16
Benutzer-Programm-Schadsoftware macht IP-Spoofing und greift per SNMP an
Guten Tag!
Ich konnte in der Firma in der ich arbeite folgendes beobachten:
Ich bekomme als Administrator einen Bericht von der USV-Anlage diese teilt mir mit das eine bestimmte IP-Adresse per SNMP zugreifen wollte (siehe Bild)
Die Probleme sind:
Habe bereit einen Tiefen scann mit unseren Antivirusprogramm durchgeführt (Bootsektor RAM C alles). Kein Fund
Wireshark hab ich ab heute am laufen.
Falls ihr mehr Infos benötigt fragt ruhig.
Ich konnte in der Firma in der ich arbeite folgendes beobachten:
Ich bekomme als Administrator einen Bericht von der USV-Anlage diese teilt mir mit das eine bestimmte IP-Adresse per SNMP zugreifen wollte (siehe Bild)
Die Probleme sind:
- das die IP-Adressen die der Bericht ausgiebt gespooft (IP-Spoofing) sind
- trotzdem das diese IP-Adresse bereits vorhanden ist (Ursprung + Spoof) ist es dem Ding möglich im Netzwerk zu agieren (einmal war ich per Zufall bei einem User zur selben Zeit fand ein "Angriff" statt wir konnten aber ohne Probleme auf das Netzwerk zugreifen währenddessen fand ein SNMP anfrage/angriff statt)
- könnte sein das es auch andere Geräte betroffen sind
- Findet nur zu bestimmten Zeiten statt
Habe bereit einen Tiefen scann mit unseren Antivirusprogramm durchgeführt (Bootsektor RAM C alles). Kein Fund
Wireshark hab ich ab heute am laufen.
Falls ihr mehr Infos benötigt fragt ruhig.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 352572
Url: https://administrator.de/contentid/352572
Printed on: April 25, 2024 at 01:04 o'clock
16 Comments
Latest comment
Du hast anscheinend eine APC-USV im Rennen.
Ich habe eine von HP, die aber damit in näherer Verwandschaft steht.
Der USV-Client nutzt SNMP zur Statusabfrage der USV. Ich sehe das jetzt noch nicht als ungewöhnlich.
Wenn ein PW auf der write-Community liegt, solltest Du sicher sein.
Es geht ja mehr darum, dass Dir niemand die USV per SNMP abschaltet.
Ich habe eine von HP, die aber damit in näherer Verwandschaft steht.
Der USV-Client nutzt SNMP zur Statusabfrage der USV. Ich sehe das jetzt noch nicht als ungewöhnlich.
Wenn ein PW auf der write-Community liegt, solltest Du sicher sein.
Es geht ja mehr darum, dass Dir niemand die USV per SNMP abschaltet.
Sie ist gesichert aber ich möchte trotzdem wissen wer da in meinem Netzwerk ärger macht. Denn ich kann nicht wissen wie weit der Angreifer geht.
Ich würde mich freuen wenn mir jemand sagen kann was dahinter stecken kann. Ist es ein Virus möchte ich den entfernen ist es ein User der Probleme macht möchte ich den abmahnen können.
Ich hatte erst vor kurzem ein paar vereinzelte Viruse/Trojaner/Wurm im System deswegn bin ich umso besorgter.
Da der Angreifer noch dazu so eine gewitzte Masche hat machts nicht besser!
Aber danke für die Antwort.
Ich würde mich freuen wenn mir jemand sagen kann was dahinter stecken kann. Ist es ein Virus möchte ich den entfernen ist es ein User der Probleme macht möchte ich den abmahnen können.
Ich hatte erst vor kurzem ein paar vereinzelte Viruse/Trojaner/Wurm im System deswegn bin ich umso besorgter.
Da der Angreifer noch dazu so eine gewitzte Masche hat machts nicht besser!
Aber danke für die Antwort.
Moin,
hast du irgend ein Netzwerk-Überwachungssystem bei dir am laufen?
Angenommen du nutzt z.B. Nagios kann dieser auch automatisch alle Geräte im Netz Scannen und du hättest das gleich "Fehler" Bild.
Gruß
Spirit
hast du irgend ein Netzwerk-Überwachungssystem bei dir am laufen?
Angenommen du nutzt z.B. Nagios kann dieser auch automatisch alle Geräte im Netz Scannen und du hättest das gleich "Fehler" Bild.
Gruß
Spirit
Lansweeper doch der spricht die USV mit seiner eigenen IP an u tarnt sich nicht hinter falschen IPs.
Nun mach eine Liste um welche Zeit welche Geräte Logins Melden.
