77lilly77
Goto Top

Benutzer-Programm-Schadsoftware macht IP-Spoofing und greift per SNMP an

Guten Tag!

Ich konnte in der Firma in der ich arbeite folgendes beobachten:
Ich bekomme als Administrator einen Bericht von der USV-Anlage diese teilt mir mit das eine bestimmte IP-Adresse per SNMP zugreifen wollte (siehe Bild)

usv1

Die Probleme sind:
  • das die IP-Adressen die der Bericht ausgiebt gespooft (IP-Spoofing) sind
  • trotzdem das diese IP-Adresse bereits vorhanden ist (Ursprung + Spoof) ist es dem Ding möglich im Netzwerk zu agieren (einmal war ich per Zufall bei einem User zur selben Zeit fand ein "Angriff" statt wir konnten aber ohne Probleme auf das Netzwerk zugreifen währenddessen fand ein SNMP anfrage/angriff statt)
  • könnte sein das es auch andere Geräte betroffen sind
  • Findet nur zu bestimmten Zeiten statt

Habe bereit einen Tiefen scann mit unseren Antivirusprogramm durchgeführt (Bootsektor RAM C alles). Kein Fund
Wireshark hab ich ab heute am laufen.

Falls ihr mehr Infos benötigt fragt ruhig.

Content-ID: 352572

Url: https://administrator.de/forum/benutzer-programm-schadsoftware-macht-ip-spoofing-und-greift-per-snmp-an-352572.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

beidermachtvongreyscull
beidermachtvongreyscull 23.10.2017 um 17:19:03 Uhr
Goto Top
Du hast anscheinend eine APC-USV im Rennen.
Ich habe eine von HP, die aber damit in näherer Verwandschaft steht.

Der USV-Client nutzt SNMP zur Statusabfrage der USV. Ich sehe das jetzt noch nicht als ungewöhnlich.
Wenn ein PW auf der write-Community liegt, solltest Du sicher sein.

Es geht ja mehr darum, dass Dir niemand die USV per SNMP abschaltet.
77lilly77
77lilly77 23.10.2017 um 18:02:55 Uhr
Goto Top
Sie ist gesichert aber ich möchte trotzdem wissen wer da in meinem Netzwerk ärger macht. Denn ich kann nicht wissen wie weit der Angreifer geht.
Ich würde mich freuen wenn mir jemand sagen kann was dahinter stecken kann. Ist es ein Virus möchte ich den entfernen ist es ein User der Probleme macht möchte ich den abmahnen können.
Ich hatte erst vor kurzem ein paar vereinzelte Viruse/Trojaner/Wurm im System deswegn bin ich umso besorgter.
Da der Angreifer noch dazu so eine gewitzte Masche hat machts nicht besser!
Aber danke für die Antwort.
Spirit-of-Eli
Spirit-of-Eli 23.10.2017 um 18:50:41 Uhr
Goto Top
Moin,

hast du irgend ein Netzwerk-Überwachungssystem bei dir am laufen?

Angenommen du nutzt z.B. Nagios kann dieser auch automatisch alle Geräte im Netz Scannen und du hättest das gleich "Fehler" Bild.

Gruß
Spirit
77lilly77
77lilly77 23.10.2017 um 19:18:27 Uhr
Goto Top
Lansweeper doch der spricht die USV mit seiner eigenen IP an u tarnt sich nicht hinter falschen IPs.
kaiand1
kaiand1 23.10.2017 um 19:37:52 Uhr
Goto Top
Nun mach eine Liste um welche Zeit welche Geräte Logins Melden.
Dann schau in die Logs welche User zu den Zeitpunkt Eingelogt sind.
Wenn es zu den selben Zeiten Täglich ist kannst du ja schon mal den Verursacher "Suchen".
Vermutlich hast du ja "schlaue" Switche/Router im Einsatz wo du ja die USV in ein VLAN packen kannst wo zb erstmal nur x User zugriff von iheren PC aus haben und die anderen Isolierst du.
Du kannst in den anderen Vlan dann ein Fake auf die IP setzten und schauen ob dann Zugriff erfolgt...

Aber die Möglichkeiten hängen da auch von deinen Netzwerk ab wie es Aufgebaut ist und was Vorhanden ist/Trennung ect...
LordGurke
LordGurke 23.10.2017 um 20:17:42 Uhr
Goto Top
Unter der Prämisse, dass sich USV und möglicherweise infizierte Clients im selben Layer2-Netzwerk befinden (also kein Router dazwischen steht), kannst du über Wireshark ja problemlos die MAC-Adresse sehen, von welcher der Zugriff kam.
Dann solltest du parallel minütlich die Switches anfragen (ich hoffe, die sind managed?) und dir die MAC-Tables abrufen.
Dann kannst du problemlos feststellen, zu welchem Zeitpunkt welche MAC-Adresse auf welchem Switchport zu sehen war und kannst dann sehr eindeutig auf den dort angeschlossenen Client zeigen.

Wenn da ein Router zwischen ist, müsstest du dafür sorgen, dass dir der Router eine entsprechende ARP-Table ausgibt und diese ebenfalls protokollieren.

