Hallo,
ich habe ein Problem, bei dem ich ratlos bin. Wir haben laut cert-bund.de aus unserem Netzwerk ZEUS-verdächtige Aktivitäten.
Netzwerkbeschreibung:
Kabelanschluss Vodafone --> Fritzbox Cable --> Server mit OPNSense --> interne Verteilung an -zig Computer
Maßnahmen:
* DHCP alle Windows-Rechner entfernt,
DHCP vergibt keine IPs über Adresspool, alle MACs sind dem DHCP bekannt
* Alle Windows-Rechner gescannt (mit separatem Betriebssystem), dann wieder ins Netz genommen
* Alle Scans NEGATIV (Alle Rechner sind auch mit AntivirenSoft ausgestattet)
* Über WLAN nur sehr eingeschränkter Zugang, nur Rechner, die dem DHCP bekannt gemacht wurden, darunter zwei Android Handys (zweimal Samsung)
Beim Durchsuchen der Logfiles nach Angaben der Meldung vom Cert fand ich einen Eintrag, der mit den Angaben des Cert als Suchkriterien einen Treffer ergab: Port 27568 TCP, Datum/Zeit 14.07.2023, 09:19
2023-07-14T09:19:28 Informational filterlog 81,,,761a166383f941c76dbf2c76c9e2f241,igb1,match,pass,out,4,0x0,,127,34833,0,DF,6,tcp -->
,52,192.168.178.23,173.231.184.124,27568,80,0,S,620865634,,64240,,mss;nop;wscale;nop;nop;sackOK
WENN ich also diesen Logeintrag richtig interpretiere, dann hat die IP-Adresse 192.168.178.23 eine TCP-Verbindung zu 173.231.184.124 aufgebaut. Aber auch zu Port 27568?
WENN es der Port 27568 war, wäre es der OPNSense-Server selbst, denn das ist seine interne IP-Adresse (192.168.178.23). Könnte es einen Service in OPNSense geben, welcher nach Außen den Anschein erwecken könnte, dass es ZEUS ist (ZEUS ist ein Windows-Trojaner)?
Hinter 173.231.184.124 verbirgt sich etwas, wenn man es in den Browser eingibt, kommt zwar keine Seite, aber auch keine Fehlermeldung. Ein Portscan meldet einen mail412.us2.mcsv.net zurück mit offenen Ports 80 (HTTP), 443 (HTTPS) und 21 (FTP). Das nicht signierte Zertifikat ist ausgestellt auf Internet Widgits Pty Ltd.
Allerdings habe ich seit Monaten keine Änderungen mehr an dem Server vorgenommen, nichts hinzugefügt, so dass ich mir ein plötzliches Auftreten dieser Meldung nicht erklären kann.
Habt Ihr sonst noch Ideen?
Diese Nummer kratzt an meinem Ego! :-\
Gruß Denise
Hallo Denise,
27568 ist der Quellport, der Zielport ist 80, also gewöhnliches HTTP.
Ist IDS aktiv? Dann gehe mal zu Services->Intrusion Detection->Administration->Alerts und suche nach "Anubis".
Wenn ich die IP im Browser aufrufe bekomme ich folgende Emerging Threats Meldungen:
ET MALWARE Possible Compromised Host AnubisNetworks Sinkhole Cookie Value btst
ET MALWARE Possible Compromised Host AnubisNetworks Sinkhole Cookie Value Snkz
Hallo vpx,
vielen Dank für Deine Antwort und Hinweise. Ich habe den einen verdächtigen OPNSense dahingehend überprüft und keinen Eintrag gefunden.
Blöd: ich habe aus Gründen der Redundanz einen zweiten OPNSense Server und dort das IDS nicht aktiviert. Echt dumm! >:( Es war dort nicht aktiviert, weil die Meldung nicht diese Leitung betrifft.
Habe ich nun nachgeholt und hoffe auf diesem Weg vielleicht doch noch den Attentäter zu finden.
Aber vielleicht hast Du noch andere Ideen?
Dank und Gruß
Denise
Kann es sein, dass du den Web Proxy aktiviert hast?
Dann würde es so aussehen als ob die Firewall selbst die IP abgefragt hat.
Findest du die verdächtige IP in Services->Web Proxy->Access Log? Dann kannst du den ursprünglichen PC im Netz herausfinden.
Hallo vpx,
nein, der Webproxy ist nicht aktiviert. Habe ich auch erst gedacht.
ich habe nun das IDS auf LAN aktiviert und scharf gestellt. Ich hatte heute noch ein Gespräch mit einem Vodafone Mitarbeiter, allerdings können die mir - nachvollziehbarerweise - auch nicht weiterhelfen. Aber ist für die schon mal gut zu wissen, dass ich an der Sache dran bin.
Ich gehe also mal davon aus, dass OPNSense keinen Service behinhaltet, der nach außen den Eindruck vermittelt, da sei etwas böses am Werk. Würde mich auch arg wundern. Aber es reicht ja ein Service aktiviert, falsch konfiguriert und schon bricht die Hölle aus. ;D
Ich muss nun warten, bis die nächste Warnung eingeht und in der Zwischenzeit täglich die Logfiles lesen.
Gibt's noch einen Tip, den ich umsetzen kann um den Störenfried zu fangen?
Gruß
Denise