Что за киберзащитники?

Question

[AmanitaRubescens]

Привет Друзья!
Кому приходило подобное письмо?
Какие действия предпринимали?

spoiler

Добрый день!
По каналам Национального координационного центра по компьютерным инцидентам (НКЦКИ) получены сведения о признаках внедрения вредоносного программного обеспечения (заражение ВПО CloudAtlas) в информационном ресурсе, который имеет сетевые реквизиты из вашего адресного пространства.
Технические сведения об атакованном ресурсе:
IPv4-адрес: **************
Технические сведения о центре управления ВПО:
IPv4-адрес: 91.206.178[.]219
Трафик прилагаем.
Просим рассмотреть предоставленные материалы и, в случае подтверждения наличия фактов заражения ВПО, направить в наш адрес любые значимые сведения о компьютерном инциденте, в том числе информацию о причинах и условиях, способствовавших его возникновению.
В случае, если по результатам рассмотрения данной информации будет подтверждено наличие компьютерного инцидента, произошедшего на объекте критической информационной инфраструктуры Российской Федерации, то его владелец (субъект КИИ) в соответствии с Федеральным законом от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" обязан уведомить об этом НКЦКИ установленным порядком.
В случае отсутствия сведений, подтверждающих факт заражения ВПО, также заинтересованы в обратной связи для повышения эффективности нашей работы.
Для дальнейшего взаимодействия по данному сообщению НКЦКИ сохраняйте в теме письма его регистрационный номер - ***********.
С уважением,
Команда Национального координационного центра по компьютерным инцидентам
107031, г. Москва, ул. Большая Лубянка, д. 1/3
incident@cert.gov.ru
Сайт: cert.gov.ru
Тел.: +7(980)162-28-40

Из приложенного файла pcap



Может кто пояснить на русском языке?

Comments

[Drno]

смущает номер мобильного.. и откуда у лубянки сертификат от GlobalSign nv-sa
Они ж вроде в бане...

[CityCat4]

Drno, GS как раз нет - это единственная контора, которая наплевала на санкции, правда на этом основании дерет совершенно дико конский ценник :)
Но это конечно ржака :)

[R3n0]

Drno,

[Drno]

CityCat4, Оо как.. ну ок
тогда че - пусть звонит узнает)

[AmanitaRubescens]

RE:[ALT]ER, а как из этого всего понять что атаковали?
Я правильно понимаю что Источник Я - атакую 91.206.178[.]219 - с порта 59585 на 443 - если по картинке судить?

[R3n0]

AmanitaRubescens,

а как из этого всего понять что атаковали?

Проводить расследование возможного инцидента. Тут проще исходить из логики, что ресурс скомпрометирован.

Я правильно понимаю что Источник Я - атакую 91.206.178[.]219 - с порта 59585 на 443 - если по картинке судить?

Тебе дали координату

Технические сведения о центре управления ВПО: IPv4-адрес: 91.206.178[.]219

, видимо, CnC-сервера, окуда поступают команды и дозагружаются нужные для последующих атак модули. Но это всё, разумеется, нужно проверять, о чём тебе в письме и написали.

[AmanitaRubescens]

RE:[ALT]ER, в Wireshark по мониторить что то связанное с этим IP - так себе затея?

[R3n0]

AmanitaRubescens, лучше, чем ничего, но этого явно будет мало.

[AmanitaRubescens]

RE:[ALT]ER, понял, спасибо

[Вадим]

AmanitaRubescens, лучше, конечно, на маршрутизаторе отслеживать, с какого внутреннего ip идёт соединение с эти адресом.

[AmanitaRubescens]

RE:[ALT]ER, кстати, я что-то туплю или умничаю (сам не понял).... Вот тот скрин из Wireshark (я открыл pcap у себя), скинули этот самый pcap из этого НКЦКИ.... как они получили доступ, скажем так, к моему IP?
Я что, могу мониторить пакеты любых точек что-ли, если запущу у себя Wireshark? Я ж вроде вижу только свою локалку...
Я пока не аллё в Wireshark...не знаю на сколько глуп мой тебе вопрос =)

[Владимир Дубровин]

Вам не нужно знать Wireshark, по Wireshark просто видно что у вас бекдор, который лезет в центр управления yandisk [.] info, вам нужно как-то найти зараженную машину (или машины) и убить трояна, причем сделать это максимально быстро, потому что дальше может начаться свистопляска. И тут начинается самое интересное, потому что судя по вопросу вы такой сценарий ни разу не рассматривали и к нему не готовы.

[AmanitaRubescens]

Владимир Дубровин, вы правы, впервой с таким сталкиваюсь. Покопались на сервере Kaspera. Это кто то из этих получается?

[Владимир Дубровин]

AmanitaRubescens, нет. То что у вас работает очевидно не найдется в логах касперского, потому что оно работает.

EML может быть письмом через которое вам заслали дроппер, если пользователь запускал вложенный файл - но это совсем не факт.

[Владимир Дубровин]

Ищите кто делает коннекты к центру управления, DNS-запросы с хостнеймом центра управления.

Answer 1

[CityCat4]

Ну, тут надо начать с того - а действительно ли вы КИИ и действительно ли письмо пришло оттуда, откуда написано? А то на заборе написано XYZ, а за забором почему-то .wood

Answer 2

[Василий Банников]

Ну это по крайней мере точно не фишинг.
https://cctld.ru/help/safety/competent/

Answer 3

[R3n0]

Привет.

Если совсем "на пальцах", то есть основания полагать, что был атакован некий ресурс с последующим заражением ВПО (вредоносным программным обеспечением) APT Cloud Atlas. Требуется провести расследование инцидента, по итогам которого: а) либо факт атаки и компрометации подтверждается, и тогда нужно предоставить дополнительные данные по указанным контактам; б) либо информация не подтверждается, и об этом также нужно сообщить по предоставленным контактам.

Возможно, эта статья даст больше информации по сложившейся ситуации и какие-то отправные точки.