German Forum A threat has been detected in your network: C2/Monero-A

UTM Firewall requires membership for participation - click to join

Thread Info

State Not Answered
+1 person also asked this people also asked this
Locked Locked
Replies 22 replies
Subscribers 15 subscribers
Views 6206 views
Users 0 members are here

Options

Suggested

This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A threat has been detected in your network: C2/Monero-A

Martin Lenz1 over 3 years ago

Guten Morgen,

ich bekomme alle paar Tage eine Meldung, dass die Firewall Traffic von einem unserer Terminalserver geblockt hat.

Ein intensiver Scan der Maschine mit unserem Virenprogramm ergab keinen Fund.
Eine Recherche zu "Monero" ergab, dass es sich um ein Crypto Botnetz handeln könnte, alle dort aufgeführten Prozesse und Auffälligkeiten treffen bei uns nicht zu.
AUch der Link direkt von Sophos in der Fehlermeldung angegeben: https://www.sophos.com/error/404.aspx?aspxerrorpath=/en-us/threat-center/threat-analyses/viruses-and-spyware/C2~Monero-A.aspx führt ins leere...

Hat einer von euch eine Idee / Vermutung? Wie würdet ihr weiter damit umgehen?

Vielen Dank!

This thread was automatically locked due to age.

Top Replies

Dirk B over 3 years ago +1

Ich kann dieses Verhalten bisher auch für zwei MacBookPro bei wenigsten einem Kunden bestätigen. Danke an Martin, für das schreiben diese Beitrags, ich hatte mich bisher geziert. Da bisher "nur" Apple…

Parents

0 Filip Waluda over 3 years ago

Hallo zusamm,

meinerseits ist der ATP Alarm leider nicht nachzustellen; kommt sporadisch (aus mehreren Netzwerken aber auch in einem Abstand von +- 1 Std. vor).

ABER: Ich habe mal etwas tiefer recherchiert, was hinter den Zieladressen liegt: die liegen wie es ausschaut alle bei INAP Holding LLC (Cloudhosting Provider). Es scheint sich laut div. Quellen (hauptsächlich IP-Abuse Webseiten) tatsächlich um ein Command & Control Center eines Botnetzes zu handeln.

Beispiel-IP (aus Kommentar RafaelRiemer) kommt bei Valkyrie Verdict und Forcepoint Threatseeker als Malicious zurück.

verdict.valkyrie.comodo.com/.../result

Die Quelle der Verbindungen konnte ich leider noch nicht ausfindig machen, da bislang auch kein einziges Antimalwareprogramm jegliche Dateien auf den betroffenen Systemen erkennt. Möglicherweise ein HTTP Crypto-Botnetz? Falls ich was finde berichte ich nochmal zurück.
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 Filip Waluda over 3 years ago

Hallo zusamm,

meinerseits ist der ATP Alarm leider nicht nachzustellen; kommt sporadisch (aus mehreren Netzwerken aber auch in einem Abstand von +- 1 Std. vor).

ABER: Ich habe mal etwas tiefer recherchiert, was hinter den Zieladressen liegt: die liegen wie es ausschaut alle bei INAP Holding LLC (Cloudhosting Provider). Es scheint sich laut div. Quellen (hauptsächlich IP-Abuse Webseiten) tatsächlich um ein Command & Control Center eines Botnetzes zu handeln.

Beispiel-IP (aus Kommentar RafaelRiemer) kommt bei Valkyrie Verdict und Forcepoint Threatseeker als Malicious zurück.

verdict.valkyrie.comodo.com/.../result

Die Quelle der Verbindungen konnte ich leider noch nicht ausfindig machen, da bislang auch kein einziges Antimalwareprogramm jegliche Dateien auf den betroffenen Systemen erkennt. Möglicherweise ein HTTP Crypto-Botnetz? Falls ich was finde berichte ich nochmal zurück.
Cancel
Vote Up 0 Vote Down

Cancel

Children

No Data