact: Comment: * abuse@example.com Comment: Comment: To report security vulnerabilities in EXAMPLE products Comment: and services, please contact: Comment: * secure@example.com ------------------------------------------ ------------------------------------------ Comment: The activity you have detected originates from a Comment: dynamic hosting environment. Comment: For fastest response, please submit abuse reports at Comment: http://example.com/.../EXEAbuse [...] Comment: All reports MUST include: Comment: * src IP Comment: * dest IP (your IP) Comment: * dest port Comment: * Accurate date/timestamp and timezone of activity Comment: * Intensity/frequency (short log extracts) Comment: * Your contact details (phone and email) Without these Comment: we will be unable to identify the correct owner of the Comment: IP address at that point in time. ------------------------------------------
7.5.2 Campo "remarks" e "% Abuse contact for"
------------------------------------------ % Abuse contact for '109.xxx.yyy.0 - 109.xxx.yyy.255' is 'abuse@example.net' [...] remarks: trouble: +--------------------------------------------------- remarks: trouble: | Abuse and Spam issues: abuse@example.net | remarks: trouble: | * IN CASE OF HACK ATTACKS ILLEGAL ACTIVITY, | remarks: trouble: | * VIOLATION, SCANS, PROBES, SPAM, ETC. * | remarks: trouble: | DNS issues: hostmaster@example.net | remarks: trouble: +--------------------------------------------------- remarks: 24x7 @ +1234567890 ------------------------------------------ ------------------------------------------ remarks: Federal Higher education remarks: Security issues should be adressed to Fulano de Tal, remarks: email: fulano@exemplo.br, phone: +1234567890 ------------------------------------------ ------------------------------------------ remarks: Email address for spam or abuse complaints : abuse@example.com ------------------------------------------ ------------------------------------------ remarks: ************************************************* remarks: * For spam/abuse/security issues please contact * remarks: * abuse@example.com, not this address. * remarks: * The contents of your abuse email will be * remarks: * forwarded directly on to our client for * remarks: * handling. * remarks: ************************************************* ------------------------------------------
7.5.3 Objeto "irt"
irt: IRT-EXAMPLE [...] abuse-mailbox: cert@example.nl signature: PGPKEY-A1B2C3D4 encryption: PGPKEY-A1B2C3D4 [...] irt-nfy: cert@example.nl
8. Modelos de notificações
Os modelos apresentados a seguir foram elaborados para cobrir situações típicas de incidentes de segurança vivenciadas por grupos de resposta a incidentes. Não se trata de uma coletânea completa mas de um conjunto de exemplos que podem ser adaptados para o uso por qualquer entidade e para uma variedade de outros incidentes.
Nas seções a seguir há uma descrição detalhada de cada um dos modelos, bem como são listados os tipos de incidentes que se enquadram em cada modelo de notificação.
8.1 Modelos para download
Para facilitar a integração com sistemas de acompanhamento e notificação de incidentes, os modelos também estão disponíveis em arquivos .txt nos idiomas português (pt-br) e inglês (en-us). Estes modelos estão todos disponíveis para download, compactados em arquivos .zip, conforme o idioma:
- Modelos em Português: certbr-templates-pt-br.zip
- Modelos em Inglês: certbr-templates-en-us.zip
Para facilitar a utilização em diversos sistemas operacionais, foram incluídos nos .zips, arquivos .txt convertidos para suportar diferentes delimitadores de linha (LF para Unix e CRLF para Windows) e distintas codificações, Latin1 (ISO-8859-1), UTF-8, UTF-16LE e ASCII.
Ao descompactar o arquivo .zip, será obtida uma estrutura de diretórios semelhante à descrita abaixo:
diretorio-base
|_ idioma
|_ sistema-operacional-1
|_ codificacao-1
...
|_ codificacao-n
|_ sistema-operacional-2
|_ codificacao-1
...
|_ codificacao-n
sendo que as codificações disponíveis variam conforme o idioma e o sistema operacional.
Dentro de cada .zip há um arquivo chamado README (ASCII) com detalhes acerca de seu conteúdo.
8.2 Licença de uso dos modelos de notificações
Os modelos de notificações de incidentes são disponibilizados pelo CERT.br sob a licença Creative Commons Atribuição-NãoComercial-CompartilhaIgual 4.0 Internacional (CC BY-NC-SA 4.0).
Você tem o direito de:
- Compartilhar - copiar e redistribuir o material em qualquer suporte ou formato
- Adaptar - remixar, transformar, e criar a partir do material
O licenciante não pode revogar estes direitos desde que você respeite os termos da licença.
De acordo com os termos seguintes:
- Atribuição - Você deve dar o crédito apropriado, prover um link para a licença e indicar se mudanças foram feitas. Você deve fazê-lo em qualquer circunstância razoável, mas de maneira alguma que sugira ao licenciante a apoiar você ou o seu uso.
- NãoComercial - Você não pode usar o material para fins comerciais (um uso comercial é um uso primeiramente dirigido à obtenção de uma vantagem comercial ou compensação monetária).
- CompartilhaIgual - Se você remixar, transformar, ou criar a partir do material, tem de distribuir as suas contribuições sob a mesma licença que o original.
Mais detalhes sobre esta licença de uso dos Modelos estão disponíveis em: https://creativecommons.org/licenses/by-nc-sa/4.0/deed.pt_BR
8.3 Descrição das variáveis de texto
As variáveis de texto (placeholders) são representações de informações necessárias nos modelos. Elas devem ser substituídas pelo seu conteúdo correspondente em cada notificação a ser enviada. Seguem as descrições para as variáveis de texto empregadas nos modelos:
Variável Descrição
<ATTACK_TYPE> Descrição do ataque sendo notificado.
<ORGANIZATION_DESCRIPTION> Breve descritivo da instituição
que está enviando a notificação.
<ORGANIZATION_NAME> Nome da instituição que está enviando a
notificação.
<ARTIFACT_DESCRIPTION> Descritivo do artefato malicioso que está
se solicitando a remoção.
<DOMAIN_CONTACT> E-mail do responsável pelo domínio
sendo notificado.
<DOMAIN> Nome do domínio notificado.
<HOSTNAME> Porção da URL que identifica o
nome completo do host (hostname).
Hostname sendo notificado.
<HOSTNAME_OFFICIAL> Hostname da instituição sendo
referenciada na fraude.
<IP> Endereço IP sendo notificado.
<NATIONAL_CSIRT> E-mail de contato do CSIRT nacional
responsável pelo IP / rede.
<NETWORK_CONTACT> E-mail do responsável pela rede
sendo notificada.
<NOTE_GEO> Observação acerca de geolocalização
em páginas de phishing.
<PORT> Porta de conexão/serviço sendo notificada.
<PORT_PHISHING> Porta utilizada na URL do phishing.
