ET MALWARE LNKR CnC Activity

[k0ns0l3]

Muss ich mir Sorgen machen  ???

Code Select Expand

2020-04-22T16:19:19 suricata[25000]: [1:2027419:3] ET MALWARE LNKR CnC Activity M1 [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 1xx.xx.xx.xx:42202 -> 172.64.198.30:80

Code Select Expand

suricata[25000]: [1:2027420:3] ET MALWARE LNKR CnC Activity M2 [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 1xx.xx.xx.xx:42206 -> 172.64.198.30:80

Code Select Expand

suricata[25000]: [1:2027421:3] ET MALWARE LNKR CnC Activity M3 [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 1xx.x.xx.xx:42204 -> 172.64.198.30:80


suricata[25000]: {"timestamp": "2020-04-22T16:19:19.529290+0200", "flow_id": 672823041837867, "in_iface": "igb0", "event_type": "alert", "src_ip": "1xx.xx.xx", "src_port": 42204, "dest_ip": "172.64.198.30", "dest_port": 80, "proto": "TCP", "metadata": {"flowbits": ["FB550953_0", "FB180732_0"]}, "tx_id": 0, "alert": {"action": "allowed", "gid": 1, "signature_id": 2027421, "rev": 3, "signature": "ET MALWARE LNKR CnC Activity M3", "category": "A Network Trojan was Detected", "severity": 1, "metadata": {"updated_at": ["2019_06_03"], "performance_impact": ["Low"], "created_at": ["2019_06_03"], "signature_severity": ["Minor"], "deployment": ["Perimeter"], "attack_target": ["Client_Endpoint"], "affected_product": ["Web_Browser_Plugins", "Web_Browsers"], "former_category": ["ADWARE_PUP"]}}, "http": {"hostname": "jackyhillty.net", "url": "/metric/?mid=&wid=52641&sid=&tid=8886&rid=BEFORE_OPTOUT_REQ&t=1587565159488", "http_user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:68.0) Gecko/20100101 Firef


Bei der IP Adresse handelt es sich um eine Cloudflare, Inc., US

IP Address:    172.64.198.30
ASN #:    AS13335 CLOUDFLARENET - Cloudflare, Inc., US
Location:    Data unavailable.

Ich bin für jeden hinweiß dankbar!

MfG k0ns0l3

[leeloolee]

Hey k0ns0l3

TL;DR: Ja du solltest deine Firefox Plugins prüfen. Eines von denen scheint dir was untergeschoben zu haben. (Laut Suricata logs)

Long story:

so wie ich dein Log lesen ist folgendes los:

Dein Mac mit Version OS X 10.14 und mit dem Installierten Firefox Version 68

Code Select Expand

"http_user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:68.0) Gecko/20100101 Firef

hat an die domain jackyhillty.net welches zur IP 172.64.198.30 passt. (jackyhillty.net ist wohl ein Browser Hijacker)

Code Select Expand

"http": {"hostname": "jackyhillty.net"

eine SQL commando gesendet.

Code Select Expand

"url": "/metric/?mid=&wid=52641&sid=&tid=8886&rid=BEFORE_OPTOUT_REQ&t=1587565159488"
ich habe nur den Eintrag t entschlüsseln können welches die unix epoche ist dass 1587565159488 für 4/22/2020, 4:19:19 PM steht. Der Rest sind wohl andere Einträge in anderen Tabellen der SQL Datenbank die sie betreiben.

So und jetzt woher kann das kommen:
dein Log sag, dass es wohl ein Firefox Plugin sein kann. Hast du was in dein Browser installiert?

Code Select Expand

affected_product": ["Web_Browser_Plugins", "Web_Browsers"]

Check welches plugin du drauf gemacht hast bzw. suche bei duckduckgo oder google nach dem plugin in Verbindung mit jackyhillty.net.

Beispiel : https://addons.mozilla.org/en-US/firefox/addon/fvd-video-downloader-free/reviews/
Diese Addon installiert wohl jackyhillty.net. Also finger weg Addons wie solche Video downloader.

Grüße

Ps: cool das Suricata das sofort gesehen hat :) Danke nochmal an Opnsense team für die tolle Firewall.

Edit: Rechtschreibung

[lenny]

Hast du die Meldung "zufällig" im Log gesehen oder gibts eine Möglichkeit, das per Mail mit Monit zu versenden?

[k0ns0l3]

Ich kontrolliere täglich Log-File und dank euch auch Auslöser gefunden  8)



Viele Grüße, k0ns0l3