Sicherheitswarnung der Telekom

Mitglied: dbox3

dbox3 (Level 1) - Jetzt verbinden

30.04.2021 um 11:12 Uhr, 1415 Aufrufe, 11 Kommentare

Hallo zusammen,
ich bekomme seit 4 Wochen in unregelmäßigen Abständen Sicherheitswarnungen der Telekom, die wie folgt Aussehen:
TELEKOM SICHERHEITSTEAM

| Kundennummer: 123456789
| Anschlussinhaber: Man Mustermann

Sehr geehrter Herr Mustermann,

wir, das Telekom Sicherheitsteam, sind Ihre Ansprechpartner zum Thema Missbrauch von Telekom-Diensten und kümmern uns um Ihre Sicherheit im Internet.

Wir haben Hinweise erhalten, dass ein oder mehrere Endgeräte in Ihrem Netzwerk mit Schadsoftware (z.B. Viren) infiziert sind. Diese Malware könnte versuchen, sich weiter im Internet zu verbreiten bzw. ein Eindringen in Ihr Heimnetzwerk für eine Fremdnutzung vorzubereiten.

Die folgende IP-Adresse war Ihrem Anschluss an dem genannten Zeitpunkt zugeordnet:
IP-Adresse: xxx.xxx.xxx.xxx
Zeitpunkt: 26.04.2021 07:41:12 MESZ
Infektion: dltminer

Bitte überprüfen Sie alle Endgeräte mit einem Sicherheitsprogramm. Wir können nicht auswerten, welches Ihrer Endgeräte betroffen ist. Achten Sie auch darauf, dass Sie ein aktuelles Betriebssystem für Ihren Computer nutzen.

Einige Infektionen können z.B. auch IoT Geräte, Router, Kameras, Smart-TV oder andere smarte Systeme befallen, bitte prüfen Sie auch diese.

Sie haben Fragen? Wir sind für Sie da.
Sie erreichen uns von Montag bis Samstag zwischen 8 Uhr und 22 Uhr unter der kostenfreien Rufnummer 0800 5544300. Halten Sie bitte Ihre Ticket-Nummer und Zugangsnummer aus dem Betreff dieser E-Mail bereit.

Auf unserer Seite www.telekom.de/hilfe/festnetz-internet-tv/sicherheit/missbrauch-von-diensten haben wir Ihnen viele hilfreiche Tipps und Links zum Thema Sicherheit zusammengestellt.

Mit freundlichen Grüßen
Ihr Telekom Sicherheitsteam

Deutsche Telekom Security GmbH
Internal Security & Cyber Defense
Bonner Talweg 100, 53113 Bonn


Mit Sicherheit handelt es sich um die Folgen von dem Angriff auf meinen Exchange vom Ende 03/21. Den Exchange habe ich danach neu aufegesetzt und der befindet sich bei mir in der DMZ und zeigt seitdem keine Auffälligkeiten mehr auf. Meine Frage ist eigentlich, ob ich auf die Spur des dltminer in meinem NW irgendwie kommen kann ohne das komplette NW mit AD etc. neu aufzusetzen. Mir kam die Idee, mit Wireshark den NW-Verkehr eine Weile zu scannen. Nach was müsste ich dann Auschau halten: typische Protokolle, Ports etc. Hat jemand eine Idee möglichst ohne HInweise auf die Sinnfreiheit der Aktion. Danke
Mitglied: Lochkartenstanzer
30.04.2021, aktualisiert um 11:26 Uhr
Zitat von @dbox3:

Meine Frage ist eigentlich, ob ich auf die Spur des dltminer in meinem NW irgendwie kommen kann ohne das komplette NW mit AD etc. neu aufzusetzen. Mir kam die Idee, mit Wireshark den NW-Verkehr eine Weile zu scannen. Nach was müsste ich dann Auschau halten: typische Protokolle, Ports etc. Hat jemand eine Idee möglichst ohne HInweise auf die Sinnfreiheit der Aktion. Danke


Natürllich kannst Du dem auf die Spur kommen. Allerdings ist das keine Gewähr dafür, daß Du es auch los wirst. Denn wenn das AD "infiziert" ist, kann der Angreifer sich überall Hintertüren angelegt haben, auch wenn Du die gerade aktive Malware "entsorgst".