<PROTOCOL> Protocolo de comunicação observado em
conexão maliciosa sendo notificada.
<REGISTRAR_CONTACT> E-mail de contato do Registrar
(entidade de registro) responsável
pelo registro do domínio.
<SERVICE_NAME> Nome do serviço explorado para
realização de ataque.
<SIGNATURE> Assinatura de quem está enviando a
notificação.
<TIMEZONE> Fuso horário dos registros dos
logs. Pode ser expresso nos
formatos ±hh:mm, ±hhmm, ou
±hh. UTC "+hhmm" indica que a
data/hora foi expressa em um fuso
horário que é "hh" horas e "mm" à
frente da hora UTC. UTC "-hhmm"
indica que a data/hora foi
expressa em um fuso horário que é
"hh" horas e "mm" atrás da hora UTC.
<URL_ARTIFACT> URL do artefato malicioso.
<URL_DEFACEMENT> URL que sofreu desfiguração.
<URL_OFFICIAL> URL do site oficial da instituição
reclamante da fraude.
<URL_PHISHING> URL do phishing.
<URL_PII> URL onde estão sendo publicados
dados sensíveis de identificação
pessoal.
8.4 Desfiguração de página
Desfiguração de página - Português
Modelo de notificação para casos onde deseja-se informar uma instituição brasileira que seu site foi desfigurado e o conteúdo adulterado permanece acessível.
Arquivo do Modelo: defacement-pt-br.txt Subject: Desfiguracao de pagina <HOSTNAME>. To: <NETWORK_CONTACT>, <DOMAIN_CONTACT> Cc: cert@cert.br Caro responsável, Somos o grupo de tratamento de incidentes de segurança da <ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>. Você está recebendo esta mensagem porque está listado na base WHOIS como contato da rede e/ou do domínio citados abaixo. Esta mensagem é destinada ao responsável pela segurança de sua rede e, se este não for o endereço correto, por favor encaminhe-a ao destinatário apropriado. Informamos que o endereço abaixo teve sua página desfigurada e que o conteúdo alterado permanece online: <URL_DEFACEMENT> Pedimos sua colaboração na análise e solução deste incidente. Recomendamos também que as vulnerabilidades que permitiram esse ataque sejam identificadas e corrigidas. Agradecemos desde já e solicitamos que, se possível, uma resposta nos seja enviada confirmando o recebimento desta mensagem. Atenciosamente, <SIGNATURE>
Desfiguração de página - Inglês
Modelo de notificação para casos onde deseja-se informar uma instituição estrangeira que seu site foi desfigurado e o conteúdo adulterado permanece acessível.
Arquivo do Modelo: defacement-en-us.txt Subject: Website defacement <HOSTNAME> To: <NETWORK_CONTACT>, <DOMAIN_CONTACT> Cc: <NATIONAL_CSIRT>, cert@cert.br Dear Sir/Madam, We are the computer security incident response team for <ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>. You've received this message because you are the WHOIS contact for the network and/or domain mentioned below. This message is intended for the person responsible for computer security at your site. If this is not the correct address, please forward this message to the appropriate party. We have noticed that the web page below has been defaced and the modified page remains online: <URL_DEFACEMENT> We kindly request you to look into the matter. We also recommend finding and mitigating the vulnerabilities that let the attack succeed. Thanks in advance. We would also appreciate a reply that this message has been received. Best regards, <SIGNATURE>
8.5 Domínios utilizados para fraudes
Domínios utilizados para fraudes - Português
Modelo de notificação e solicitação de verificação de domínios brasileiros usados para prática de fraudes contra instituições brasileiras e/ou seus usuários, como por exemplo, quando o nome do domínio é similar ao da instituição referenciada na fraude e está associado a conteúdo fraudulento.
Para domínios .br, os casos podem ser notificados diretamente ao Registro.br (hostmaster@registro.br), mantendo o CERT.br em cópia.
Para novos gTLDs (registrados a partir de 2012), deve-se localizar a instituição responsável e o contato adequado para abusos, conforme indicado na seção 4.3 - Top-Level Domains (TLDs).
É importante salientar que as entidades registradoras de domínios (Registrars e Registries) só tem capacidade de sanção contra domínios que estejam desrespeitando cláusulas contratuais, ou por ordem judicial. Se o procedimento para verificação do domínio não constatar violação de contrato, será necessário que a entidade vítima da fraude mova ação judicial contra o dono do domínio fraudulento, a fim de obter ordem judicial para cancelamento do domínio. Este modelo NÃO contempla esta situação.
Arquivo do Modelo: domain-pt-br.txt
Subject: Dominio usado em fraudes (<DOMAIN>)
To: <REGISTRAR_CONTACT>
Cc: cert@cert.br
Cara Entidade Registradora de Domínios,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Identificamos o seguinte domínio sendo utilizado para prática de fraudes:
<DOMAIN>
Este domínio se faz passar pelo domínio da <ORGANIZATION_NAME>, cujo
site oficial é:
<URL_OFFICIAL>
e está associado à páginas fraudulentas, como as destacadas abaixo:
<URL_PHISHING>
Gentilmente solicitamos que o domínio em questão seja verificado e, se
possível, sejam instaurados os procedimentos administrativos cabíveis.
Não hesite em nos contactar caso necessite de mais informações.
Agradecemos desde já,
Atenciosamente,
<SIGNATURE>
Domínios utilizados para fraudes - Inglês
Modelo de notificação e solicitação de verificação de domínios NÃO brasileiros usados para prática de fraudes contra instituições brasileiras e/ou seus usuários, como por exemplo, quando o nome do domínio é similar ao da instituição referenciada na fraude e está associado a conteúdo fraudulento.
Tais casos devem ser notificados diretamente à organização onde o domínio foi registrado (Registrar), mantendo em cópia o CERT.br e o CSIRT Nacional do país de registro.
É importante salientar que as entidades registradoras de domínios (Registrars e Registries) só tem capacidade de sanção contra domínios que estejam desrespeitando cláusulas contratuais, ou por ordem judicial. Se o procedimento para verificação do domínio não constatar violação de contrato, será necessário que a entidade vítima da fraude mova ação judicial contra o dono do domínio fraudulento, a fim de obter ordem judicial para cancelamento do domínio. Este modelo NÃO contempla esta situação.
Arquivo do Modelo: domain-en-us.txt
Subject: Domain used in frauds (<DOMAIN>)
To: <REGISTRAR_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You've received this message because you are the Registrar contact for
the domain mentioned below. This message is intended for the person
responsible for treating abuse cases and if this is not the correct
address, please forward this message to the appropriate party.
