CERT-SG IRM-06: Website Defacement

CERT-SG IRM-06: Website Defacement

Playbook operativo de Incident Response del CERT Societe Generale. Importado desde el vault PAI Obsidian-Inbox para uso de Juniors.

Resumen original

PURPOSE: This Incident Response Methodology is a cheat sheet dedicated to handlers investigating on a precise security issue — specifically, live reaction on a compromised web server (website defacement).

WHO SHOULD USE IRM SHEETS?

  • Administrators
  • Security Operation Center
  • CISOs and deputies
  • CERTs (Computer Emergency Response Team)

INCIDENT HANDLING STEPS — 6 steps are defined to handle security incidents:

  1. Preparation: get ready to handle the incident
  2. Identification: detect the incident
  3. Containment: limit the impact of the incident
  4. Remediation: remove the threat
  5. Recovery: recover to a normal stage
  6. Lessons learned: draw up and improve the process

Metodos

Case study / cheat sheet basado en el framework NIST de 6 pasos, aplicado a incidentes de defacement (desfiguracion) de sitios web.

Hallazgos clave

  • Preparacion: Mantener esquemas actualizados de componentes aplicativos; construir sitio web de respaldo listo para activar; definir procedimiento de redireccion a sitio de mantenimiento; desplegar WAF, fail2ban; exportar logs del servidor web a servidor externo; auditar sitios web antes del release y periodicamente (mensual si es posible); referenciar todas las fuentes de contenido externo estatico/dinamico; tener contactos operativos del hosting provider
  • Identificacion: Canales de deteccion: monitoreo de paginas web (contenido alterado, inyeccion de iframes discretos o defacement explicito), usuarios, Google SafeBrowsing; verificar: metadatos de archivos (fechas de modificacion, hashes), proveedores de contenido mashup, links en codigo fuente (src, meta, css, scripts), logs, bases de datos con contenido malicioso; confirmar que el problema origina del servidor propio y no de contenido externo (ad banners de terceros)
  • Contencion: Backup completo bit-a-bit del disco para forense; verificar que la vulnerabilidad no exista en otros puntos de la arquitectura; identificar como entro el atacante: vulnerabilidad web, plugins CMS, carpeta publica abierta, inyeccion SQL, componentes mashup, acceso fisico; si es necesario, desplegar servidor web temporal con contenido estatico HTML
  • Remediacion: Remover todo contenido alterado y reemplazar con contenido legitimo de backup; asegurar que el contenido restaurado este libre de vulnerabilidades; parchear si es necesario
  • Recuperacion: Cambiar todas las contrasenas de usuario si hay evidencia de compromiso; restaurar servidor primario si se uso backup; monitorear logs y alertas de cerca

Relevancia

Guia practica para uno de los incidentes mas visibles publicamente. Destaca la importancia de verificar que el defacement no proviene de contenido externo (terceros, ad banners) antes de actuar sobre la infraestructura propia. La recomendacion de tener un sitio de respaldo estatico (solo HTML) listo para activar es una medida de preparacion valiosa que reduce el tiempo de exposicion del defacement.

Citas clave

"The source code of the suspicious page must be analyzed carefully to identify and scope up the problem." (p. 5)

"Be sure the problem originates from a web server belonging to the company and not from the web content located outside your infrastructure, such as in ad banners from a third party." (p. 5)

"If required (complex issue on an important web server), deploy a temporary up-to-date web server. The server should offer the same content than that one of the compromised machine or at least display legitimate content such as a static maintenance page. The best is to display temporary static content, containing only HTML code." (p. 6)

Conexiones

Themes