Dann schau in die Logs welche User zu den Zeitpunkt Eingelogt sind.
Wenn es zu den selben Zeiten Täglich ist kannst du ja schon mal den Verursacher "Suchen".
Vermutlich hast du ja "schlaue" Switche/Router im Einsatz wo du ja die USV in ein VLAN packen kannst wo zb erstmal nur x User zugriff von iheren PC aus haben und die anderen Isolierst du.
Du kannst in den anderen Vlan dann ein Fake auf die IP setzten und schauen ob dann Zugriff erfolgt...
Aber die Möglichkeiten hängen da auch von deinen Netzwerk ab wie es Aufgebaut ist und was Vorhanden ist/Trennung ect...
Dann schau in die Logs welche User zu den Zeitpunkt Eingelogt sind.
Wenn es zu den selben Zeiten Täglich ist kannst du ja schon mal den Verursacher "Suchen".
Vermutlich hast du ja "schlaue" Switche/Router im Einsatz wo du ja die USV in ein VLAN packen kannst wo zb erstmal nur x User zugriff von iheren PC aus haben und die anderen Isolierst du.
Du kannst in den anderen Vlan dann ein Fake auf die IP setzten und schauen ob dann Zugriff erfolgt...
Aber die Möglichkeiten hängen da auch von deinen Netzwerk ab wie es Aufgebaut ist und was Vorhanden ist/Trennung ect...
Unter der Prämisse, dass sich USV und möglicherweise infizierte Clients im selben Layer2-Netzwerk befinden (also kein Router dazwischen steht), kannst du über Wireshark ja problemlos die MAC-Adresse sehen, von welcher der Zugriff kam.
Dann solltest du parallel minütlich die Switches anfragen (ich hoffe, die sind managed?) und dir die MAC-Tables abrufen.
Dann kannst du problemlos feststellen, zu welchem Zeitpunkt welche MAC-Adresse auf welchem Switchport zu sehen war und kannst dann sehr eindeutig auf den dort angeschlossenen Client zeigen.
Wenn da ein Router zwischen ist, müsstest du dafür sorgen, dass dir der Router eine entsprechende ARP-Table ausgibt und diese ebenfalls protokollieren.
Ansonsten: Was macht dich so sicher, dass die IP-Adresse gespoofed ist und nicht einfach nur in der Dokumentation vergessen wurde?
Dann solltest du parallel minütlich die Switches anfragen (ich hoffe, die sind managed?) und dir die MAC-Tables abrufen.
Dann kannst du problemlos feststellen, zu welchem Zeitpunkt welche MAC-Adresse auf welchem Switchport zu sehen war und kannst dann sehr eindeutig auf den dort angeschlossenen Client zeigen.
Wenn da ein Router zwischen ist, müsstest du dafür sorgen, dass dir der Router eine entsprechende ARP-Table ausgibt und diese ebenfalls protokollieren.
Ansonsten: Was macht dich so sicher, dass die IP-Adresse gespoofed ist und nicht einfach nur in der Dokumentation vergessen wurde?
Die meisten werden per DHCP verteilt nur ein paar wurden statisch vergeben. Durch den Befehl nslookup + Lansweeper kann ich sehr genau sagen welcher PC welche IP besitzt. Ich werde deinen Ratschlag überprüfen habe dazu auch schon Wireshark am laufen. Warum ich glaube das sie gespooft sind? Die Angriffe haben ein Zeitmuster ein Virus oder Protokoll können dies erzeugen Personen nur wenn sie es bewusst machen falls es eine Person ist bin ich mir sicher das sie gespooft sind den es gibt nur einen einzigen auserhalb unserer Crew der das Wissen haben könnte. Und das ist auch nicht sicher! Wenn es ein Virus ist kann ich es nicht sagen denn diese können es während dem Betrieb den Versuch starten. Aber dann hat unser Virusscanner und Analyseprogramm mehrfach versagt. Ich habe mehrere Tiefenscanns am laufen gehabt (Bootsektoren, RAM, Speicher etc.).
Vielleicht ist es auch was ganz simples und einfaches aber momentam kann ich noch nichts genaueres sagen werd schauen was Wireshark so spricht.;)
Vielleicht ist es auch was ganz simples und einfaches aber momentam kann ich noch nichts genaueres sagen werd schauen was Wireshark so spricht.;)
Nun DHCP da kannst du ja Feste IPs setzten zb neuen Bereich.
Da die User sicherlich keine Adminrechte haben würde das Tool nur laufen wenn der User mit seinen Account Angemeldet ist und dies Aktiv ausgeführt wird wodurch die Zeiten schon Hilfreich sind welche Clients mal näher Angeschaut werden sollte.
