当前位置:安全行业动态 → 正文

荷兰网络安全公司fox-尊龙凯时注册

责任编辑:editor007 |来源:企业网d1net  2017-12-21 20:28:47 本文摘自:e安全

位于荷兰的it安全提供商fox-it披露,曾在2017年9月遭到不明身份的黑客发起的中间人攻击,攻击持续10个小时24分钟。

攻击过程

fox-it表示,黑客劫持了公司的域名,随后以fox-it的名义获取ssl证书。之后,黑客将域名指向受控的私有vps(虚拟专用服务器)服务器,进而执行中间人攻击,接收本应流向fox-it域名的流量,凭借ssl证书读取https连接的内容,随后将用户重定向回真正的fox-it服务器。

荷兰网络安全公司fox-it遭遇中间人攻击-e安全

黑客仅以fox-it的用户门户网站为目标

fox-it表示,黑客只对拦截clientportal网站的流量感兴趣。攻击者拦截了登录尝试、凭证和发送给clientportal的文件,共拦截了9名用户的凭证和12份文件。

受影响用户数量不多的原因在于,fox-it在事发5个小时后检测到了这起域名劫持事件和中间人攻击,并禁用了双因素认证服务,从而有效地阻止用户登录并暴露其它重要的文件和数据。

除此之外,fox-it迅速通知了受影响的客户,并重置了遭拦截的密码。fox-it表示,遭拦截的文件中并不包含“机密”文件,只有少数文件包含敏感信息。其它文件和数据包含手机号码、clientportal用户的名称和电子邮箱,以及clientportal账户名。

fox-it遭遇攻击后如何响应?

fox-it表示,行业平均检测威胁所需时间为几周,而他们的速度明显超出平均水平。这家公司还表示已向荷兰执法机构上报了该事件。这起攻击从发生到披露的详细时间如下:

2017年9月16日:攻击者针对fox-it的基础设施展开首次探测活动,包括常规的端口 扫描漏洞扫描和其它扫描活动。

2017年9月19日, 00:38:攻击者第三方提供商处修改了fox-it.com 域名的dns记录。

2017年9月19日, 02:02: 这是fox-it能够确定clientportal.fox-it.com仍指向合法clientportal 服务器的最后时间,当时流向clientportal的流量未遭遇拦截。

2017年9月19日, 02:05-02:15:攻击者临时重定向并拦截了fox-it的电子邮件,其目的是为了证明他们在为clientportal 注册虚假ssl证书的过程中获取了fox-it的域名。

2017年9月19日, 02:21:真正开始启动针对clientportal中间人攻击。此时,clientportal的欺骗性ssl证书已到位,clientportal.fox-it.com的ipdns记录已被修改指向国外vps提供商。

2017年9月19日, 07:25:经fox-it判断,fox-it.com的域名服务器已被重定向,而这种更改操作并未经过授权。fox-it将dns设置改回自己的域名服务器,并修改了域名注册账户的密码。由于域名名称系统的缓存和分布式性质,修改需要一定的时间完全生效。

2017年9月19日, 12:45:fox-it禁用了clientportal登录认证系统的双因素验证(通过文本信息),从而有效阻止clientportal用户成功登录后遭遇流量拦截。此外,为了不打草惊蛇fox-it仍保持clientportal正常运作。此时,从技术角度来讲中间人攻击仍然处于活跃状态,但却也无法接收流量实施拦截,因为用户无法执行双因素验证和登录操作。

2017年9月19日-20日:fox-it对此展开完整的调查,同时通知了受影响的所有用户和荷兰数据保护局等相关方。警方为此展开调查。基于fox-it的调查,攻击已得到全面控制,该公司正准备在clientportal上重新启用双因素认证。

