Networkforensic

Threat hunting

Defaced web-sites 

 26 September 2022  - Blog Post # 837

Defacing stadig en ting
Man skulle tro at mange leverandører efterhånden har fået så meget styr på at holde øje med om deres kunder bliver defaced eller på anden måde hacket på deres web-portaler. Dog er det lidt rammende at se, at de typisk er de samme leverandører og deres kunder der hele tiden står for skud igen og igen.

Når jeg kigger igennem hvor mange gange et domæne har været ramt af denne type sikkerheds problemer, så er der tit nogen der stikker ud. Denne gang er det igen Falckcc (Det er ikke Falck men deres personale "Falck Camping Club") Dem skrev jeg om for præcis 2 år siden i dag. Det er næsten fast hvor tit de har udfordringer
Se evt  26 September 2020 - Blog Post # 775.

De er ikke de eneste.
Det er desværre ikke de eneste jeg ser der går igen, dem er der faktisk mange af.

Et andet eksempel er tidsskrift[.]dk (Det Kgl. Bibliotek)
2022/07/04 tidsskrift[.]dk/public/site/imag
2020/04/13 tidsskrift[.]dk/public/site/imag
2017/04/07 tidsskrift[.]dk/public/site/imag


Anbefalinger
Man bør nok overveje hvilken leverandør man benytter til at få hostet sit web-site på. Desuden bør man overveje hvordan ens web-site er strikket sammen og især hvor mange underlige plugins man benytter. Ikke mindst at få ting sikkerheds opdateret i tide.

Man skal også være meget vågen overfor at det typisk er det eneste mulige en hacker typisk lige kan når de finder et sikkerhedshul. Typisk er defacing noget en hacker gør, når de ikke rigtigt gidder gøre mere ved et web-site, at de så lige afslutter med at efterlade et web-site defaced. Der findes mange attack muligheder....... Det kan også være hele den hosted løsning med alle hosted web-sites på samme server, der har udfordringer.

Security.txt en varm anbefaling.
Som web-site ejer burde man sørge for at få implementeret en security.txt file. Det gør det noget nemmerer at komme i kontakt med sikkerheds folk, så når denne slags bliver opdaget, at det så er muligt at komme i kontakt med de rigtige fra starten af. Det er eks slet ikke muligt hos hverken, falckcc eller tidsskrift. Det er heller ikke muligt via deres "hoved sites" på Falck eller det Det Kgl. Bibliotek. 

 NF IDS Rules
10 Latest Updates

Flux Bitcoin Mining

IceID / BumbleBee

DarkVNC (Encrypted)

Realtek - CVE-2022-27255

Blocked by Danish Law

TCP Window 0 attack

Blocking page

CoboltStrike

DarkVNC

Vidar Trojan

Download