Versionen im Vergleich

Alte Version 23

changes.mady.by.user Talos-Zens Alexander

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user Raditsch Markus

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

HTML-Format
<style>
.wiki-content p {text-align:justify;}
.wiki-content {position:relative; left:60px; width:600px;}
</style>

Inhalt
maxLevel3
minLevel2

...

typeflat

Incident Handling: Tags für automatische

...

Securityhinweise

Allgemeines

Das ACOnet-CERT interpretiert Beobachtungen, die selbst gemacht (z.B. durch Auswertung von Netzstatistiken) oder von anderen Organisationen (CERTs, Security-Teams, etc...) übermittelt werden in einem weitgehend automatisierten Prozess. Ergibt die Auswertung eine hinreichende Wahrscheinlichkeit für ein Sicherheitsproblem, werden die vorhandenen Informationen als Securityhinweise an die jeweiligen ACOnet-Teilnehmer weitergeleitet.

(Warnung) Securityhinweise sind stets das Ergebnis der Interpretation von Beobachtungen und können Irrtümer enthalten.

Die meisten Problemhinweise Problemhinweise in den vom CERT verschickten Benachrichtigungen sind meist mit einem Tag bezeichnet. Genauere Beschreibungen und Hintergrundinformationen dazu können über die folgende Liste abgerufen werden.
Tags bestehen aus zwei oder drei Teilen, die jeweils durch einen Punkt verbunden sind, beginnend mit der Kategorie:

Attack

Der betrefffende Rechner nimmt an DoS-Angriffen teil, versucht in Systeme einzudringen (Exploits, Brute Force-Angriffe) oder zeigt ein Verhalten, das einen bevorstehenden Angriff vermuten läßt.

Bot

Der betreffende Rechner nimmt an einem Botnet teil. Das Dieser Alarm wird zumeist an der durch die (versuchtenversuchte) Kontaktaufnahme mit den einem Command&Control-Servern erkanntausgelöst.

Spam

Versand von Spam (Blacklisten, Spamtraps...) oder für Malware, die Spam oder infizierte Mail versendet. Auch bei gesperrtem SMTP-Port kann es zu Hinweisen aus dieser Kategorie kommen: Webmail, webbasierten Medien wie Blogs und Foren, Kontakt mit Command&Control-Servern.

...

Sammelkategorie für unsichere Zustände eines Rechners, die nicht genauer mit einer der obigen Kategorien beschrieben werden können: Rechner ist von Malware befallen, ein Account ist gehackt worden, etc...

Phishing

Phishing-Webseiten oder anders in Phishing-Aktivitäten involvierte Adressen.

Vulnerability

Schwachstellen, soweit sie dem ACOnet-CERT durch Hinweise von außen oder durch eigene Tests bekannt werden. Die Kategorie Vulnerability kann und soll keineswegs Pentests oder Security-Scans ersetzen, vielmehr werden ausgewählte Problemfelder behandelt. Auf eine Klasse von Vulnerabilities, die UDP-basiert DoS-Angriffe ermöglichen, wird im Dokument Amplified UDP reflection attack näher eingegangen.

 

Die Tags

Tag

Kurzbeschreibung

Attack.Portscan

Rechner führt Portscans durch (viele Zielports und/oder viele Zieladressen)

Attack.Sony.comGeräte versuchen die Dienste von SONY zu beeinträchtigen oder Accounts von SONY Kunden zu kompromittieren.

Bot.CBL

Rechner ist auf der CBL-Blacklist verzeichnet

Bot.Conficker.C&C

Kontakt mit einem C&C-Server des Conficker-Botnets

Bot.Rustock.C&C

Kontakt mit einem von Microsoft + Security-Firmen übernommenen Rustock-C&C-Server

Bot.Torpig_Mebroot.C&C

Kontakt mit einem C&C-Server des Torpig/Mebroot-Botnets

Compromised.Account

Geheimnisverlust von Username & Paßwort / sonstigen Credentials

Compromised.Harvester.project_honeypot

Rechner sucht nach Mailadressen, an die Spam gesendet wird

Phishing.phishtank_org

Phishing-Webseiten, die bei Phishtank.org gemeldet wurden.

Spam.Blacklist.NIXSPAM

Rechner ist auf der NIXSPAM-Blacklist verzeichnet

Spam.Blacklist.PSBL

Rechner ist auf der PSBL-Blacklist verzeichnet

Spam.Blacklist.QUORUM_TO

Rechner ist auf der QUORUM

_

.TO-Blacklist verzeichnet

Spam.Blacklist.SpamCop

Rechner ist auf der SpamCop-Blacklist verzeichnet

Spam.Blacklist.UCEPROTECT

Rechner ist auf der UCEPROTECT1-Blacklist verzeichnet

Spam.Web.project_honeypot

Spam in Webforen, Blogs, etc.

Spam.postmaster_live_com

Spamhost-Informationen von postmaster.live.com (Hotmail)

Spam.Spamtrap

Header oder Auszüge von Nachrichten, die an Spamtrapadressen geschickt wurden

Spam.Stats.Peers

Ausgehender Verkehr mit port 25 vieler verschiedener Adressen

Spam.Stats.Increase

Plötzlich zunehmender Verkehr mit Ziel-port 25

Vuln.amtAuthentication Bypass bei AMT-Fernwartungsfunktionalität – CVE-2017-5689
Vuln.ntpd_peerlistTime-Server, der mittels peerlist-Befehl für DoS-Angriffe mißbraucht werden kann
Vuln.ntpd_monlistTime-Server, der mittels monlist-Befehl für DoS-Angriffe mißbraucht werden kann

Vuln.open_recursor

Ungeschützter Nameserver, der für DoS-Angriffe mißbraucht werden kann
Vuln.open_chargenUngeschützter Chargen-Server, der für DoS-Angriffe mißbraucht werden kann
Vuln.openssl_heartbeatOpenSSL-Verwundbarkeit "Heartbleed" – CVE-2014-0160
Vuln.open_snmpUngeschützte SNMP-Server, die für DoS-Angriffe mißbraucht werden können
Vuln.weak_cipherServer unterstützt veraltete Verschlüsselungsmethoden
Vuln.open_portmapperUngeschütztes Portmapper Service, das für DoS-Angriffe missbraucht werden kann