image

De 26 IP-adressen van het Red October spionagevirus

maandag 21 januari 2013, 13:31 door Redactie, 5 reacties

Organisaties die willen controleren of ze ook door het Red October spionagevirus zijn getroffen kunnen aan de hand van nieuwe informatie hun netwerklogs en systemen controleren. Red October werd vorige week onthuld. De malware wist over een periode van vijf jaar onopgemerkt 300 ambassades en onderzoeksinstellingen wereldwijd te infecteren. Daarbij werden terabytes aan data gestolen.

Het Russische anti-virusbedrijf Kaspersky Lab heeft samen met het Amerikaanse beveiligingsbedrijf AlienVault Labs een document online gezet met aanwijzingen waaruit een gecompromitteerd systeem bleekt. Het gaat dan om door de malware aangemaakte directories en bestanden, door de aanvallers gebruikte domeinnamen voor het aansturen van besmette computers, netwerkverkeer en een overzicht van 26 gebruikte IP-adressen.

De aanvallers hebben bewust tientallen domeinnamen gekozen die op die van Microsoft lijken, waardoor ze niet in de logs zouden opvallen. Het gaat onder andere om microsoftcheck.com, microsoftosupdate.com en microsoft-msdn.com. Hieronder de gebruikte IP-adressen.

  • 141.101.239.225
  • 178.162.129.237
  • 178.162.182.42
  • 178.63.208.49
  • 188.40.19.247
  • 31.184.234.18
  • 31.41.45.9
  • 37.235.54.48
  • 46.4.202.86
  • 77.72.133.161
  • 78.46.173.15
  • 88.198.30.44
  • 88.198.85.161
  • 88.198.85.162
  • 92.53.105.40
  • 95.168.172.69
  • 31.41.45.139
  • 91.226.31.40
  • 178.63.208.63
  • 31.41.45.119
  • 176.9.241.254
  • 31.41.45.179
  • 176.9.189.36
  • 92.53.105.214
  • 188.40.19.244
  • 85.25.104.57

Met dank aan Michael voor de tip
Reacties (5)
21-01-2013, 13:47 door Anoniem
Je IP adres zal er maar tussen staan, gaat je privacy
21-01-2013, 14:28 door Security Scene Team
Door Anoniem: Je IP adres zal er maar tussen staan, gaat je privacy

die ip adressen zullen zeer waarschijnlijk niet van slachtoffers zijn. dus niemand zal zijn of haar ip er tussen vinden.

het zijn ip adressen die door het virus gebruikt werden om de gestolen data naar toe te zenden / connecten.
het zullen dus C&C servers zijn, en de Superproxys & proxys die geassocieerd worden met red october.


http://www.securelist.com/en/downloads/vlpdfs/redoctober-indicatorsofcompromise.pdf
21-01-2013, 15:01 door [Account Verwijderd]
[Verwijderd]
21-01-2013, 23:34 door Anoniem
Door Anoniem: Je IP adres zal er maar tussen staan, gaat je privacy
Ik heb net mijn modem gereset. Mijn IP-adres staat er nu niet meer tussen ;-)
23-01-2013, 13:05 door Anoniem
mmmm, er worden op internet echt ontelbare ip adressen verbannen, bijv, van wikipedia waar iemand een ip ban krijgt. Vervolgens krijgt iemand anders bij dezelfde provider als nieuwe klant het ip toegewezen. Dit moet toch echt gebeuren of niet? Of zijn er zoveel ip adressen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.