Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 22 replies
  • Subscribers 15 subscribers
  • Views 6193 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A threat has been detected in your network: C2/Monero-A

Martin Lenz1

Guten Morgen,

ich bekomme alle paar Tage eine Meldung, dass die Firewall Traffic von einem unserer Terminalserver geblockt hat.

Ein intensiver Scan der Maschine mit unserem Virenprogramm ergab keinen Fund.
Eine Recherche zu "Monero" ergab, dass es sich um ein Crypto Botnetz handeln könnte, alle dort aufgeführten Prozesse und Auffälligkeiten treffen bei uns nicht zu.
AUch der Link direkt von Sophos in der Fehlermeldung angegeben: https://www.sophos.com/error/404.aspx?aspxerrorpath=/en-us/threat-center/threat-analyses/viruses-and-spyware/C2~Monero-A.aspx führt ins leere...

Hat einer von euch eine Idee / Vermutung? Wie würdet ihr weiter damit umgehen?

Vielen Dank!

 



This thread was automatically locked due to age.
  • 0

    Ich kann dieses Verhalten bisher auch für zwei MacBookPro bei wenigsten einem Kunden bestätigen.
    Danke an Martin, für das schreiben diese Beitrags, ich hatte mich bisher geziert. Da bisher "nur" Apple-Geräte aufgefallen sind, habe ich diese erst einmal im WLAN isoliert.

    Des Weiteren habe ich mir jetzt einmal die Mühe gemacht der Domäne zu folgen:

    Domain Name: 939B9E28155A3.ORG
Registry Domain ID: D402200000015719866-LROR
Registrar WHOIS Server: whois.dynadot.com
Registrar URL: http://www.dynadot.com
Updated Date: 2021-08-27T00:03:28Z
Creation Date: 2021-01-15T00:47:35Z
Registry Expiry Date: 2022-01-15T00:47:35Z
Registrar Registration Expiration Date:
Registrar: Dynadot, LLC
Registrar IANA ID: 472
Registrar Abuse Contact Email: abuse@dynadot.com
Registrar Abuse Contact Phone: +1.6502620100
Reseller:
Domain Status: clientTransferProhibited icann.org/epp
Registrant Organization:
Registrant State/Province: California
Registrant Country: US


    Was aktuell zur IP 72.26.218.86 führt:

    NetRange:       72.26.192.0 - 72.26.223.255
CIDR:           72.26.192.0/19
NetName:        VOXEL-NET-7
NetHandle:      NET-72-26-192-0-1
Parent:         NET72 (NET-72-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       AS29791
Organization:   Internap Holding LLC (IC-1425)
RegDate:        2008-08-20
Updated:        2018-12-07
Ref:            rdap.arin.net/.../72.26.192.0


OrgName:        Internap Holding LLC
OrgId:          IC-1425
Address:        250 Williams Street
Address:        Suite E100
City:           Atlanta
StateProv:      GA
PostalCode:     30303
Country:        US
RegDate:        2018-11-09
Updated:        2020-07-20
Ref:            rdap.arin.net/.../IC-1425

    Habe jetzt mal versucht den Support von Internap Holding direkt zu kontaktieren, die haben da eine Chat-Funktion.
    Allerdings habe ich meine Zweifel, dass ich da in Absehbarer Zeit eine Rückmeldung bekomme.

  • 0 in reply to Dirk B

    Bei uns wurde das ganze von einem Windows 10 Notebook ausgelöst. Ich kann es allerdings auch nicht mehr nachstellen. 

  • 0 in reply to Peter Flügge

    Hallo Peter,

    hast du schon versucht die Logs von DHCP/DNS/Firewall-Service der letzten 7 Tage zu durchsuchen?

    Darüber solltest du in der Lage sein, das Gerät zu finden. Des Weiteren wenn du das noch nicht umgesetzt hast, würde ich dringend empfehlen für die WLAN-Netzwerke die Client-Isolation zu aktivieren. Das behindert, falls wir hier tatsächlich einen Trojaner oder Wurm haben, die Möglichkeiten, durch ein P2P-Verbindung zu einem anderen Apple-Gerät etwaige Sicherheitslücken zu Infizierung auszunutzen.

  • 0 in reply to NIC0

    Kurzes Update. Ich kann das ganze doch nachstellen. Ausgelöst wird es definitiv durch die Seite Stern Punkt de. Mit eingeschalteten UBlock wird es verhindert. Wird das ganze durch Werbung der Seite hervorgerufen? (Auf einem Windows 10 Notebook)

  • 0 in reply to NIC0

    Danke für das ausprobieren.

  • 0 in reply to NIC0

    Ich gehe stark davon aus, dass es die Banner sind. Ich habe jetzt einfach Stern Punkt de bei uns auf die Blacklist gepackt. Seitdem herrscht Ruhe. Die Kollegen werden schon Alternativen zu der Seite finden.

  • 0

    Hat jemand bereits einen Labs Request gestellt? 

    https://support.sophos.com/support/s/filesubmission?language=en_US

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Also ich habe es jetzt einmal ausgefüllt.

    Mal schauen was dabei herumkommt.

  • 0

    Hallo zusamm,

    meinerseits ist der ATP Alarm leider nicht nachzustellen; kommt sporadisch (aus mehreren Netzwerken aber auch in einem Abstand von +- 1 Std. vor).

    ABER: Ich habe mal etwas tiefer recherchiert, was hinter den Zieladressen liegt: die liegen wie es ausschaut alle bei INAP Holding LLC (Cloudhosting Provider). Es scheint sich laut div. Quellen (hauptsächlich IP-Abuse Webseiten) tatsächlich um ein Command & Control Center eines Botnetzes zu handeln.

    Beispiel-IP (aus Kommentar ) kommt bei Valkyrie Verdict und Forcepoint Threatseeker als Malicious zurück.

    verdict.valkyrie.comodo.com/.../result


    Die Quelle der Verbindungen konnte ich leider noch nicht ausfindig machen, da bislang auch kein einziges Antimalwareprogramm jegliche Dateien auf den betroffenen Systemen erkennt. Möglicherweise ein HTTP Crypto-Botnetz? Falls ich was finde berichte ich nochmal zurück.

Unfiltered HTML