dbox3
Goto Top

Sicherheitswarnung der Telekom

Hallo zusammen,
ich bekomme seit 4 Wochen in unregelmäßigen Abständen Sicherheitswarnungen der Telekom, die wie folgt Aussehen:
TELEKOM SICHERHEITSTEAM

| Kundennummer: 123456789
| Anschlussinhaber: Man Mustermann

Sehr geehrter Herr Mustermann,

wir, das Telekom Sicherheitsteam, sind Ihre Ansprechpartner zum Thema Missbrauch von Telekom-Diensten und kümmern uns um Ihre Sicherheit im Internet.

Wir haben Hinweise erhalten, dass ein oder mehrere Endgeräte in Ihrem Netzwerk mit Schadsoftware (z.B. Viren) infiziert sind. Diese Malware könnte versuchen, sich weiter im Internet zu verbreiten bzw. ein Eindringen in Ihr Heimnetzwerk für eine Fremdnutzung vorzubereiten.

Die folgende IP-Adresse war Ihrem Anschluss an dem genannten Zeitpunkt zugeordnet:
IP-Adresse: xxx.xxx.xxx.xxx
Zeitpunkt: 26.04.2021 07:41:12 MESZ
Infektion: dltminer

Bitte überprüfen Sie alle Endgeräte mit einem Sicherheitsprogramm. Wir können nicht auswerten, welches Ihrer Endgeräte betroffen ist. Achten Sie auch darauf, dass Sie ein aktuelles Betriebssystem für Ihren Computer nutzen.

Einige Infektionen können z.B. auch IoT Geräte, Router, Kameras, Smart-TV oder andere smarte Systeme befallen, bitte prüfen Sie auch diese.

Sie haben Fragen? Wir sind für Sie da.
Sie erreichen uns von Montag bis Samstag zwischen 8 Uhr und 22 Uhr unter der kostenfreien Rufnummer 0800 5544300. Halten Sie bitte Ihre Ticket-Nummer und Zugangsnummer aus dem Betreff dieser E-Mail bereit.

Auf unserer Seite www.telekom.de/hilfe/festnetz-internet-tv/sicherheit/missbrauch-von-diensten haben wir Ihnen viele hilfreiche Tipps und Links zum Thema Sicherheit zusammengestellt.

Mit freundlichen Grüßen
Ihr Telekom Sicherheitsteam

Deutsche Telekom Security GmbH
Internal Security & Cyber Defense
Bonner Talweg 100, 53113 Bonn


Mit Sicherheit handelt es sich um die Folgen von dem Angriff auf meinen Exchange vom Ende 03/21. Den Exchange habe ich danach neu aufegesetzt und der befindet sich bei mir in der DMZ und zeigt seitdem keine Auffälligkeiten mehr auf. Meine Frage ist eigentlich, ob ich auf die Spur des dltminer in meinem NW irgendwie kommen kann ohne das komplette NW mit AD etc. neu aufzusetzen. Mir kam die Idee, mit Wireshark den NW-Verkehr eine Weile zu scannen. Nach was müsste ich dann Auschau halten: typische Protokolle, Ports etc. Hat jemand eine Idee möglichst ohne HInweise auf die Sinnfreiheit der Aktion. Danke

Content-ID: 666266

Url: https://administrator.de/forum/sicherheitswarnung-der-telekom-666266.html

Ausgedruckt am: 24.12.2024 um 01:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 30.04.2021 aktualisiert um 11:26:17 Uhr
Goto Top
Zitat von @dbox3:

Meine Frage ist eigentlich, ob ich auf die Spur des dltminer in meinem NW irgendwie kommen kann ohne das komplette NW mit AD etc. neu aufzusetzen. Mir kam die Idee, mit Wireshark den NW-Verkehr eine Weile zu scannen. Nach was müsste ich dann Auschau halten: typische Protokolle, Ports etc. Hat jemand eine Idee möglichst ohne HInweise auf die Sinnfreiheit der Aktion. Danke


Natürllich kannst Du dem auf die Spur kommen. Allerdings ist das keine Gewähr dafür, daß Du es auch los wirst. Denn wenn das AD "infiziert" ist, kann der Angreifer sich überall Hintertüren angelegt haben, auch wenn Du die gerade aktive Malware "entsorgst".

