1
German - Deutsch / Angeblich ZEUS-Aktivitäten auf einer Leitung...
« on: July 18, 2023, 11:45:34 am »
Hallo,
ich habe ein Problem, bei dem ich ratlos bin. Wir haben laut cert-bund.de aus unserem Netzwerk ZEUS-verdächtige Aktivitäten.
Netzwerkbeschreibung:
Kabelanschluss Vodafone --> Fritzbox Cable --> Server mit OPNSense --> interne Verteilung an -zig Computer
Maßnahmen:
* DHCP alle Windows-Rechner entfernt,
DHCP vergibt keine IPs über Adresspool, alle MACs sind dem DHCP bekannt
* Alle Windows-Rechner gescannt (mit separatem Betriebssystem), dann wieder ins Netz genommen
* Alle Scans NEGATIV (Alle Rechner sind auch mit AntivirenSoft ausgestattet)
* Über WLAN nur sehr eingeschränkter Zugang, nur Rechner, die dem DHCP bekannt gemacht wurden, darunter zwei Android Handys (zweimal Samsung)
Beim Durchsuchen der Logfiles nach Angaben der Meldung vom Cert fand ich einen Eintrag, der mit den Angaben des Cert als Suchkriterien einen Treffer ergab: Port 27568 TCP, Datum/Zeit 14.07.2023, 09:19
2023-07-14T09:19:28 Informational filterlog 81,,,761a166383f941c76dbf2c76c9e2f241,igb1,match,pass,out,4,0x0,,127,34833,0,DF,6,tcp -->
,52,192.168.178.23,173.231.184.124,27568,80,0,S,620865634,,64240,,mss;nop;wscale;nop;nop;sackOK
WENN ich also diesen Logeintrag richtig interpretiere, dann hat die IP-Adresse 192.168.178.23 eine TCP-Verbindung zu 173.231.184.124 aufgebaut. Aber auch zu Port 27568?
WENN es der Port 27568 war, wäre es der OPNSense-Server selbst, denn das ist seine interne IP-Adresse (192.168.178.23). Könnte es einen Service in OPNSense geben, welcher nach Außen den Anschein erwecken könnte, dass es ZEUS ist (ZEUS ist ein Windows-Trojaner)?
Hinter 173.231.184.124 verbirgt sich etwas, wenn man es in den Browser eingibt, kommt zwar keine Seite, aber auch keine Fehlermeldung. Ein Portscan meldet einen mail412.us2.mcsv.net zurück mit offenen Ports 80 (HTTP), 443 (HTTPS) und 21 (FTP). Das nicht signierte Zertifikat ist ausgestellt auf Internet Widgits Pty Ltd.
Allerdings habe ich seit Monaten keine Änderungen mehr an dem Server vorgenommen, nichts hinzugefügt, so dass ich mir ein plötzliches Auftreten dieser Meldung nicht erklären kann.
Habt Ihr sonst noch Ideen?
Diese Nummer kratzt an meinem Ego!
Gruß Denise
ich habe ein Problem, bei dem ich ratlos bin. Wir haben laut cert-bund.de aus unserem Netzwerk ZEUS-verdächtige Aktivitäten.
Netzwerkbeschreibung:
Kabelanschluss Vodafone --> Fritzbox Cable --> Server mit OPNSense --> interne Verteilung an -zig Computer
Maßnahmen:
* DHCP alle Windows-Rechner entfernt,
DHCP vergibt keine IPs über Adresspool, alle MACs sind dem DHCP bekannt
* Alle Windows-Rechner gescannt (mit separatem Betriebssystem), dann wieder ins Netz genommen
* Alle Scans NEGATIV (Alle Rechner sind auch mit AntivirenSoft ausgestattet)
* Über WLAN nur sehr eingeschränkter Zugang, nur Rechner, die dem DHCP bekannt gemacht wurden, darunter zwei Android Handys (zweimal Samsung)
Beim Durchsuchen der Logfiles nach Angaben der Meldung vom Cert fand ich einen Eintrag, der mit den Angaben des Cert als Suchkriterien einen Treffer ergab: Port 27568 TCP, Datum/Zeit 14.07.2023, 09:19
2023-07-14T09:19:28 Informational filterlog 81,,,761a166383f941c76dbf2c76c9e2f241,igb1,match,pass,out,4,0x0,,127,34833,0,DF,6,tcp -->
,52,192.168.178.23,173.231.184.124,27568,80,0,S,620865634,,64240,,mss;nop;wscale;nop;nop;sackOK
WENN ich also diesen Logeintrag richtig interpretiere, dann hat die IP-Adresse 192.168.178.23 eine TCP-Verbindung zu 173.231.184.124 aufgebaut. Aber auch zu Port 27568?
WENN es der Port 27568 war, wäre es der OPNSense-Server selbst, denn das ist seine interne IP-Adresse (192.168.178.23). Könnte es einen Service in OPNSense geben, welcher nach Außen den Anschein erwecken könnte, dass es ZEUS ist (ZEUS ist ein Windows-Trojaner)?
Hinter 173.231.184.124 verbirgt sich etwas, wenn man es in den Browser eingibt, kommt zwar keine Seite, aber auch keine Fehlermeldung. Ein Portscan meldet einen mail412.us2.mcsv.net zurück mit offenen Ports 80 (HTTP), 443 (HTTPS) und 21 (FTP). Das nicht signierte Zertifikat ist ausgestellt auf Internet Widgits Pty Ltd.
Allerdings habe ich seit Monaten keine Änderungen mehr an dem Server vorgenommen, nichts hinzugefügt, so dass ich mir ein plötzliches Auftreten dieser Meldung nicht erklären kann.
Habt Ihr sonst noch Ideen?
Diese Nummer kratzt an meinem Ego!
Gruß Denise