We have detected the following domain being used for fraud:
<DOMAIN>
This is a domain pretending to be a <ORGANIZATION_NAME> domain,
whose official website is
<URL_OFFICIAL>
and it is associated with fraudulent pages such as those listed
below:
<URL_PHISHING>
We kindly ask your cooperation to verify this domain and, according to
your policies, take the appropriate measures to cease any
irregularity, if it's the case.
Please let us know if any additional information is required.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
8.6 Divulgação de dados pessoais sensíveis
Divulgação de dados pessoais sensíveis - Português
Modelo de notificação para casos onde dados pessoais sensíveis, indevidamente obtidos, estão sendo divulgados através de site em rede/domínio no Brasil.
Caso seja evidente que o domínio do site usado para a divulgação dos dados não é malicioso e/ou possa estar sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.
Arquivo do Modelo: pii-pt-br.txt
Subject: Dados pessois sensiveis divulgados em seu site <HOSTNAME>
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede e/ou do domínio citados abaixo. Esta mensagem é
destinada ao responsável pela segurança de sua rede e, se este não for
o endereço correto, por favor encaminhe-a ao destinatário apropriado.
Tomamos conhecimento que sua infraestrutura está sendo utilizada para
armazenar e divulgar dados sensíveis de identificação pessoal de
usuários de nossa instituição/cliente.
Estes dados estão acessíveis através do site:
<URL_PII>
<HOSTNAME> com endereço IP <IP>
Solicitamos sua colaboração para que:
* sejam removidos todos os dados armazenados e páginas relacionadas;
* nos sejam enviados quaisquer logs ou outras informações
relacionadas à publicação destes dados, se possível, de acordo com
suas políticas. Tais informações podem ser de grande valia em
nossas análises.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
Divulgação de dados pessoais sensíveis - Inglês
Modelo de notificação para casos onde dados pessoais sensíveis, indevidamente obtidos, estão sendo divulgados através de site em rede/domínio no exterior.
Caso seja evidente que o domínio do site usado para a divulgação dos dados não é malicioso e/ou possa estar sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.
Arquivo do Modelo: pii-en-us.txt
Subject: Sensitive personal information published at your site <HOSTNAME>
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You've received this message because you are the WHOIS contact for the
network and/or domain mentioned below. This message is intended for
the person responsible for computer security at your site. If this is
not the correct address, please forward this message to the
appropriate party.
We have noticed that your infrastructure is being used to store and
publish sensitive personally identifiable information (PII) from our
users/customers.
These data are accessible at:
<URL_PII>
<HOSTNAME> with IP <IP>
We kindly ask your cooperation:
* to delete all stored data and related pages;
* if possible, and according to your policies, sending us any logs
or other information regarding the publication of to this data. It
could help us in our analysis.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
8.7 Ataques à rede em geral
Ataques à rede em geral - Português
Modelo de notificação para casos de ataques de varredura de portas, de força bruta e tentativas de exploração de vulnerabilidades conhecidas, originados a partir de IPs em redes no Brasil.
Neste modelo, o <ATTACK_TYPE> deve ser substituído por um descritivo do tipo de ataque identificado nos logs que serão enviados na notificação. Alguns exemplos de <ATTACK_TYPE> são:
- ataque de varredura de portas;
- ataque de força bruta SSH (22/TCP);
- ataque de força bruta TELNET (23/TCP);
- tentativas de exploração de vulnerabilidades conhecidas em servidores Web.
Arquivo do Modelo: misc-pt-br.txt
Subject: <IP> - maquina realizando atividades maliciosas
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede citada abaixo. Esta mensagem é destinada ao
responsável pela segurança de sua rede e, se este não for o endereço
correto, por favor encaminhe-a ao destinatário apropriado.
Os logs anexados ao final desta mensagem mostram atividades maliciosas
aparentemente partindo de um endereço IP em sua rede. São amostras de
<ATTACK_TYPE>. Os horários estão em UTC<TIMEZONE>.
Pode tratar-se de:
* uma máquina em sua rede que foi comprometida e está sendo usada
como base para ataques, ou;
* algum usuário legítimo envolvido em atividades que, provavelmente,
são contrárias à sua política de uso aceitável da rede.
Em qualquer um dos casos pedimos sua colaboração na análise e solução
deste incidente.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
##################################################################
## LOGs em UTC<TIMEZONE>
Ataques à rede em geral - Inglês
Modelo de notificação para casos de ataques de varredura de portas, de força bruta e tentativas de exploração de vulnerabilidades conhecidas, originados a partir de IPs do exterior.
Neste modelo, o <ATTACK_TYPE> deve ser substituído por um descritivo do tipo de ataque identificado nos logs que serão enviados na notificação. Alguns exemplos de <ATTACK_TYPE> são:
- port scanning attack;
- SSH (22/TCP) brute force attack;
- TELNET (23/TCP) brute force attack;
- attempts to exploit known Web server vulnerabilities.
Arquivo do Modelo: misc-en-us.txt
Subject: <IP> - possible malicious activity from this host
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You've received this message because you are the the WHOIS contact for the
network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
The logs attached at the end of this message show malicious activity
originated from an IP address in your network. They are samples of
<ATTACK_TYPE>. All times are UTC<TIMEZONE>.
Either:
* a machine in your network has been compromised and is now being
used to launch attacks, or;
* a legitimate user is engaged in activity that is probably in
violation of your Terms of Service.
We kindly request you to look into the matter.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
##################################################################
## LOGs - all times are UTC<TIMEZONE>
8.8 Servidor DNS malicioso
DNS malicioso - Português
Modelo de notificação para casos de servidor DNS, ativo em IPs de redes no Brasil, respondendo maliciosamente por nomes de domínios de instituições conhecidas, a fim de direcionar os usuários para sites falsos (ataque de pharming).
Arquivo do Modelo: rogue-dns-pt-br.txt
Subject: <IP> - Servidor DNS malicioso usado em ataques de pharming
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede citada abaixo. Esta mensagem é destinada ao
responsável pela segurança de sua rede e, se este não for o endereço
correto, por favor encaminhe-a ao destinatário apropriado.
Nossos logs indicam um servidor DNS malicioso ativo em um IP da sua
rede.
Endereço IP do servidor DNS: <IP>
Tal DNS está fornecendo respostas incorretas para nome(s) de
domínio(s) de nossa instituição e/ou dominios bastante conhecidos
utilizados por usuários da nossa rede, com propósito de direcionar os
usuários para sites falsos, como parte de ataques de pharming.
Ao final desta desta mensagem anexamos partes de nossos logs para
facilitar sua análise. Todos os horários estão em UTC<TIMEZONE>.
Pode tratar-se de:
* um servidor DNS instalado pelo próprio atacante (por exemplo,
contratando serviços de hospedagem ou de nuvem), ou;
* um servidor DNS legítimo que foi comprometido.
