11
Sicherheitswarnung der Telekom
Hallo zusammen,
ich bekomme seit 4 Wochen in unregelmäßigen Abständen Sicherheitswarnungen der Telekom, die wie folgt Aussehen:
TELEKOM SICHERHEITSTEAM
| Kundennummer: 123456789
| Anschlussinhaber: Man Mustermann
Sehr geehrter Herr Mustermann,
wir, das Telekom Sicherheitsteam, sind Ihre Ansprechpartner zum Thema Missbrauch von Telekom-Diensten und kümmern uns um Ihre Sicherheit im Internet.
Wir haben Hinweise erhalten, dass ein oder mehrere Endgeräte in Ihrem Netzwerk mit Schadsoftware (z.B. Viren) infiziert sind. Diese Malware könnte versuchen, sich weiter im Internet zu verbreiten bzw. ein Eindringen in Ihr Heimnetzwerk für eine Fremdnutzung vorzubereiten.
Die folgende IP-Adresse war Ihrem Anschluss an dem genannten Zeitpunkt zugeordnet:
IP-Adresse: xxx.xxx.xxx.xxx
Zeitpunkt: 26.04.2021 07:41:12 MESZ
Infektion: dltminer
Bitte überprüfen Sie alle Endgeräte mit einem Sicherheitsprogramm. Wir können nicht auswerten, welches Ihrer Endgeräte betroffen ist. Achten Sie auch darauf, dass Sie ein aktuelles Betriebssystem für Ihren Computer nutzen.
Einige Infektionen können z.B. auch IoT Geräte, Router, Kameras, Smart-TV oder andere smarte Systeme befallen, bitte prüfen Sie auch diese.
Sie haben Fragen? Wir sind für Sie da.
Sie erreichen uns von Montag bis Samstag zwischen 8 Uhr und 22 Uhr unter der kostenfreien Rufnummer 0800 5544300. Halten Sie bitte Ihre Ticket-Nummer und Zugangsnummer aus dem Betreff dieser E-Mail bereit.
Auf unserer Seite www.telekom.de/hilfe/festnetz-internet-tv/sicherheit/missbrauch-von-diensten haben wir Ihnen viele hilfreiche Tipps und Links zum Thema Sicherheit zusammengestellt.
Mit freundlichen Grüßen
Ihr Telekom Sicherheitsteam
Deutsche Telekom Security GmbH
Internal Security & Cyber Defense
Bonner Talweg 100, 53113 Bonn
Mit Sicherheit handelt es sich um die Folgen von dem Angriff auf meinen Exchange vom Ende 03/21. Den Exchange habe ich danach neu aufegesetzt und der befindet sich bei mir in der DMZ und zeigt seitdem keine Auffälligkeiten mehr auf. Meine Frage ist eigentlich, ob ich auf die Spur des dltminer in meinem NW irgendwie kommen kann ohne das komplette NW mit AD etc. neu aufzusetzen. Mir kam die Idee, mit Wireshark den NW-Verkehr eine Weile zu scannen. Nach was müsste ich dann Auschau halten: typische Protokolle, Ports etc. Hat jemand eine Idee möglichst ohne HInweise auf die Sinnfreiheit der Aktion. Danke
ich bekomme seit 4 Wochen in unregelmäßigen Abständen Sicherheitswarnungen der Telekom, die wie folgt Aussehen:
TELEKOM SICHERHEITSTEAM
| Kundennummer: 123456789
| Anschlussinhaber: Man Mustermann
Sehr geehrter Herr Mustermann,
wir, das Telekom Sicherheitsteam, sind Ihre Ansprechpartner zum Thema Missbrauch von Telekom-Diensten und kümmern uns um Ihre Sicherheit im Internet.
Wir haben Hinweise erhalten, dass ein oder mehrere Endgeräte in Ihrem Netzwerk mit Schadsoftware (z.B. Viren) infiziert sind. Diese Malware könnte versuchen, sich weiter im Internet zu verbreiten bzw. ein Eindringen in Ihr Heimnetzwerk für eine Fremdnutzung vorzubereiten.
Die folgende IP-Adresse war Ihrem Anschluss an dem genannten Zeitpunkt zugeordnet:
IP-Adresse: xxx.xxx.xxx.xxx
Zeitpunkt: 26.04.2021 07:41:12 MESZ
Infektion: dltminer
Bitte überprüfen Sie alle Endgeräte mit einem Sicherheitsprogramm. Wir können nicht auswerten, welches Ihrer Endgeräte betroffen ist. Achten Sie auch darauf, dass Sie ein aktuelles Betriebssystem für Ihren Computer nutzen.
