Trojaans paard infiltreert netwerk via DHCP aanval
Onderzoekers van anti-virusbedrijf Symantec hebben een nieuw Trojaans paard ontdekt dat via kwaadaardige DHCP pakketten de DNS servers van alle machines in een netwerk kan aanpassen. Zodra de malware één machine binnen het netwerk besmet heeft, installeert die een kwaadaardige DHCP server. Die verstuurt DHCP pakketten in de hoop dat de machines in het netwerk die eerder accepteren dan die van de legitieme DHCP server.
Slaagt de aanval van Trojan.Flush.M, dan gebruiken alle computers de volgende twee nameservers 85.255.112.36 en 85.255.112.41, wat betekent dat ze elke computer naar een willekeurige pagina kunnen doorsturen. De twee nameservers zijn eerder door de Zlob en Mac OS X DNS-changer malware gebruikt. Het gaat hier niet om een theoretisch verhaal, want de aanval is al in het wild gesignaleerd. Systeembeheerders krijgen dan ook het advies om het verkeer van en naar 85.255.112.0 – 85.255.127.255 te monitoren of blokkeren
en als dat een IPrange is, welke notatie is dan gebruikelijk om het in je firewall te zetten : een streepje - of : of ; ?
een range zet je toch met een streepje - zonder spaties ?
Hostname: 85.255.112.36
Hostname: 85.255.112.41
ISP: UkrTeleGroup Ltd.
Organization: UkrTeleGroup Ltd.
Proxy: None detected
Type: Cable/DSL
Blacklist:
Geo-Location Information
Country: Ukraine
State/Region: 17
City: Odessa
Latitude: 46.4667
Longitude: 30.7333
Area Code:
Ze draaien ook een http server maar standaard zie je dan geen pagina
Als je /default.html gebruikt krijg ik meteen een attack hahaha dus even niet doen als je niet weet wat je er mee aanmoet.
Er draait ook SSH 22
Er draait ook php op die dozen.
En DNS natuurlijk 53
Wordt doorverwezen naar http://www.domainserror.com.
Ik ken deze bron niet, maar wat ik nog niet wist is dat je gegevens per definitie in het systeem komen. Het officiele bezwaarschrift voorkomt alleen uitwisseling. Als je wilt voorkomen dat je gegevens überhaupt in de database terecht komt, dan moet je dat appart regelen.
Deze bron heeft daar een formulier voor. Misschien een aardig onderwerp om onder de aandacht te brengen.
Bron:
http://deckardt.nl/blog/2008/11/02/epd-bezwaarschrift/
Wil je niets met dat land te maken hebben, haal dan je IP-ranges hier gewoon:
http://www.find-ip-address.org/ip-country/
John
bv mijn dank
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
