Serveur minecraft

Pilules amaigrissantes de Beltway Bandits – Krebs on Security – Un bon serveur Minecraft

Le 9 octobre 2019 - 1 minute de lecture

Lire des messages de courrier indésirable n’est pas exactement mon idée du bon temps, mais il est parfois amusant de s’amuser en prenant un moment pour vérifier qui a vraiment envoyé le courrier électronique. Voici l’histoire simple de la façon dont un récent courrier indésirable annonçant des «pilules amaigrissantes» pour célébrités a été attribué à un sous-traitant de la défense basé à Washington DC qui construit des systèmes de communication tactiques pour les communautés de l’armée et du renseignement américains.

atball "width =" 262 "height =" 262 "srcset =" https://krebsonsecurity.com/wp-content/uploads/2011/03/atball-300x300.jpg 300w, https://krebsonsecurity.com/wp- content / uploads / 2011/03 / atball-150x150.jpg 150w, https://krebsonsecurity.com/wp-content/uploads/2011/03/atball.jpg 347w "tailles =" (largeur maximale: 262 pixels), 100vw, 262px "/> Votre courrier indésirable moyen peut contenir de nombreuses informations sur les systèmes utilisés pour détruire les courriers indésirables. Si vous êtes chanceux, il peut même vous donner une idée de l'entreprise qui possède les ressources en réseau (ordinateurs, appareils mobiles) qui ont été piratés pour être utilisés dans l'envoi ou le relais de messages indésirables.</p>
<p>Plus tôt ce mois-ci, Ron Guilmette, activiste et expert anti-spam, s'est retrouvé à chercher dans les "en-têtes" un message de spam qui a déclenché une alerte curieuse. Les «en-têtes» sont les détails d'adressage et de routage généralement invisibles qui accompagnent chaque message. Ils sont généralement invisibles car cachés, à moins que vous ne sachiez comment et où les rechercher.</p>
<p>Prenons les en-têtes de cet e-mail, du 12 avril 2017, à titre d'exemple. Pour les non-initiés, les en-têtes de courrier électronique peuvent sembler être une masse d'informations accablante. Mais il n’ya vraiment que quelques éléments qui nous intéressent (l’adresse électronique de Guilmette a été modifiée pour devenir "ronsdomain.example.com" dans les en-têtes de message de spam non modifiés, ci-dessous):<span id=

Chemin de retour:
X-Original-To: [email protected]
Livré à: [email protected]
Reçu: depuis host.psttsxserver.com (host.tracesystems.com [72.52.186.80])
par subdomain.ronsdomain.example.com (Postfix) avec l'identifiant ESMTP 5FE083AE87
pour ; Mer., 12 avril 2017 13:37:44 -0700 (PDT)
DKIM-Signature: v = 1; a = rsa-sha256; q = dns / txt; c = détendu / détendu; d = gtacs.com;
s = par défaut; h = Version MIME: Type de contenu: Date: ID de message: Sujet: À: De:
Expéditeur: Répondre à: Cc: Codage de transfert de contenu: ID de contenu: Description de contenu:
Resent-Date: Resent-De: Resent-Sender: Resent-To: Resent-Cc: Resent-Message-ID:
In-Reply-To: Références: Id-List: List-Help: List-Unsubscribe: List-Subscribe:
List-Post: Propriétaire de la liste: List-Archive;
Reçu de [186.226.237.238] (port = 41986 helo =[127.0.0.1])
par host.psttsxserver.com avec esmtpsa (TLSv1: DHE-RSA-AES256-SHA: 256)
(Exim 4.87)
(enveloppe-de )
id 1cyP1J-0004K8-OR
pour [email protected]; Mer., 12 avr. 2017 16:37:42 -0400
De: [email protected]
Pour: [email protected]
Objet: Découvrez le secret de la façon dont les films et les stars de la scène sont encore en forme
ID du message:
Priorité X: 3
Importance: Normal
Date: mer 12 avr 2017 22:37:39 +0200
X-Original-Content-Type: multipart / alternative;
frontière = ”- InfrawareEmailBoundaryDepth1_FD5E8CC5–”
MIME-Version: 1.0
X-Mailer: Infraware POLARIS Mobile Mailer v2.5
X-AntiAbuse: Cet en-tête a été ajouté pour suivre les abus, veuillez l'inclure dans votre rapport d'abus.
X-AntiAbuse: Nom d'hôte principal – host.psttsxserver.com
X-AntiAbuse: domaine d'origine – ronsdomain.example.com
X-AntiAbuse: UID / GID du demandeur / de l'appelant – [47 12] / [47 12]
X-AntiAbuse: domaine d'adresse d'expéditeur – gtacs.com
X-Get-Message-Sender-Via: host.psttsxserver.com: id_authentifié: [email protected]
X-Authenticated-Sender: host.psttsxserver.com: [email protected]