Em qualquer um dos casos pedimos sua colaboração na análise e solução
deste incidente.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
##################################################################
## LOGs em UTC<TIMEZONE>
DNS malicioso - Inglês
Modelo de notificação para casos de servidor DNS, ativo em IPs de redes no exterior, respondendo maliciosamente por nomes de domínios de instituições conhecidas, a fim de direcionar os usuários para sites falsos (ataque de pharming).
Arquivo do Modelo: rogue-dns-en-us.txt
Subject: <IP> - Rogue DNS server used in pharming attacks.
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You've received this message because you are the WHOIS contact for the
network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
Our logs indicate a rogue DNS server active on an IP in your
network.
DNS Server IP Address: <IP>
Such DNS is providing wrong answers to domain name(s) from our company
and/or known domains that affects users from our network, with the
purpose of misdirecting users to fake sites as part of pharming
attacks.
Either:
* this is a DNS server installed by the attacker (e.g. buying
hosting or cloud services for this purpose);
* this is a legitimate DNS server that has been compromised.
In either case, we kindly request you to look into the matter.
At the end of this message we have attached partial logs in order to
facilitate your analysis. All times are UTC<TIMEZONE>.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
##################################################################
## LOGs - all times are UTC<TIMEZONE>
8.9 DDoS por botnet sem spoofing
DDoS por botnet sem spoofing - Português
Modelo de notificação para casos de ataque de negação de serviço a instituição brasileira, realizado por IPs de redes no Brasil, caracterizados por participarem de botnet, sem spoofing de endereço.
Arquivo do Modelo: dosbot-pt-br.txt
Subject: <IP> usado em ataque de negacao de servico.
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede citada abaixo. Esta mensagem é destinada ao
responsável pela segurança de sua rede e, se este não for o endereço
correto, por favor encaminhe-a ao destinatário apropriado.
Nossos logs indicam que um dispositivo da sua rede participou de um
ataque de negação de serviço contra nossa instituição/cliente. Ao
final desta mensagem anexamos partes dos logs para facilitar a
análise. Os horários estão em UTC<TIMEZONE>.
O tráfego analisado é compatível com atividade de botnet usada para
DDoS. Também em função dos padrões de tráfego, acreditamos que o
endereço IP de origem dos pacotes NÃO tenha sido adulterado.
Pode tratar-se de:
* um computador/dispositivo de rede que foi comprometido e está
sendo controlado remotamente ("bot") para realização de ataques,
ou;
* algum usuário legítimo envolvido em atividades que, provavelmente,
são contrárias à sua política de uso aceitável da rede.
Em qualquer um dos casos pedimos sua colaboração na análise e solução
deste incidente.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
##################################################################
## LOGs em UTC<TIMEZONE>
DDoS por botnet sem spoofing - Inglês
Modelo de notificação para casos de ataque de negação de serviço a instituição brasileira, realizado por IPs de redes no exterior, caracterizados por participarem de botnet, sem spoofing de endereço.
Arquivo do Modelo: dosbot-en-us.txt
Subject: <IP> used in denial of service attack.
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You've received this message because you are the WHOIS contact for the
network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
Our logs indicate that a computer/network device in your network
participated in a deny of service attack against our company /
customer. At the end of this message we have attached partial logs in
order to facilitate your analysis. All times are UTC<TIMEZONE>.
The network traffic shows specific characteristics related to DDoS
botnet activities. Still according to traffic patterns we do NOT
believe the source IP address has been spoofed.
Either:
* a computer/network device has been compromised and is being
remotely controlled (bot) to launch attacks, or;
* a legitimate user is engaged in activity that is probably in
violation of your Terms of Service.
In either case, we kindly request you to look into the matter.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
##################################################################
## LOGs - all times are UTC<TIMEZONE>
8.10 Ataque de negação de serviço distribuído com uso de amplificação (DRDoS)
Ataque de negação de serviço distribuído com uso de amplificação (DRDoS) - Português
Modelo de notificação para casos de ataque de negação de serviço distribuído com uso de amplificação (DRDoS) contra instituição brasileira, com IP de rede no Brasil participando como amplificador do ataque.
Nos casos de amplificação/reflexão, em virtude do uso de endereços de origem adulterados (spoofing), só é possível notificar os servidores de amplificação/reflexão e não os responsáveis pelas máquinas que originaram as requisições (origem do abuso).
Neste modelo, <SERVICE_NAME> deve ser substituído pelo descritivo do serviço/protocolo explorado para produzir a amplificação do ataque. Alguns exemplos de <SERVICE_NAME> são:
- CHARGEN (UDP/19) aberto para Internet;
- DNS (UDP/53) recursivo aberto;
- NTP (UDP/123) permitindo comando "monlist";
- SNMP (UDP/161) aberto para Internet;
- SSDP (UDP/1900) aberto para Internet.
Arquivo do Modelo: drdos-pt-br.txt Subject: <IP> - servico vulneravel usado em ataque de negacao de servico. To: <NETWORK_CONTACT> Cc: cert@cert.br Caro responsável, Somos o grupo de tratamento de incidentes de segurança da <ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>. Você está recebendo esta mensagem porque está listado na base WHOIS como contato da rede citada abaixo. Esta mensagem é destinada ao responsável pela segurança de sua rede e, se este não for o endereço correto, por favor encaminhe-a ao destinatário apropriado. Nossos logs indicam que uma máquina da sua rede participou de um ataque de negação de serviço contra nossa instituição/cliente. Ao final desta mensagem anexamos partes dos logs referentes ao ataque. Os horários estão em UTC<TIMEZONE>. A análise do tráfego indica que o serviço <SERVICE_NAME> encontra-se possivelmente ativo em sua rede, no endereço IP: <IP> e servindo como amplificador de tráfego em ataques de negação de serviço. Este serviço pode gerar respostas de tamanho muito grande (várias vezes maior que o da requisição) e, através de requisições forjadas com endereço IP adulterado (IP spoofing), um atacante pode direcionar as respostas ao alvo de seu ataque. Tal abuso parece ocorrer porque o serviço aparenta atender, sem restrições, a qualquer requisição proveniente da Internet. Solicitamos sua colaboração na solução deste incidente, seja mitigando as vulnerabilidades que permitem o abuso do serviço ou desativando-o completamente, caso não tenha uso efetivo. Agradecemos desde já e solicitamos que, se possível, uma resposta nos seja enviada confirmando o recebimento desta mensagem. Atenciosamente, <SIGNATURE> ################################################################## ## LOGs em UTC<TIMEZONE>
Ataque de negação de serviço distribuído com uso de amplificação (DRDoS) - Inglês
Modelo de notificação para casos de ataque de negação de serviço distribuído com uso de amplificação (DRDoS) contra instituição brasileira, com IP de rede no exterior participando como amplificador do ataque.