Einige Infektionen können z.B. auch IoT Geräte, Router, Kameras, Smart-TV oder andere smarte Systeme befallen, bitte prüfen Sie auch diese.
Sie haben Fragen? Wir sind für Sie da.
Sie erreichen uns von Montag bis Samstag zwischen 8 Uhr und 22 Uhr unter der kostenfreien Rufnummer 0800 5544300. Halten Sie bitte Ihre Ticket-Nummer und Zugangsnummer aus dem Betreff dieser E-Mail bereit.
Auf unserer Seite www.telekom.de/hilfe/festnetz-internet-tv/sicherheit/missbrauch-von-diensten haben wir Ihnen viele hilfreiche Tipps und Links zum Thema Sicherheit zusammengestellt.
Mit freundlichen Grüßen
Ihr Telekom Sicherheitsteam
Deutsche Telekom Security GmbH
Internal Security & Cyber Defense
Bonner Talweg 100, 53113 Bonn
Mit Sicherheit handelt es sich um die Folgen von dem Angriff auf meinen Exchange vom Ende 03/21. Den Exchange habe ich danach neu aufegesetzt und der befindet sich bei mir in der DMZ und zeigt seitdem keine Auffälligkeiten mehr auf. Meine Frage ist eigentlich, ob ich auf die Spur des dltminer in meinem NW irgendwie kommen kann ohne das komplette NW mit AD etc. neu aufzusetzen. Mir kam die Idee, mit Wireshark den NW-Verkehr eine Weile zu scannen. Nach was müsste ich dann Auschau halten: typische Protokolle, Ports etc. Hat jemand eine Idee möglichst ohne HInweise auf die Sinnfreiheit der Aktion. Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666266
Url: https://administrator.de/contentid/666266
Printed on: April 24, 2024 at 16:04 o'clock
11 Comments
Latest comment
Zitat von @dbox3:
Meine Frage ist eigentlich, ob ich auf die Spur des dltminer in meinem NW irgendwie kommen kann ohne das komplette NW mit AD etc. neu aufzusetzen. Mir kam die Idee, mit Wireshark den NW-Verkehr eine Weile zu scannen. Nach was müsste ich dann Auschau halten: typische Protokolle, Ports etc. Hat jemand eine Idee möglichst ohne HInweise auf die Sinnfreiheit der Aktion. Danke
Meine Frage ist eigentlich, ob ich auf die Spur des dltminer in meinem NW irgendwie kommen kann ohne das komplette NW mit AD etc. neu aufzusetzen. Mir kam die Idee, mit Wireshark den NW-Verkehr eine Weile zu scannen. Nach was müsste ich dann Auschau halten: typische Protokolle, Ports etc. Hat jemand eine Idee möglichst ohne HInweise auf die Sinnfreiheit der Aktion. Danke
Natürllich kannst Du dem auf die Spur kommen. Allerdings ist das keine Gewähr dafür, daß Du es auch los wirst. Denn wenn das AD "infiziert" ist, kann der Angreifer sich überall Hintertüren angelegt haben, auch wenn Du die gerade aktive Malware "entsorgst".
Das wurde hier im Forum schon mehrmals diskutiert, aber glaube mir, das "Frisch Machen" ist die einzige Zuverlässige Methode, das dauerhaft loszuwerden.
lks
Danke für die schnelle Antwort. Wonach müsste ich dann suchen? Irgendwie erkennt die Telekom anahnd typischer Merkmale den Angriff. Was sind diese?
Moin,
dltminer ist übrigens kein Virus/Trojaner , sondern eine APT Gruppe die sich auf Kryptominer spezialisiert hat.
lg,
Slainte
Sie haben Fragen? Wir sind für Sie da.
Sie erreichen uns von Montag bis Samstag zwischen 8 Uhr und 22 Uhr unter der kostenfreien Rufnummer 0800 5544300. Halten Sie > bitte Ihre Ticket-Nummer und Zugangsnummer aus dem Betreff dieser E-Mail bereit.
Ich weis, hört sich wahnwitzig an aber: Da schon mal angerufen?Sie erreichen uns von Montag bis Samstag zwischen 8 Uhr und 22 Uhr unter der kostenfreien Rufnummer 0800 5544300. Halten Sie > bitte Ihre Ticket-Nummer und Zugangsnummer aus dem Betreff dieser E-Mail bereit.
dltminer ist übrigens kein Virus/Trojaner , sondern eine APT Gruppe die sich auf Kryptominer spezialisiert hat.
lg,
Slainte
Die Telekom bekommt diese Hinweise in der Regel vom BSI und unterschlägt dir eine Information: Nämlich die Zieldomain, mit der sich die Malware verbunden hat.
