Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 19 replies
  • Answers 1 answer
  • Subscribers 30 subscribers
  • Views 34282 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Dauernde Advanced Threat Protection Meldungen - gehackter Werbeanbieter in D?

StephanG

Hallo zusammen,

seit 2 Tagen bekomme ich im Stundentakt die Emailmeldungen wegen geblockter DNS Abfragen und Aufrufen von Seiten.

Diese Meldungen stimmen mit Zeiten überein als der User sich auf sueddeutsche.de oder linguee befunden hat. Mit der Süddeutschen konnte ich die Meldung sogar nachstellen (als ich den Adblocker deaktiviert habe)

Daher die Frage. Bekommt ihr das auch dauernd? Welcher Anbieter ist denn das?

Grüße

Stephan



This thread was automatically locked due to age.
  • 0 in reply to Oliver Behnsen

    Hallo Oliver,

     

    das Logging hast du wie im englischen Thread aktiviert?

    Ich habe es auch nur durch den "Zeitstempel" rausbekommen. Einfach schauen was +-2s vom DNS Server versucht wurde aufzulösen.

    Dann einfach ein DNS Eintrag nach dem anderen "anpingen" (am besten mit 5s Abstand).

     

    Wenn du dann eine Meldung von deinem Rechner bekommst. Hast du deine Seite :) (also so wars bei mir)

     

    Grüße

    Stephan

  • 0 in reply to StephanG

    Hi Stephan,

    Du meinst das Looging mit Sysmon?

    Nein ich habe die Debugprotkollierung am DNS Server eingeschaltet.

    Hatte gehofft das dies ausreicht, da ich mich mit Sysmon nicht auskenne.

     

    Gruß

    Oliver

  • 0 in reply to Oliver Behnsen

    Hallo Oliver,

    nein Debug DNS reicht.

    Dann einfach nach DNS Namen im dem Zeitraum schauen. Erst dann kannst du wsl weiter mit Sysmon machen ;) Falls es nicht so offentlich sein sollte wie bei mir.

     

    Grüße

    Stephan

  • 0 in reply to Oliver Behnsen

    Ich habe gerade ein DNS Eintrag gefunden der diese IP benutzt wineplan.net.

    Ein Client hat versucht sich damit zu verbinden.

    Weiß nur nicht warum der Client dies tut...

  • 0 in reply to Oliver Behnsen

    Na dann gehts weiter mit SysMon. Ist eigentlich easy wenn man erstmal weiß wonach man sucht :)

     

    Die Anleitung im englischen Thread ist sehr hilfreich.

  • 0 in reply to StephanG

    Hi Stephan,

     

    ich glaube ich habe mein Problem gefunden.

    Es handelt sich bei wineplan.net um Werbung die durch die Seite www.linguee.de abgerufen wird.

    Rekonstruieren konnte ich das durch Suchen nach "wineplan.net" und öffnet einer der angezeigten Seiten linquee.de Seite aus dem Cache.

    Jetzt wird diese IP gesperrt und gut ist.

     

    Hoffe das mein Problem damit gelöst ist. :-)

    Danke für Deine Hilfe

     

    Gruß

    Oliver

  • 0 in reply to Oliver Behnsen

    Sehr gut.

    Kein Problem.

     

    Grüße

    Stephan

  • 0
    Hi Stephan, ich kann das momentan bei allen meinen Kunden beobachten. ich habe mir das jetzt mal etwas genauer angeschaut und zu dieser ip gehören hunderte dns domains, welche sehr verdächtig aussehen. auch downloads von der ip, welche getätigt wurden verheisen hier nichts gutes. da ist mit sehr hoher wahrscheinlichkeit ein c&c server dahinter. die ip gehört zu einem hoster, welcher richtig viel rechenleistung und netzwerkdurchsatz anbietet (bis zu 40Gb/s). meine vermutung ist, dass hier momentan massiv rechner infiziert werden und versuchen mit dem server hinter der ip zu kommunizieren, bzw. schadcode o.ä. zu laden. ich tippe mal auf eine vorbereitung einer richtig großen ransomware kampagne oder ähnliches. mehr zu der ip kannst du dir bei virustotal mal ansehen. das was ich da gesehen habe, beunruhigt mich ein klein wenig. meine empfehlung zu den hosts, welche mit der ip kommunizieren ist diese komplett platt zu machen und neu zu installieren. anbei noch der link zu virustotal: www.virustotal.com/ cheers andy
  • 0 in reply to AndreasRieger

    Hallo Andreas,

    in diesem Fall lohnt sich das nicht :)

    Die Kollegen haben wie gesagt ein VPN Client des Kunden drauf. Nun kommt die "lustige" Sache daran.

     

    Der Kunde hat den AD Domainforest firma-root.com genannt (Vor 15 Jahren) sich aber nie die Rechte an dieser Domain geholt. Nun hat sich jemand die Rechte gesichert und die Domain umgeleitet.

    Bei internen Mitarbeitern vom dem Kunden macht dies fast nichts aus. Sie lösen gegen den internen DNS Server auf und bekommen die Einträge zurück.

    Ist man allerdings extern (wie meine Kollegen) löst man gegen den Public DNS auf und bekommt somit die externe IP vom Schadsoftware Hoster zurück.

     

    Ich lass die IP nun auch ins Leere laufen (auf meinem DNS Server).

    Neu aufsetzen würde also nichts bringen. Denn sobald der VPN Client drauf ist. Gehts wieder von vorne los.

     

    Grüße

    Stephan