Les célébrités doivent toujours être belles et c'est aussi difficile que vous le pouvez
… Coupé…

Dans ce cas, l'adresse de retour est [email protected] L’autre bit à noter est l’adresse Internet et le domaine référencés à la quatrième ligne, après «Reçu», ainsi libellé: «from host.psttsxserver.com (host.tracesystems.com [72.52.186.80]) ”

Gtacs.com appartient au site Web Team Team Portal de Trace Systems, un site Web expliquant que GTACS fait partie de l’équipe Trace Systems, dont le contrat consiste à fournir «une gamme complète de systèmes de communications tactiques, d’ingénierie système, d’intégration, d’installation et de support technique». le ministère de la Défense, le département de la Sécurité intérieure (DHS) et les clients de la communauté du renseignement. »La société répertorie certains de ses clients ici.

La page d'accueil de Trace Systems.

La page d'accueil de Trace Systems.

Gtacs.com et tracesystems.com déclarent que les sociétés «fournissent une expertise en matière de cybersécurité et de renseignement à l'appui des intérêts de la sécurité nationale:« GTACS est un véhicule contractuel qui sera utilisé par divers clients dans le cadre des systèmes, équipements, services et services C3T. données ", dit le site de la société. La partie «C3T» est une expression militaire qui parle de «commandement, contrôle, communications et tactique».

Les enregistrements de système de nom de domaine (DNS) passifs gérés par Farsight Security pour l'adresse Internet répertoriée dans les en-têtes de courrier indésirable – 72.52.186.80 – indiquent que gtacs.com était à la fois sur la même adresse Internet, ainsi que de nombreux domaines et sous-domaines associés à Trace Systems. .

Il est vrai que certaines informations d’en-tête d’un courrier électronique peuvent être falsifiées. Par exemple, les spammeurs et leurs outils peuvent falsifier l'adresse électronique dans la ligne "De:" du message, ainsi que dans la partie "Réponse à:" de la missive. Mais ni l'un ni l'autre ne semble avoir été falsifié dans ce spam de pharmacie.

La page d'accueil de Gtacs.com.

La page d'accueil de Gtacs.com.

J'ai renvoyé ce message de spam à [email protected], l'expéditeur apparent. Après plusieurs jours sans recevoir de réponse de Dan, je craignais que des cybercriminels s’enracinent dans les réseaux de cet entrepreneur de la défense qui assure les communications pour l’armée américaine. Spammers maladroits et pas très brillants, mais des intrus pour être sûr. J'ai donc transmis le message de spam à un contact Linkedin de Trace Systems, qui effectue le contrat de réponse aux incidents de la société.

Ma source Linkedin a transmis la demande à un «responsable de la tâche» de Trace, qui a déclaré qu’il aurait été informé que gtacs.com n’était pas un domaine de Trace Systems. Cherchant plus d'informations face à de nombreux faits différents qui étayent une conclusion différente, j'ai transmis l'enquête à Matthew Sodano, vice-président et chef de l’information de Trace Systems Inc.

"Le domaine et le site en question sont hébergés et maintenus pour nous par un fournisseur externe", a déclaré Sodano. «Nous les avons alertés sur ce problème et ils enquêtent. Le compte a été désactivé. "

Vraisemblablement, le «fournisseur extérieur» de la société était Technologies Power Storm, la société qui est apparemment propriétaire des serveurs qui ont envoyé le spam non autorisé de [email protected] Power Storm n'a pas renvoyé de messages demandant un commentaire.

Selon Guilmette, Quel que soit le nom de Dan, quel qu’il soit avec Gtacs.com, son compte a été compromis par des spammeurs assez inepte qui, de toute évidence, ne savaient pas ou ne se souciaient pas de faire partie d’un sous-traitant américain de la défense spécialisé dans les communications de niveau militaire. Au lieu de cela, les intrus ont choisi d'utiliser ces systèmes de manière presque sûre pour attirer l'attention sur le compte compromis et les serveurs piratés utilisés pour transférer le courrier indésirable.

“Certains… contractants qui travaillent pour une entreprise“ cybersécurité ”basée à Vienne, en Virginie, ont apparemment perdu leurs identifiants de courrier électronique sortants (qui sont probablement utiles également pour la connexion à distance) à un spammeur qui, je crois, se base sur les informations disponibles. preuve, est très probablement situé en Roumanie ", a écrit Guilmette dans un courrier électronique à cet auteur.