Nos casos de amplificação/reflexão, em virtude do uso de endereços de origem adulterados (spoofing), só é possível notificar os servidores de amplificação/reflexão e não os responsáveis pelas máquinas que originaram as requisições (origem do abuso).
Neste modelo, <SERVICE_NAME> deve ser substituído pelo descritivo do serviço/protocolo explorado para produzir a amplificação do ataque. Alguns exemplos de <SERVICE_NAME> são:
- CHARGEN (UDP/19) open to Internet;
- DNS (UDP/53) open resolver;
- NTP (UDP/123) allowing "monlist";
- SNMP (UDP/161) open to Internet;
- SSDP (UDP/1900) open to Internet.
Arquivo do Modelo: drdos-en-us.txt Subject: <IP> - exploitable service used in denial of service attack. To: <NETWORK_CONTACT> Cc: <NATIONAL_CSIRT>, cert@cert.br Dear Sir/Madam, We are the computer security incident response team for <ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>. You've received this message because you are the WHOIS contact for the network mentioned below. This message is intended for the person responsible for computer security at your site. If this is not the correct address, please forward this message to the appropriate party. Our logs indicate that a computer in your network participated in a denial of service attack against our company/customer. At the end of this message we have attached partial logs in order to facilitate your analysis. All times are UTC<TIMEZONE>. The network traffic indicates a service <SERVICE_NAME> possibly active in your network at IP: <IP> and serving as amplifier in denial of service attacks. This service can produce large responses (several times larger than the request size) and an attacker can abuse it by creating spoofed requests in a way that the responses are directed to its desired target. Such abuse seems to be taking place because the service apparently is answering to requests from the open Internet without any restriction. We kindly ask your cooperation to solve this incident by mitigating the vulnerabilities that allow the service abuse, or by disabling the service completely if it has no effective use. Thanks in advance. We would also appreciate a reply that this message has been received. Best regards, <SIGNATURE> ################################################################## ## LOGs - all times are UTC<TIMEZONE>
8.11 Hospedagem de artefatos maliciosos
Hospedagem de artefatos maliciosos - Português
Modelo de notificação para casos de artefatos maliciosos (ex: páginas com iFrame malicioso, código binário ou script, arquivo tipo .pac, etc) hospedados em IPs de redes no Brasil.
Neste modelo, <ARTIFACT_DESCRIPTION> deve ser substituído por um descritivo do artefato malicioso para o qual se pede a remoção, e de como foi detectado, a fim de permitir o entendimento do problema e das entradas de log anexas. Alguns exemplos de <ARTIFACT_DESCRIPTION> são:
- código malicioso utilizado em esquemas de phishing/scam para furto de identidade. As URLs foram obtidas de mensagens de e-mail que referenciavam nossa instituição ou destinadas à usuários da nossa rede;
- arquivo malicioso utilizado em tentativas de ataque a aplicações Web vulneráveis à inclusão de arquivo remoto (RFI - Remote File Inclusion). As URLs foram extraídas de logs de nossos servidores Web;
- arquivo de configuração automática de proxy (.pac) utilizado para direcionar os usuários a proxies maliciosos/páginas falsas, usados em esquemas de fraude para furto de identidade. As URLs foram extraídas de computadores comprometidos ou de amostras de código malicioso (trojan);
- código malicioso inserido como "iFrame" oculto em página Web, realizando ataques de falsificação de solicitação (Cross-Site Request Forgery - CSFR), com propósito de adulterar configurações de modem (CPE) ou roteador Wi-Fi e então redirecionar usuários a sites fraudulentos.
Caso seja evidente que o domínio usado na URL do artefato não é malicioso e que esteja sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.
Arquivo do Modelo: malware-pt-br.txt
Subject: Artefato malicioso hospedado em <HOSTNAME> -> <IP>.
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede citada abaixo. Esta mensagem é destinada ao
responsável pela segurança de sua rede e, se este não for o endereço
correto, por favor encaminhe-a ao destinatário apropriado.
Nossos logs indicam que seu site está hospedando artefato
malicioso. Trata-se de <ARTIFACT_DESCRIPTION>.
O artefato está hospedado em:
<URL_ARTIFACT>
<HOSTNAME> com endereço IP <IP>
Ao final desta desta mensagem anexamos partes de nossos logs para
facilitar a análise. Os horários estão em UTC<TIMEZONE>.
Solicitamos sua colaboração para que:
* o código malicioso seja removido do site;
* seja verificado se esta máquina foi comprometida e, possivelmente,
esteja sendo usada por invasores como repositório de ferramentas,
ou se um usuário legítimo está envolvido em atividades que são,
provavelmente, contrárias à sua política de uso aceitável da rede.
Caso haja mais de um código malicioso hospedado em sua rede, você
receberá múltiplas mensagens semelhantes a esta, cada uma contendo
evidências (logs) diferentes.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
##################################################################
## LOGs em UTC<TIMEZONE>
Hospedagem de artefatos maliciosos - Inglês
Modelo de notificação para casos de artefatos maliciosos (ex: páginas com iFrame malicioso, código binário ou script, arquivo tipo .pac, etc) hospedados em IPs de redes no exterior.
Neste modelo, <ARTIFACT_DESCRIPTION> deve ser substituído por um descritivo do artefato malicioso para o qual se pede a remoção, e de como foi detectado, a fim de permitir o entendimento do problema e das entradas de log anexas. Alguns exemplos de <ARTIFACT_DESCRIPTION> são:
- malware used in phishing/scam schemes for identity theft. The URLs were obtained from e-mail messages impersonating our organization or sent to users in our network;
- malicious file used in attack attempts against Web applications vulnerable to Remote File Inclusion (RFI). The URLs were obtained from our Web servers logs;
- proxy Auto-Configuration file (.pac) used to refer users to malicious proxy/page used in identity theft fraud. The URLs were obtained from compromised computers or malware samples;
- malicious code inserted as hidden iFrame into Web page, performing Cross-Site Request Forgery (CSFR) attack with the purpose of changing modem (CPE) or Wi-Fi router settings and then redirect users to fraudulent sites.
Caso seja evidente que o domínio usado na URL do artefato não é malicioso e que esteja sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.
Arquivo do Modelo: malware-en-us.txt
Subject: Malicious artifact hosted at your site (<HOSTNAME> -> <IP>)
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You've received this message because you are the WHOIS contact for the
network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
Our logs indicate that your site is hosting malicious artifact. It
seems to be a <ARTIFACT_DESCRIPTION>.
The artifact is hosted at:
<URL_ARTIFACT>
<HOSTNAME> with IP address <IP>
At the end of this message we have attached partial logs in order to
facilitate your analysis. All times are UTC<TIMEZONE>.