Das wurde hier im Forum schon mehrmals diskutiert, aber glaube mir, das "Frisch Machen" ist die einzige Zuverlässige Methode, das dauerhaft loszuwerden.

lks
Bitte warten ..
Mitglied: dbox3
30.04.2021 um 11:30 Uhr
Danke für die schnelle Antwort. Wonach müsste ich dann suchen? Irgendwie erkennt die Telekom anahnd typischer Merkmale den Angriff. Was sind diese?
Bitte warten ..
Mitglied: SlainteMhath
30.04.2021 um 11:39 Uhr
Moin,

Sie haben Fragen? Wir sind für Sie da.
Sie erreichen uns von Montag bis Samstag zwischen 8 Uhr und 22 Uhr unter der kostenfreien Rufnummer 0800 5544300. Halten Sie > bitte Ihre Ticket-Nummer und Zugangsnummer aus dem Betreff dieser E-Mail bereit.
Ich weis, hört sich wahnwitzig an aber: Da schon mal angerufen?

dltminer ist übrigens kein Virus/Trojaner , sondern eine APT Gruppe die sich auf Kryptominer spezialisiert hat.

lg,
Slainte
Bitte warten ..
Mitglied: LordGurke
30.04.2021 um 11:56 Uhr
Die Telekom bekommt diese Hinweise in der Regel vom BSI und unterschlägt dir eine Information: Nämlich die Zieldomain, mit der sich die Malware verbunden hat.

Wenn du also fürs Erste anfängst, alle DNS-Anfragen zu protokollieren (fremde DNS an der Firewall sperren), kannst du zusammen mit der Uhrzeit nachsehen gehen, wer da kryptische Domains aufgerufen hat.
Bitte warten ..
Mitglied: Lochkartenstanzer
30.04.2021 um 12:56 Uhr
Zitat von @LordGurke:

Wenn du also fürs Erste anfängst, alle DNS-Anfragen zu protokollieren (fremde DNS an der Firewall sperren), kannst du zusammen mit der Uhrzeit nachsehen gehen, wer da kryptische Domains aufgerufen hat.


Nptzt aber alles trotzdem nichts, weil Du nicht weißt, was außer dem Kryptominer noch da alles herumschlummert und nur darauf wartet im richtigen Moment aus der Kiste zu springen.

lks
Bitte warten ..
Mitglied: Windows10Gegner
30.04.2021 um 20:05 Uhr
Zitat von @LordGurke:

Die Telekom bekommt diese Hinweise in der Regel vom BSI

Wie prüft dann das BSI das?
Ich kenne das auch, die haben angemerkt, dass man z.B. einen Telnet-Server.
Machen die dann Portscans?
Bitte warten ..
Mitglied: Lochkartenstanzer
30.04.2021 um 20:41 Uhr
Zitat von @Windows10Gegner:

Zitat von @LordGurke:

Die Telekom bekommt diese Hinweise in der Regel vom BSI

Wie prüft dann das BSI das?

Die haben Taps an allen wichtigen CİXen.

lks
Bitte warten ..
Mitglied: LordGurke
30.04.2021 um 21:33 Uhr
Zitat von @Lochkartenstanzer:
Wie prüft dann das BSI das?

Die haben Taps an allen wichtigen CİXen.