Das wurde hier im Forum schon mehrmals diskutiert, aber glaube mir, das "Frisch Machen" ist die einzige Zuverlässige Methode, das dauerhaft loszuwerden.

lks
dbox3
dbox3 30.04.2021 um 11:30:45 Uhr
Goto Top
Danke für die schnelle Antwort. Wonach müsste ich dann suchen? Irgendwie erkennt die Telekom anahnd typischer Merkmale den Angriff. Was sind diese?
SlainteMhath
SlainteMhath 30.04.2021 um 11:39:29 Uhr
Goto Top
Moin,

Sie haben Fragen? Wir sind für Sie da.
Sie erreichen uns von Montag bis Samstag zwischen 8 Uhr und 22 Uhr unter der kostenfreien Rufnummer 0800 5544300. Halten Sie > bitte Ihre Ticket-Nummer und Zugangsnummer aus dem Betreff dieser E-Mail bereit.
Ich weis, hört sich wahnwitzig an aber: Da schon mal angerufen?

dltminer ist übrigens kein Virus/Trojaner , sondern eine APT Gruppe die sich auf Kryptominer spezialisiert hat.

lg,
Slainte
LordGurke
LordGurke 30.04.2021 um 11:56:06 Uhr
Goto Top
Die Telekom bekommt diese Hinweise in der Regel vom BSI und unterschlägt dir eine Information: Nämlich die Zieldomain, mit der sich die Malware verbunden hat.

Wenn du also fürs Erste anfängst, alle DNS-Anfragen zu protokollieren (fremde DNS an der Firewall sperren), kannst du zusammen mit der Uhrzeit nachsehen gehen, wer da kryptische Domains aufgerufen hat.
Lochkartenstanzer
Lochkartenstanzer 30.04.2021 um 12:56:47 Uhr
Goto Top
Zitat von @LordGurke:

Wenn du also fürs Erste anfängst, alle DNS-Anfragen zu protokollieren (fremde DNS an der Firewall sperren), kannst du zusammen mit der Uhrzeit nachsehen gehen, wer da kryptische Domains aufgerufen hat.


Nptzt aber alles trotzdem nichts, weil Du nicht weißt, was außer dem Kryptominer noch da alles herumschlummert und nur darauf wartet im richtigen Moment aus der Kiste zu springen.

lks
Windows10Gegner
Windows10Gegner 30.04.2021 um 20:05:07 Uhr
Goto Top
Zitat von @LordGurke:

Die Telekom bekommt diese Hinweise in der Regel vom BSI

Wie prüft dann das BSI das?
Ich kenne das auch, die haben angemerkt, dass man z.B. einen Telnet-Server.
Machen die dann Portscans?
Lochkartenstanzer
Lochkartenstanzer 30.04.2021 um 20:41:31 Uhr
Goto Top
Zitat von @Windows10Gegner:

Zitat von @LordGurke:

Die Telekom bekommt diese Hinweise in der Regel vom BSI

Wie prüft dann das BSI das?

Die haben Taps an allen wichtigen CİXen.

lks
LordGurke
LordGurke 30.04.2021 um 21:33:36 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Wie prüft dann das BSI das?

Die haben Taps an allen wichtigen CİXen.

WTF? Nein, für so kompetent halte ich die nicht.
Meistens nennen sie die Quellen, das ist sehr oft https://www.shadowserver.org/

Im Falle von Malware bekommen sie die Daten dann oft von den Organisationen, die C&C-Server der Botnetze übernommen haben.
7Gizmo7
7Gizmo7 30.04.2021 um 22:52:18 Uhr
Goto Top
Hi,

hier gibts Antworten zu deinen Fragen.

https://www.telekom.de/hilfe/festnetz-internet-tv/sicherheit/missbrauch- ...

Und falls du es live sehen willst ...

https://www.sicherheitstacho.eu/start/main

MfG
dbox3
dbox3 02.05.2021 um 12:28:26 Uhr
Goto Top
Ich habe unter der angegebenen Nummer der Telekom folgende Info bekommen:
source-Port 51097 dest-IP 187.162.203.202 dest.-Port 80 dest-Domaine p.estonine.com

Habe bisher in den Wireshark-Logs nichts gefunden. Das waren insgesamt 3 Warnungen der Telekom innerhab der letzten 4 Wochen. Ich versuche noch den gesamten Verkehr für 1 Woche in meinem Router aufzuzeichnen, da der Trojaner scheint nur ca. 1x/Woche aktiv zu sein. Sonst ist der Aufwand für die Neueinrichtung aller Rechner im NW und der Domaine selbst unvergleichbar aufwändiger. Sollte es nicht funzen, bleib mir wohl nichts anderes übrig.

Danke
Windows10Gegner
Windows10Gegner 02.05.2021 um 12:41:34 Uhr
Goto Top
Dann hat sich die Telekom wohl nen Schreibfehler geleistet. (187 statt 178)
Zudem gehen da auch beliebige Unterdomains, der DNS liefert für alles antworten.
; <<>> DiG 9.16.8-Ubuntu <<>> p.estonine.com any
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13105
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;p.estonine.com.                        IN      ANY

;; ANSWER SECTION:
p.estonine.com.         86268   IN      AAAA    2a02:1668:1034::2
p.estonine.com.         86268   IN      MX      10 5.79.71.205.
p.estonine.com.         86268   IN      MX      20 85.17.31.82.
p.estonine.com.         86268   IN      MX      40 178.162.203.211.
p.estonine.com.         86268   IN      MX      30 178.162.203.226.

;; Query time: 87 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: So Mai 02 12:38:24 CEST 2021
;; MSG SIZE  rcvd: 187

m@ryz:~$