We kindly ask your cooperation to:
* remove the malicious files from your site;
* verify whether this machine has been compromised and it's being
used by intruders to host malicious files, or a legitimate user is
engaged in activity that is probably in violation of your Terms of
Service.
In case we detect more than one malicious code hosted on your network,
you will receive multiple messages similar to this, each one containing
different evidence (logs).
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
##################################################################
## LOGs - all times are UTC<TIMEZONE>
8.12 Phishing simples ou com geolocalização
Phishing simples ou com geolocalização - Português
Modelo de notificação para de casos de páginas falsas (phishing) hospedadas em IPs e/ou domínio brasileiros, referenciando instituições brasileiras ou estrangeiras.
Caso seja evidente que o domínio usado na URL do phishing <URL-PHISHING> não é malicioso e que esteja sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.
Em casos de páginas de phishing que utilizam técnicas de geolocalização para serem exibidas apenas a IPs alocados ao Brasil, acrescentar a mensagem abaixo em substituição ao item <NOTE_GEO>. Do contrário, apenas remover <NOTE_GEO> do texto principal.
IMPORTANTE: Esta página falsa faz uso de técnicas de geolocalização e
somente pode ser visualizada por IPs alocados ao Brasil.
Assim, caso a página não esteja visível em seu navegador,
por favor procure por ela diretamente no sistema de
arquivos do servidor Web.
Arquivo do Modelo: phishing-pt-br.txt
Subject: Pagina falsa hospedada em sua infraestrutura (<HOSTNAME> -> <IP>)
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede e/ou do domínio citados abaixo. Esta mensagem é
destinada ao responsável pela segurança de sua rede e, se este não for
o endereço correto, por favor encaminhe-a ao destinatário apropriado.
Identificamos um site de phishing hospedado em:
<URL_PHISHING>
<HOSTNAME> com endereço IP <IP>
Esta página falsa se faz passar pela página da <ORGANIZATION_NAME> com
o propósito de cometer fraude contra a instituição e/ou seus usuários.
O site legítimo da instituição é:
<URL_OFFICIAL>
<NOTE_GEO>
Solicitamos sua colaboração, de acordo com suas políticas, para que:
* seja interrompido o acesso a esta página falsa;
* nos sejam enviados quaisquer logs ou outras informações
relacionadas com o acesso a estes dados;
* nos sejam enviados os arquivos que compõem o site de phishing;
* seja determinado para onde os dados coletados estão sendo
enviados, caso seja possível. Tais informações podem ser de grande
valia em nossas análises.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
Phishing simples ou com geolocalização - Inglês
Modelo de notificação para de casos de página falsa (phishing) hospedadas em IPs e/ou domínios no exterior, referenciando instituições brasileiras.
Caso seja evidente que o domínio usado na URL do phishing <URL-PHISHING> não é malicioso e que esteja sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.
Em casos de páginas de phishing que utilizam técnicas de geolocalização para serem exibidas apenas a IPs alocados ao Brasil, acrescentar a mensagem abaixo em substituição ao item <NOTE_GEO>. Do contrário, apenas remover <NOTE_GEO> do texto principal.
IMPORTANT: This fake page makes use of geolocation techniques and can
only be seen by IPs allocated to Brazil. Therefore, if the
page is not visible on your Web browser, please, search for
it directly at your Web server file system.
Arquivo do Modelo: phishing-en-us.txt
Subject: Phishing hosted at your site (<HOSTNAME> -> <IP>)
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You've received this message because you are the WHOIS contact for the
network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
We detected a phishing web site hosted at:
<URL_PHISHING>
<HOSTNAME> with IP <IP>
This is a fake website pretending to be <ORGANIZATION_NAME> website
with the intent of committing fraud against the organization and/or
its users. The organization's legitimate website is:
<URL_OFFICIAL>
<NOTE_GEO>
We kindly ask your cooperation, according to your policies:
* to cease this activity and shut down the phishing page;
* sending us any logs or other information regarding the access to
this homepage;
* sending us the phishing website files;
* also, if in the course of your analysis you can determine where
the data collected is being sent, please send us this
information. It could help us in our analysis.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
8.13 Phishing com Pharming
Phishing com Pharming - Português
Modelo de notificação para de casos de páginas falsas (phishing) referenciando instituições brasileiras, hospedadas em IPs no Brasil, e em associação com ataques de pharming para direcionar os usuários.
Arquivo do Modelo: phishing-pharming-pt-br.txt
Subject: Pagina falsa da <ORGANIZATION_NAME> hospedada em <IP>
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede citada abaixo. Esta mensagem é destinada ao
responsável pela segurança de sua rede e, se este não for o endereço
correto, por favor encaminhe-a ao destinatário apropriado.
Identificamos uma página falsa hospedada em:
Endereço IP: <IP>
Esta página falsa se faz passar pela página da <ORGANIZATION_NAME>
com o propósito de cometer fraude contra a instituição e/ou seus
usuários. O site legítimo da instituição é:
<URL_OFFICIAL>
Esta fraude também emprega alguns subterfúgios para alterar a
resolução de nomes no contexto do usuário a fim de direcioná-lo à
pagina falsa (ataque de pharming). Por esta razão, nem sempre é
possível a visualização da página falsa usando o navegador de
computadores não afetados.
As seguintes alternativas podem ser usadas para permitir a visualização
da página falsa:
1. via utilitário "wget":
wget --header="Host: <HOSTNAME_OFFICIAL>" <URL_PHISHING>
Versões do wget estão disponíveis em:
http://gnuwin32.sourceforge.net/packages/wget.htm (Windows)
http://www.gnu.org/software/wget/wget.html
e também via os repositórios oficiais das distribuições de
diversos sistemas operacionais.
2. editando o arquivo "hosts" da máquina e adicionando a seguinte linha:
<IP> <HOSTNAME_OFFICIAL>
e acessando o site como:
<URL_OFFICIAL>
Por favor não se esqueça de remover a linha adicionada ao arquivo
"hosts" após verificar o site de phishing.
3. mudando a configuração de proxy do browser:
Configure o proxy do browser para:
servidor: <IP>
porta: <PORT_PHISHING>
e acesso o site usando:
<URL_OFFICIAL>
Por favor, não se esqueça de remover esta configuração do proxy após
verificar a página de phishing.
4. Caso utilize o Firefox, você pode instalar a extensão "Modify
Headers" disponível em:
https://addons.mozilla.org/en-US/firefox/addon/modify-headers/
e modificar o valor do campo de cabeçalho "Host" enviado pelo
navegador para:
<HOSTNAME_OFFICIAL>
e acessando o site como:
<URL_PHISHING>
Solicitamos sua colaboração, de acordo com suas políticas, para que:
* seja interrompido o acesso a esta página falsa;
* nos sejam enviados quaisquer logs ou outras informações
relacionadas com o acesso a estes dados;
* nos sejam enviados os arquivos que compõem o site de phishing;
* seja determinado para onde os dados coletados estão sendo
enviados, caso seja possível. Tais informações podem ser de grande
valia em nossas análises.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
Phishing com Pharming - Inglês
Modelo de notificação para de casos de páginas falsas (phishing) referenciando instituições brasileiras, hospedadas em IPs no exterior, e em associação com ataques de pharming para direcionar os usuários.