WTF? Nein, für so kompetent halte ich die nicht.
Meistens nennen sie die Quellen, das ist sehr oft https://www.shadowserver.org/

Im Falle von Malware bekommen sie die Daten dann oft von den Organisationen, die C&C-Server der Botnetze übernommen haben.
Bitte warten ..
Mitglied: dbox3
02.05.2021 um 12:28 Uhr
Ich habe unter der angegebenen Nummer der Telekom folgende Info bekommen:
source-Port 51097 dest-IP 187.162.203.202 dest.-Port 80 dest-Domaine p.estonine.com

Habe bisher in den Wireshark-Logs nichts gefunden. Das waren insgesamt 3 Warnungen der Telekom innerhab der letzten 4 Wochen. Ich versuche noch den gesamten Verkehr für 1 Woche in meinem Router aufzuzeichnen, da der Trojaner scheint nur ca. 1x/Woche aktiv zu sein. Sonst ist der Aufwand für die Neueinrichtung aller Rechner im NW und der Domaine selbst unvergleichbar aufwändiger. Sollte es nicht funzen, bleib mir wohl nichts anderes übrig.

Danke
Bitte warten ..
Mitglied: Windows10Gegner
02.05.2021 um 12:41 Uhr
Dann hat sich die Telekom wohl nen Schreibfehler geleistet. (187 statt 178)
Zudem gehen da auch beliebige Unterdomains, der DNS liefert für alles antworten.

Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
FAX ist nicht mehr Datenschutzkonform
brammerVor 1 TagInformationDatenschutz52 Kommentare

Hallo, jetzt sollte es jeder begreifen FAX ist nicht mehr Datenschutzkonform brammer

Humor (lol)
Na, kann euer Toaster auch schon WLAN?
ITlerin95Vor 1 TagAllgemeinHumor (lol)16 Kommentare

Also ich frag mich ja selbst echt oft, ob wirkliche alle technischen Neuerungen auch wirklich notwendig sind. Hintergrund ist, ich brauch einen neuen Toaster. ...

Windows Update
Keine Updates zum Mai-Patchday über WSUS?
gelöst CoreknabeVor 1 TagFrageWindows Update12 Kommentare

Moin, wir laden über unseren WSUS die Windows Updates herunter (Server 2012R2). Jetzt stelle ich gerade verwundert fest, dass es Stand jetzt (19:45 Uhr) ...

Netzwerkgrundlagen
Statische Route auf UTM
gelöst Ex0r2k16Vor 14 StundenFrageNetzwerkgrundlagen31 Kommentare

Moin! Ich habe an meiner Sophos UTM an einem physischen Interface einen Switch angeschlossen. Dieser läuft im Netz 10.1.1.0/24. Ich kann von meinem aktuellen ...

Exchange Server
Sicherheitsupdates für Exchange Server 11. Mai 2021
kgbornVor 1 TagInformationExchange Server4 Kommentare

Sicherheitsupdates für Exchange Server 11. Mai 2021 Technet-Beitrag Meine Zusammenstellung: Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021)

Exchange Server
Office 365 ohne lokalen Exchange
RicoPausBVor 1 TagFrageExchange Server8 Kommentare

Moin zusammen wir sind erst vor kurzem ins Office 365 eingestiegen und hatten vorher auch keinen Exchange Server im Einsatz. Ein Hybrid-Setup liegt also ...

SAN, NAS, DAS
Synology-NAS DS1813+: Lebensdauer des Gerätes?
OrmensonVor 1 TagFrageSAN, NAS, DAS10 Kommentare

Hallo Forum! In unserer Firma nutzen wir ein Synology NAS DS1813+ als zentraler Datenspeicherort. Konfiguriert ist er als RAID mit Ausfallsicherheit einer Platte. Die ...

Microsoft Office
Weiterleitung bestimmter Emails während Urlaubszeit
gelöst imebroVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, verschiedene Rechnungen werden an meine Email-Adresse gesendet. Daher habe ich vor einiger Zeit eine Outlook-Regel in meinem Outlook-Postfach erstellt, die automatisch Emails mit ...