Ansonsten: Was macht dich so sicher, dass die IP-Adresse gespoofed ist und nicht einfach nur in der Dokumentation vergessen wurde?
77lilly77
77lilly77 23.10.2017 um 21:09:44 Uhr
Goto Top
Die meisten werden per DHCP verteilt nur ein paar wurden statisch vergeben. Durch den Befehl nslookup + Lansweeper kann ich sehr genau sagen welcher PC welche IP besitzt. Ich werde deinen Ratschlag überprüfen habe dazu auch schon Wireshark am laufen. Warum ich glaube das sie gespooft sind? Die Angriffe haben ein Zeitmuster ein Virus oder Protokoll können dies erzeugen Personen nur wenn sie es bewusst machen falls es eine Person ist bin ich mir sicher das sie gespooft sind den es gibt nur einen einzigen auserhalb unserer Crew der das Wissen haben könnte. Und das ist auch nicht sicher! Wenn es ein Virus ist kann ich es nicht sagen denn diese können es während dem Betrieb den Versuch starten. Aber dann hat unser Virusscanner und Analyseprogramm mehrfach versagt. Ich habe mehrere Tiefenscanns am laufen gehabt (Bootsektoren, RAM, Speicher etc.).
Vielleicht ist es auch was ganz simples und einfaches aber momentam kann ich noch nichts genaueres sagen werd schauen was Wireshark so spricht.;)
kaiand1
kaiand1 23.10.2017 um 21:53:10 Uhr
Goto Top
Nun DHCP da kannst du ja Feste IPs setzten zb neuen Bereich.
Da die User sicherlich keine Adminrechte haben würde das Tool nur laufen wenn der User mit seinen Account Angemeldet ist und dies Aktiv ausgeführt wird wodurch die Zeiten schon Hilfreich sind welche Clients mal näher Angeschaut werden sollte.
Ob die gespooft sind oder nicht, wird sich noch Klären.
Jedoch mit Wireshark an den Switchen/Uplinks kannst du schon die Message zu der USV Herrausfinden wo der Anfang ist und dann dort genauer Segmentieren.
Pikespeak
Pikespeak 25.10.2017 um 17:16:02 Uhr
Goto Top
Hi 77lilly77,

hast du schon Neuigkeiten was Wireshark so meldet?

Wir hatten am 23.10 und heute jeweils eine Meldung einer USV mit der gleichen Meldung.

Analysen laufen derzeit.
77lilly77
77lilly77 25.10.2017 um 17:30:52 Uhr
Goto Top
Hatte viel zutun und erst heute fand es wieder statt. Die IP stimmt mit der Mac Adresse überein. Daraus schlussfolgere ich das es kein Spoof ist. Es ist auch ein SNMP Broadcast gewesen.
Mehr kann ich noch nicht sagen aufgrund der Probleme in der Firma konnte ich nur kurz mich diesem Thema zuwenden.
Ziehe bereits irgendein Programm in verdacht.
Pikespeak
Pikespeak 25.10.2017 um 17:38:03 Uhr
Goto Top
Wir haben genau das gleiche verhalten.

Welche Software ziehst du denn in verdacht?
77lilly77
77lilly77 27.10.2017 um 08:59:02 Uhr
Goto Top
Verwendet ihr Sophos oder Eset?
Pikespeak
Lösung Pikespeak 27.10.2017 um 09:36:07 Uhr
Goto Top
Nein, Trend Micro.

Welche Rechnerhersteller setzt Ihr Ein?
77lilly77
77lilly77 27.10.2017 um 09:50:35 Uhr
Goto Top
HP Dell und Lenovo.
Die beiden arten von Virenscanner hatte ich in verdacht denn jeder PC der einen SNMP Angriff gestartet hatte diese Programme installiert.
Eine andere Idee wären die HP spezifischen Produkte konnte durch einen flüchtigen Blick eruieren das alle Angriffe von den HP Geräte ausgehen. Zu einer genaueren Analyse komme ich momentan nicht.
Pikespeak
Pikespeak 27.10.2017 um 09:55:31 Uhr
Goto Top
Ich habe dir gerade noch eine PN geschickt, vielleicht magst du mal kurz Anrufen.
Ich mache heute eine genauere Analyse und HP ist hier auch aktiv und bisher sind alle Geräte die gescannt haben auch HP.
77lilly77
77lilly77 08.11.2017 um 11:17:06 Uhr
Goto Top
Hy!
Ich habe die Lösung gefunden.
Als erstes eine kleine Zusammenfassung meiner Posts:
  • Kein Spoof (MAC stimmte mit IP überein)
  • Es war ein SNMP Broadcast
  • Kein auffälliger Netzwerkverkehr nach außen oder nach innen (außer SNMP Broadcast)

Die Lösung:
HP hat für HP Support Assistant die Version 8.5.37.19 herausgebracht. Dieser hat ohne das man das Programm geöffnet oder aktiviert hat einen SNMP Broadcast getätigt (immer wieder).
Ich habe deshalb diesen deinstalliert seitdem ich diesen Schritt ging fand ich keinen SNMP Broadcast mehr.