Arquivo do Modelo: phishing-pharming-en-us.txt
Subject: Fake page of <ORGANIZATION_NAME> hosted at <IP>
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You've received this message because you are the WHOIS contact for the
network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
We detected a phishing web site hosted at
IP address: <IP>
This is a fake website pretending to be <ORGANIZATION_NAME> website
with the intent of committing fraud against the organization and/or
its users. The organization's legitimate website is:
<URL_OFFICIAL>
This fraud also uses some subterfuges to modify the name resolution to
misdirect users to the fake page (pharming attack). Because of this,
it's not always possible to see the page in the browser of unaffected
computers.
In order to access the page, the following options may be used:
1. using the "wget" tool:
wget --header="Host: <HOSTNAME_OFFICIAL>" <URL_PHISHING>
wget versions are available at:
http://gnuwin32.sourceforge.net/packages/wget.htm (Windows)
http://www.gnu.org/software/wget/wget.html
an also via official repository of several operating system
distributions.
2. editing the "hosts" file adding the follow line:
<IP> <HOSTNAME_OFFICIAL>
and accessing the site as:
<URL_OFFICIAL>
Please, don't forget to remove the line added to the "hosts" file
after checking the phishing site.
3. changing your browser proxy configuration:
Set your proxy configuration to:
server: <IP>
port: <PORT_PHISHING>
and access the site as:
<URL_OFFICIAL>
Please, don't forget to remove the browser proxy configuration
after checking the phishing site.
4. If you use Firefox, you can install the "Modify Headers" add-on
from:
https://addons.mozilla.org/en-US/firefox/addon/modify-headers/
and modify the value of the "Host" header field sent by the browser
to:
<HOSTNAME_OFFICIAL>
and accessing the site as:
<URL_PHISHING>
We kindly ask your cooperation, according to your policies:
* to cease this activity and shut down the phishing page;
* sending us any logs or other information regarding the access to
this homepage;
* sending us the phishing website files;
* also, if in the course of your analysis you can determine where
the data collected is being sent, please send us this
information. It could help us in our analysis.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
8.14 Servidor enviando phishing scam
Servidor enviando phishing scam - Português
Modelo de notificação para casos de servidor de e-mail enviando phishing scam, a partir de IPs no Brasil.
Se após análise do cabeçalho da mensagem ficar evidente a conta de e-mail utilizada para envio, pode-se acrescentá-la às informações da notificação, pois pode ajudar a identificar uma conta de usuário ou máquina comprometida.
Entretanto, é importante salientar que identificar a conta do remetente apenas pelo campo "From:" da mensagem não é evidência suficiente, pois tal campo pode ser facilmente forjado, a menos que seja possível validá-lo, por exemplo, pela verificação de assinatura DKIM.
Arquivo do Modelo: phishing-scam-pt-br.txt
Subject: <HOSTNAME> -> <IP> enviando e-mail phishing.
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede citada abaixo. Esta mensagem é destinada ao
responsável pela segurança de sua rede e, se este não for o endereço
correto, por favor encaminhe-a ao destinatário apropriado.
Usuários de nossa rede receberam mensagens de phishing enviadas a
partir do seguinte servidor de e-mail sob sua responsabilidade:
Endereço: <IP>
Servidor: <HOSTNAME>
A mensagem falsa tenta fazer o leitor acreditar que foi enviada
pelo(a) <ORGANIZATION_NAME> e tem o propósito de cometer fraude contra
a instituição e/ou seus usuários.
Ao final desta mensagem anexamos o e-mail original, incluindo
cabeçalhos, para sua análise.
Pode tratar-se de:
* uma conta de usuário comprometida (senha conhecida pelo atacante)
sendo abusada para envio de phishing;
* um servidor de e-mail configurado como "open relay", permitindo
envio de mensagens por terceiros, externos à sua rede;
* um servidor ou dispositivo de usuário infectado com malware para
envio de phishing;
* algum sistema Web, com capacidade de envio de e-mail (ex:
formulário em página Web), sendo abusado;
* algum usuário legítimo envolvido em atividades que, provavelmente,
são contrárias à sua política de uso aceitável da rede.
Em qualquer um dos casos pedimos sua colaboração na análise e solução
deste incidente.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
##################################################################
## MENSAGEM com CABEÇALHOS
Servidor enviando phishing scam - Inglês
Modelo de notificação para casos de servidor de e-mail enviando phishing scam, a partir de IPs no exterior.
Se após análise do cabeçalho da mensagem ficar evidente a conta de e-mail utilizada para envio, pode-se acrescentá-la às informações da notificação, pois pode ajudar a identificar uma conta de usuário ou máquina comprometida.
Entretanto, é importante salientar que identificar a conta do remetente apenas pelo campo "From:" da mensagem não é evidência suficiente, pois tal campo pode ser facilmente forjado, a menos que seja possível validá-lo, por exemplo, pela verificação de assinatura DKIM.
Arquivo do Modelo: phishing-scam-en-us.txt
Subject: <HOSTNAME> -> <IP> sending phishing scam.
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You've received this message because you are the WHOIS contact for the
network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
Users of our network have received phishing messages sent from the
following e-mail server:
IP: <IP>
Server: <HOSTNAME>
The fake message tries to make the reader believe that it was sent by
<ORGANIZATION_NAME> for the purpose of committing fraud against the
institution and/or its users.
At the end of this message we have attached the original e-mail
including headers to facilitate your analysis.
Possible causes are:
* a compromised user account (password known by the attacker) being
abused for sending phishing;
* an e-mail server configured as an "open relay", allowing third
parties external to your network to send messages;
* a server or user device infected with malware to send phishing;
* a Web system with e-mail sending capability (e.g. form on Web
page), being abused;
* a legitimate user is engaged in activity that is probably in
violation of your Terms of Service.
In any case, we kindly request you to look into the matter.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
##################################################################
## MESSAGE with HEADERS
8.15 Servidor de comando e controle de RAT
Servidor de comando e controle de RAT - Português
Modelo de notificação para casos de servidor de comando e controle de trojan de acesso remoto (RAT), ativo em IPs de redes no Brasil.
Se, após análise dos logs, estiver disponível a informação do nome do servidor (HOSTNAME), pode-se acrescentá-la ao conjunto de dados da notificação.
Arquivo do Modelo: cc-rat-pt-br.txt
Subject: Comando e Controle de RAT em <IP>.