Guilmette a déclaré à KrebsOnSecurity qu'il surveillait ce polluposteur en particulier depuis septembre 2015. Interrogé sur les raisons de sa conviction que le même type en était responsable, et d'autres spams spécifiques, Guilmette a expliqué que le polluposteur composait ses messages de spam avec la même signature HTML "signature". dans le lien hypertexte qui constitue la majeure partie du message: Une version extrêmement ancienne de Microsoft Office.

Il semble que ce polluposteur n’a pas l’esprit de spammer les listes de discussion sur le Web. Par exemple, il a même envoyé une de ses escroqueries concernant des pilules amaigrissantes pour célébrités à une liste gérée par le registre américain des numéros Internet (ARIN), le registre Internet régional pour le Canada et les États-Unis. La liste d’ARIN a balayé le fichier HTML que le spammeur a joint au message. Cliquez sur le lien inclus pour afficher la pièce jointe nettoyée envoyée à la liste ARIN pour afficher cette page. Et si vous regardez en haut de cette page, vous verrez quelque chose qui dit:

”… Xmlns: m =” http: // schémas.microsoft.com/office/2004/12/omml "…"

"Bien sûr, il y a beaucoup de gens normaux qui utilisent encore cet ancien MS Office pour composer des emails, mais pour autant que je sache, c'est le seul polluposteur majeur qui l'utilise actuellement," Dit Guilmette. «J’ai reçu des dizaines et des dizaines de spams, tous de ce même type, il ya environ 18 mois. Ils ont tous le même style et ont tous été composés avec “/ office / 2004/12 /”.

Guilmette affirme que les mêmes spammeurs qui ont envoyé les anciens spams d'Office à des entrepreneurs de la défense l'ont également fait à partir d'appareils «Internet of Things» compromis, comme un système de vidéoconférence piraté basé en Chine. Guilmette dit que le polluposteur a été connu pour envoyer des liens malveillants dans des courriers électroniques qui utilisent des exploits JavaScript malveillants pour conserver les informations d'identification stockées sur la machine compromise. Il suppose que [email protected] a probablement ouvert l'un des liens JavaScript piégés.

"Quand et s'il en trouve, il utilise ces informations d'identification volées pour envoyer encore plus de spam via le serveur de messagerie de la société" légitime "", a déclaré Guilmette. "Et parce que les spams sortent maintenant de serveurs de courrier" légitimes "appartenant à des sociétés" légitimes ", ils ne sont jamais bloqués, ni par Spamhaus, ni par aucune autre liste noire."

Nous pouvons seulement espérer que le polluposteur qui a tiré cette information ne réalisera jamais la valeur probable de cet ensemble spécifique d’identifiants de connexion qu’il a réussi à obtenir, parmi beaucoup d’autres, a déclaré Guilmette.

"Si il fait conscient de ce qu’il a entre les mains, je suis convaincu que les Russes et / ou les Chinois seraient plus que ravis de lui acheter ces lettres de créance, lui remboursant probablement davantage que celles qu’il pourrait espérer gagner pendant des années de spam. ”

Ce n’est pas la première fois qu’un petit e-mail oups a pu créer un gros problème pour un fournisseur de systèmes de défense de la cybersécurité dans la région de Washington. Le mois dernier, Point de défense de la sécurité – qui fournit des services de cyber-contractualisation au centre des opérations de sécurité pour les Contrôle de l'Immigration et des Douanes Division (ICE) – alerté quelque 200 à 300 employés actuels et anciens que leurs informations fiscales W-2 avaient été communiquées à des fraudeurs après qu’un employé eut été victime d’une arnaque par hameçonnage causant une parodie du patron.

Vous voulez en savoir plus sur comment trouver et lire les en-têtes de courrier électronique? Ce site contient une référence pratique vous expliquant comment afficher les en-têtes de plus de deux douzaines de programmes de messagerie différents, notamment Outlook, Yahoo !, Hotmail et Gmail. Cette amorce de HowToGeek.com explique les types d’informations que vous pouvez trouver dans les en-têtes de courrier électronique et leur signification.



Tags: Registre américain des numéros Internet, ARIN, C3T, [email protected], Sécurité des points de défense, Sécurité Farsight, GTACS, Matthew Sodano, Technologies Power Storm, Ron Guilmette, tracesystems.com

Cette entrée a été publiée le mercredi 19 avril 2017 à 14h56 dans la catégorie Autres.
Vous pouvez suivre les commentaires de cette entrée via le flux RSS 2.0.

Les commentaires ainsi que les pings sont actuellement fermés.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.