Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 22 replies
  • Subscribers 15 subscribers
  • Views 6530 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A threat has been detected in your network: C2/Monero-A

Martin Lenz1

Guten Morgen,

ich bekomme alle paar Tage eine Meldung, dass die Firewall Traffic von einem unserer Terminalserver geblockt hat.

Ein intensiver Scan der Maschine mit unserem Virenprogramm ergab keinen Fund.
Eine Recherche zu "Monero" ergab, dass es sich um ein Crypto Botnetz handeln könnte, alle dort aufgeführten Prozesse und Auffälligkeiten treffen bei uns nicht zu.
AUch der Link direkt von Sophos in der Fehlermeldung angegeben: https://www.sophos.com/error/404.aspx?aspxerrorpath=/en-us/threat-center/threat-analyses/viruses-and-spyware/C2~Monero-A.aspx führt ins leere...

Hat einer von euch eine Idee / Vermutung? Wie würdet ihr weiter damit umgehen?

Vielen Dank!

 



This thread was automatically locked due to age.

Top Replies

  • +1

    Ich kann dieses Verhalten bisher auch für zwei MacBookPro bei wenigsten einem Kunden bestätigen.
    Danke an Martin, für das schreiben diese Beitrags, ich hatte mich bisher geziert. Da bisher "nur" Apple-Geräte aufgefallen sind, habe ich diese erst einmal im WLAN isoliert.

    Des Weiteren habe ich mir jetzt einmal die Mühe gemacht der Domäne zu folgen:

    Domain Name: 939B9E28155A3.ORG
Registry Domain ID: D402200000015719866-LROR
Registrar WHOIS Server: whois.dynadot.com
Registrar URL: http://www.dynadot.com
Updated Date: 2021-08-27T00:03:28Z
Creation Date: 2021-01-15T00:47:35Z
Registry Expiry Date: 2022-01-15T00:47:35Z
Registrar Registration Expiration Date:
Registrar: Dynadot, LLC
Registrar IANA ID: 472
Registrar Abuse Contact Email: abuse@dynadot.com
Registrar Abuse Contact Phone: +1.6502620100
Reseller:
Domain Status: clientTransferProhibited icann.org/epp
Registrant Organization:
Registrant State/Province: California
Registrant Country: US


    Was aktuell zur IP 72.26.218.86 führt:

    NetRange:       72.26.192.0 - 72.26.223.255
CIDR:           72.26.192.0/19
NetName:        VOXEL-NET-7
NetHandle:      NET-72-26-192-0-1
Parent:         NET72 (NET-72-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       AS29791
Organization:   Internap Holding LLC (IC-1425)
RegDate:        2008-08-20
Updated:        2018-12-07
Ref:            rdap.arin.net/.../72.26.192.0


OrgName:        Internap Holding LLC
OrgId:          IC-1425
Address:        250 Williams Street
Address:        Suite E100
City:           Atlanta
StateProv:      GA
PostalCode:     30303
Country:        US
RegDate:        2018-11-09
Updated:        2020-07-20
Ref:            rdap.arin.net/.../IC-1425

    Habe jetzt mal versucht den Support von Internap Holding direkt zu kontaktieren, die haben da eine Chat-Funktion.
    Allerdings habe ich meine Zweifel, dass ich da in Absehbarer Zeit eine Rückmeldung bekomme.

    Jump to answer
Parents
  • 0

    Guten Morgen

    Ich bekomme diese Meldung seit 2-3 Wochen von einer IP aus dem WLAN. Das Gerät kann ich leider nicht identifizieren auf nicht über die MAC-Adresse - es gibt in der Datenbank keinen Hersteller dazu.

    Heute kam die gleiche Meldung von einem 2. Gerät aus dem WLAN dazu.....undm an mag es nicht glauben....es handelt sich um ein WLAN-Modul von MEROSS mit dem mein Chef über Apple Homekit das Garagentor steuert.

    Also irgendwas kann doch da nicht stimmen ?

    Auch di Tatsache das der von Sophos bereit gestellte Link zu dem Threat ins Leere führt....dfür zahlt man jährlich einen horrenden Betrag für die UTM und die Lizenz.......

    lg

  • 0 in reply to Peter Flügge

    Hallo Peter,

    hast du schon versucht die Logs von DHCP/DNS/Firewall-Service der letzten 7 Tage zu durchsuchen?

    Darüber solltest du in der Lage sein, das Gerät zu finden. Des Weiteren wenn du das noch nicht umgesetzt hast, würde ich dringend empfehlen für die WLAN-Netzwerke die Client-Isolation zu aktivieren. Das behindert, falls wir hier tatsächlich einen Trojaner oder Wurm haben, die Möglichkeiten, durch ein P2P-Verbindung zu einem anderen Apple-Gerät etwaige Sicherheitslücken zu Infizierung auszunutzen.

Reply
  • 0 in reply to Peter Flügge

    Hallo Peter,

    hast du schon versucht die Logs von DHCP/DNS/Firewall-Service der letzten 7 Tage zu durchsuchen?

    Darüber solltest du in der Lage sein, das Gerät zu finden. Des Weiteren wenn du das noch nicht umgesetzt hast, würde ich dringend empfehlen für die WLAN-Netzwerke die Client-Isolation zu aktivieren. Das behindert, falls wir hier tatsächlich einen Trojaner oder Wurm haben, die Möglichkeiten, durch ein P2P-Verbindung zu einem anderen Apple-Gerät etwaige Sicherheitslücken zu Infizierung auszunutzen.

Children
No Data