Ob die gespooft sind oder nicht, wird sich noch Klären.
Jedoch mit Wireshark an den Switchen/Uplinks kannst du schon die Message zu der USV Herrausfinden wo der Anfang ist und dann dort genauer Segmentieren.
Da die User sicherlich keine Adminrechte haben würde das Tool nur laufen wenn der User mit seinen Account Angemeldet ist und dies Aktiv ausgeführt wird wodurch die Zeiten schon Hilfreich sind welche Clients mal näher Angeschaut werden sollte.
Ob die gespooft sind oder nicht, wird sich noch Klären.
Jedoch mit Wireshark an den Switchen/Uplinks kannst du schon die Message zu der USV Herrausfinden wo der Anfang ist und dann dort genauer Segmentieren.
Hi 77lilly77,
hast du schon Neuigkeiten was Wireshark so meldet?
Wir hatten am 23.10 und heute jeweils eine Meldung einer USV mit der gleichen Meldung.
Analysen laufen derzeit.
hast du schon Neuigkeiten was Wireshark so meldet?
Wir hatten am 23.10 und heute jeweils eine Meldung einer USV mit der gleichen Meldung.
Analysen laufen derzeit.
Hatte viel zutun und erst heute fand es wieder statt. Die IP stimmt mit der Mac Adresse überein. Daraus schlussfolgere ich das es kein Spoof ist. Es ist auch ein SNMP Broadcast gewesen.
Mehr kann ich noch nicht sagen aufgrund der Probleme in der Firma konnte ich nur kurz mich diesem Thema zuwenden.
Ziehe bereits irgendein Programm in verdacht.
Mehr kann ich noch nicht sagen aufgrund der Probleme in der Firma konnte ich nur kurz mich diesem Thema zuwenden.
Ziehe bereits irgendein Programm in verdacht.
Wir haben genau das gleiche verhalten.
Welche Software ziehst du denn in verdacht?
Welche Software ziehst du denn in verdacht?
Verwendet ihr Sophos oder Eset?
Nein, Trend Micro.
Welche Rechnerhersteller setzt Ihr Ein?
Welche Rechnerhersteller setzt Ihr Ein?
HP Dell und Lenovo.
Die beiden arten von Virenscanner hatte ich in verdacht denn jeder PC der einen SNMP Angriff gestartet hatte diese Programme installiert.
Eine andere Idee wären die HP spezifischen Produkte konnte durch einen flüchtigen Blick eruieren das alle Angriffe von den HP Geräte ausgehen. Zu einer genaueren Analyse komme ich momentan nicht.
Die beiden arten von Virenscanner hatte ich in verdacht denn jeder PC der einen SNMP Angriff gestartet hatte diese Programme installiert.
Eine andere Idee wären die HP spezifischen Produkte konnte durch einen flüchtigen Blick eruieren das alle Angriffe von den HP Geräte ausgehen. Zu einer genaueren Analyse komme ich momentan nicht.
Ich habe dir gerade noch eine PN geschickt, vielleicht magst du mal kurz Anrufen.
Ich mache heute eine genauere Analyse und HP ist hier auch aktiv und bisher sind alle Geräte die gescannt haben auch HP.
Ich mache heute eine genauere Analyse und HP ist hier auch aktiv und bisher sind alle Geräte die gescannt haben auch HP.
Hy!
Ich habe die Lösung gefunden.
Als erstes eine kleine Zusammenfassung meiner Posts:
Die Lösung:
HP hat für HP Support Assistant die Version 8.5.37.19 herausgebracht. Dieser hat ohne das man das Programm geöffnet oder aktiviert hat einen SNMP Broadcast getätigt (immer wieder).
Ich habe deshalb diesen deinstalliert seitdem ich diesen Schritt ging fand ich keinen SNMP Broadcast mehr.
Ich habe die Lösung gefunden.
Als erstes eine kleine Zusammenfassung meiner Posts:
- Kein Spoof (MAC stimmte mit IP überein)
- Es war ein SNMP Broadcast
- Kein auffälliger Netzwerkverkehr nach außen oder nach innen (außer SNMP Broadcast)
Die Lösung:
HP hat für HP Support Assistant die Version 8.5.37.19 herausgebracht. Dieser hat ohne das man das Programm geöffnet oder aktiviert hat einen SNMP Broadcast getätigt (immer wieder).
Ich habe deshalb diesen deinstalliert seitdem ich diesen Schritt ging fand ich keinen SNMP Broadcast mehr.