2017年9月20日, 15:38:clientportal恢复正常运行。fox-it的内部调查工作仍在继续。

x 荷兰网络安全公司fox-it遭遇中间人攻击 扫一扫
分享本文到朋友圈
尊龙凯时注册
当前位置:安全行业动态 → 正文

责任编辑:editor007 |来源:企业网d1net  2017-12-21 20:28:47 本文摘自:e安全

位于荷兰的it安全提供商fox-it披露,曾在2017年9月遭到不明身份的黑客发起的中间人攻击,攻击持续10个小时24分钟。

攻击过程

fox-it表示,黑客劫持了公司的域名,随后以fox-it的名义获取ssl证书。之后,黑客将域名指向受控的私有vps(虚拟专用服务器)服务器,进而执行中间人攻击,接收本应流向fox-it域名的流量,凭借ssl证书读取https连接的内容,随后将用户重定向回真正的fox-it服务器。

荷兰网络安全公司fox-it遭遇中间人攻击-e安全

黑客仅以fox-it的用户门户网站为目标

fox-it表示,黑客只对拦截clientportal网站的流量感兴趣。攻击者拦截了登录尝试、凭证和发送给clientportal的文件,共拦截了9名用户的凭证和12份文件。

受影响用户数量不多的原因在于,fox-it在事发5个小时后检测到了这起域名劫持事件和中间人攻击,并禁用了双因素认证服务,从而有效地阻止用户登录并暴露其它重要的文件和数据。

除此之外,fox-it迅速通知了受影响的客户,并重置了遭拦截的密码。fox-it表示,遭拦截的文件中并不包含“机密”文件,只有少数文件包含敏感信息。其它文件和数据包含手机号码、clientportal用户的名称和电子邮箱,以及clientportal账户名。

fox-it遭遇攻击后如何响应?

fox-it表示,行业平均检测威胁所需时间为几周,而他们的速度明显超出平均水平。这家公司还表示已向荷兰执法机构上报了该事件。这起攻击从发生到披露的详细时间如下:

2017年9月16日:攻击者针对fox-it的基础设施展开首次探测活动,包括常规的端口 扫描漏洞扫描和其它扫描活动。

2017年9月19日, 00:38:攻击者第三方提供商处修改了fox-it.com 域名的dns记录。

2017年9月19日, 02:02: 这是fox-it能够确定clientportal.fox-it.com仍指向合法clientportal 服务器的最后时间,当时流向clientportal的流量未遭遇拦截。

2017年9月19日, 02:05-02:15:攻击者临时重定向并拦截了fox-it的电子邮件,其目的是为了证明他们在为clientportal 注册虚假ssl证书的过程中获取了fox-it的域名。

2017年9月19日, 02:21:真正开始启动针对clientportal中间人攻击。此时,clientportal的欺骗性ssl证书已到位,clientportal.fox-it.com的ipdns记录已被修改指向国外vps提供商。

2017年9月19日, 07:25:经fox-it判断,fox-it.com的域名服务器已被重定向,而这种更改操作并未经过授权。fox-it将dns设置改回自己的域名服务器,并修改了域名注册账户的密码。由于域名名称系统的缓存和分布式性质,修改需要一定的时间完全生效。

2017年9月19日, 12:45:fox-it禁用了clientportal登录认证系统的双因素验证(通过文本信息),从而有效阻止clientportal用户成功登录后遭遇流量拦截。此外,为了不打草惊蛇fox-it仍保持clientportal正常运作。此时,从技术角度来讲中间人攻击仍然处于活跃状态,但却也无法接收流量实施拦截,因为用户无法执行双因素验证和登录操作。

2017年9月19日-20日:fox-it对此展开完整的调查,同时通知了受影响的所有用户和荷兰数据保护局等相关方。警方为此展开调查。基于fox-it的调查,攻击已得到全面控制,该公司正准备在clientportal上重新启用双因素认证。

2017年9月20日, 15:38:clientportal恢复正常运行。fox-it的内部调查工作仍在继续。

回到顶部
"));
"));

关于尊龙凯时注册联系尊龙凯时注册隐私条款广告服务尊龙凯时注册的友情链接投稿中心尊龙凯时注册的招贤纳士

企业网尊龙凯时注册的版权所有 ©2010-2024

^
网站地图