Wenn du also fürs Erste anfängst, alle DNS-Anfragen zu protokollieren (fremde DNS an der Firewall sperren), kannst du zusammen mit der Uhrzeit nachsehen gehen, wer da kryptische Domains aufgerufen hat.
Wenn du also fürs Erste anfängst, alle DNS-Anfragen zu protokollieren (fremde DNS an der Firewall sperren), kannst du zusammen mit der Uhrzeit nachsehen gehen, wer da kryptische Domains aufgerufen hat.
Zitat von @LordGurke:
Wenn du also fürs Erste anfängst, alle DNS-Anfragen zu protokollieren (fremde DNS an der Firewall sperren), kannst du zusammen mit der Uhrzeit nachsehen gehen, wer da kryptische Domains aufgerufen hat.
Wenn du also fürs Erste anfängst, alle DNS-Anfragen zu protokollieren (fremde DNS an der Firewall sperren), kannst du zusammen mit der Uhrzeit nachsehen gehen, wer da kryptische Domains aufgerufen hat.
Nptzt aber alles trotzdem nichts, weil Du nicht weißt, was außer dem Kryptominer noch da alles herumschlummert und nur darauf wartet im richtigen Moment aus der Kiste zu springen.
lks
Wie prüft dann das BSI das?
Ich kenne das auch, die haben angemerkt, dass man z.B. einen Telnet-Server.
Machen die dann Portscans?
WTF? Nein, für so kompetent halte ich die nicht.
Meistens nennen sie die Quellen, das ist sehr oft https://www.shadowserver.org/
Im Falle von Malware bekommen sie die Daten dann oft von den Organisationen, die C&C-Server der Botnetze übernommen haben.
Hi,
hier gibts Antworten zu deinen Fragen.
https://www.telekom.de/hilfe/festnetz-internet-tv/sicherheit/missbrauch- ...
Und falls du es live sehen willst ...
https://www.sicherheitstacho.eu/start/main
MfG
hier gibts Antworten zu deinen Fragen.
https://www.telekom.de/hilfe/festnetz-internet-tv/sicherheit/missbrauch- ...
Und falls du es live sehen willst ...
https://www.sicherheitstacho.eu/start/main
MfG
Ich habe unter der angegebenen Nummer der Telekom folgende Info bekommen:
source-Port 51097 dest-IP 187.162.203.202 dest.-Port 80 dest-Domaine p.estonine.com
Habe bisher in den Wireshark-Logs nichts gefunden. Das waren insgesamt 3 Warnungen der Telekom innerhab der letzten 4 Wochen. Ich versuche noch den gesamten Verkehr für 1 Woche in meinem Router aufzuzeichnen, da der Trojaner scheint nur ca. 1x/Woche aktiv zu sein. Sonst ist der Aufwand für die Neueinrichtung aller Rechner im NW und der Domaine selbst unvergleichbar aufwändiger. Sollte es nicht funzen, bleib mir wohl nichts anderes übrig.
Danke
source-Port 51097 dest-IP 187.162.203.202 dest.-Port 80 dest-Domaine p.estonine.com
Habe bisher in den Wireshark-Logs nichts gefunden. Das waren insgesamt 3 Warnungen der Telekom innerhab der letzten 4 Wochen. Ich versuche noch den gesamten Verkehr für 1 Woche in meinem Router aufzuzeichnen, da der Trojaner scheint nur ca. 1x/Woche aktiv zu sein. Sonst ist der Aufwand für die Neueinrichtung aller Rechner im NW und der Domaine selbst unvergleichbar aufwändiger. Sollte es nicht funzen, bleib mir wohl nichts anderes übrig.
Danke
Dann hat sich die Telekom wohl nen Schreibfehler geleistet. (187 statt 178)
Zudem gehen da auch beliebige Unterdomains, der DNS liefert für alles antworten.
Zudem gehen da auch beliebige Unterdomains, der DNS liefert für alles antworten.
; <<>> DiG 9.16.8-Ubuntu <<>> p.estonine.com any
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13105
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;p.estonine.com. IN ANY
;; ANSWER SECTION:
p.estonine.com. 86268 IN AAAA 2a02:1668:1034::2
p.estonine.com. 86268 IN MX 10 5.79.71.205.
p.estonine.com. 86268 IN MX 20 85.17.31.82.
p.estonine.com. 86268 IN MX 40 178.162.203.211.
p.estonine.com. 86268 IN MX 30 178.162.203.226.
;; Query time: 87 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: So Mai 02 12:38:24 CEST 2021
;; MSG SIZE rcvd: 187
m@ryz:~$ 