To: <NETWORK_CONTACT>
Cc: cert@cert.br
Caro responsável,
Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.
Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede citada abaixo. Esta mensagem é destinada ao
responsável pela segurança de sua rede e, se este não for o endereço
correto, por favor encaminhe-a ao destinatário apropriado.
Nossas análises indicam um servidor de comando e controle (C&C) de
trojan de acesso remoto (RAT) ativo em sua rede:
Endereço IP: <IP>
Porta/Protocolo: <PORT>/<PROTOCOL>
Servidores de comando e controle (C&C) são ferramentas utilizadas por
criminosos para controlar remotamente dispositivos infectados com
trojan de acesso remoto (RAT), normalmente com propósito de coletar
informações sensíveis, de maneira interativa (ex: durante atividade do
usuário em sessão de Internet Banking).
IMPORTANTE: a tentativa simples de conexão ao IP e porta acima citados
pode não resultar em qualquer mensagem pois tais servidores são, em
geral, programados para responder somente a comandos específicos e
parâmetros pré-determinados.
Ao final desta mensagem anexamos partes de nossos logs para facilitar
a análise. Trata-se de tráfego de rede capturado durante interações
entre o C&C e a máquina controlada. Os horários estão em UTC<TIMEZONE>.
Pode tratar-se de:
* uma máquina em sua rede que foi comprometida e está sendo abusada
por invasores, ou;
* algum usuário legítimo envolvido em atividades que, provavelmente,
são contrárias à sua política de uso aceitável da rede.
Em qualquer um dos casos pedimos sua colaboração para:
* análise e solução deste incidente, a fim de cessar as atividades
maliciosas deste servidor;
* se possível, de acordo com suas políticas, nos enviar quaisquer
logs ou outras informações armazenadas no servidor, relacionadas
à nossa instituição. Tais informações podem ser de grande valia
em nossas análises.
Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.
Atenciosamente,
<SIGNATURE>
##################################################################
## LOGs em UTC<TIMEZONE>
Servidor de comando e controle de RAT - Inglês
Modelo de notificação para casos de servidor de comando e controle de trojan de acesso remoto (RAT), ativo em IPs de redes no exterior.
Se, após análise dos logs, estiver disponível a informação do nome do servidor (HOSTNAME), pode-se acrescentá-la ao conjunto de dados da notificação.
Arquivo do Modelo: cc-rat-en-us.txt
Subject: RAT command and control server active on <IP>
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br
Dear Sir/Madam,
We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.
You've received this message because you are the WHOIS contact for the
network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.
Our logs indicate a remote access Trojan (RAT) command and control
(C&C) server active on your network:
IP Address: <IP>
Port/Protocol: <PORT>/<PROTOCOL>
Command and control servers (C&C) are tools used by criminals to
remotely control devices infected with RATs, in order to interactively
collect sensitive information (e.g. during user activity on Internet
Banking).
IMPORTANT: a simple attempt to connect to the aforementioned IP and
port may not result in any message because these servers are generally
programmed to respond only to specific commands and predetermined
parameters.
At the end of this message we have attached partial logs in order to
facilitate your analysis. This is network traffic captured during
interactions between the C&C and controlled machine. All times are
UTC<TIMEZONE>.
Either:
* a machine in your network has been compromised and is being abused
by intruders, or;
* a legitimate user is engaged in activity that is probably in
violation of your Terms of Service.
In either case, we kindly ask your cooperation, according to your
policies:
* to solve this incident in order to cease the malicious activities
from this server, and;
* sending us any logs or information stored in this server related
to our institution. Such information may be of great value in our
analysis.
Thanks in advance. We would also appreciate a reply that this message
has been received.
Best regards,
<SIGNATURE>
##################################################################
## LOGs - all times are UTC<TIMEZONE>
9. Glossário
- AS
- Autonomous System ou sistema autônomo, é o conjunto de redes com a mesma política de roteamento.
- ASN
- Autonomous System Number é o identificador único para um AS.
- ccTLD
- veja TLD.
- CSIRT
- Computer Security Incident Response Team - Grupo de Resposta a Incidentes de Segurança em Computadores.
- gTLD
- veja TLD.
- INOC-DBA
- Inter-Network Operation Center Dial By Autonomous System Number.
- NOC
- Network Operations Center - Centro de operações de rede.
- PII
- Personally Identifiable Information - Informação de Identificação Pessoal ou, simplesmente, dado pessoal, é qualquer informação que sozinha ou agregada possa ser usada para identificar, contatar ou localizar uma pessoa.
- TLD
- Top-Level Domain - É o nível mais alto da hierarquia de nomes de domínios da Internet (root domain). Existem diferentes tipos de TLDs, tais como Country-Code Top-Level Domains (ccTLD) para paises, Generic Top-Level Domains (gTLD) para nomes genéricos, entre outros.
- VoIP
- Voice over Internet Protocol - Voz sobre IP ou telefonia IP.
10. Referências
Segue abaixo uma lista de referências que subsidiaram a escrita deste documento e que são recomendadas como leitura complementar.
- A summary of the international standard date and time notation
http://www.cl.cam.ac.uk/~mgk25/iso-time.html - Date and Time on the Internet: Timestamps
https://tools.ietf.org/html/rfc3339 - HTTP Usage in the Registration Data Access Protocol (RDAP)
https://tools.ietf.org/html/rfc7480 - Security Services for the Registration Data Access Protocol (RDAP)
https://tools.ietf.org/html/rfc7481 - Registration Data Access Protocol (RDAP) Query Format
https://tools.ietf.org/html/rfc7482 - JSON Responses for the Registration Data Access Protocol (RDAP)
https://tools.ietf.org/html/rfc7483 - Finding the Authoritative Registration Data (RDAP) Service
https://tools.ietf.org/html/rfc7484 - CSIRT FAQ - Tradução do CSIRT FAQ do CERT®/CC
https://www.cert.br/certcc/csirts/csirt_faq-br.html - INOC-DBA
http://inoc.nic.br/
11. Agradecimentos
Gostaríamos de agradecer a Lucimara Desiderá pelo desenvolvimento da versão inicial deste documento e a Cristine Hoepers, Klaus Steding-Jessen, Luiz Eduardo R. Cordeiro, Miriam von Zuben e Renato Otranto Jr. pela revisão e por sugestões para o desenvolvimento deste documento.
12. Histórico de Revisões
- Versão 1.0 Versão Inicial, 09/06/2015
- Versão 1.1 Correção de erros de ortografia e de edição, publicação de dois modelos novos (cc-rat e phishing-scam) e renumeração das seções 7 e 8, 20/04/2016
NICBR - Núcleo de Informação e Coordenação do PONTO BR - CPNJ 05.506.560/0001-36