Incident Handling: Tags für automatische Problemhinweise
Allgemeines
Problemhinweise in den vom CERT verschickten Benachrichtigungen sind meist mit einem Tag bezeichnet. Genauere Beschreibungen und Hintergrundinformationen dazu können über die folgende Liste abgerufen werden. Tags bestehen aus zwei oder drei Teilen, die jeweils durch einen Punkt verbunden sind, beginnend mit der Kategorie:
Bot
Der betreffende Rechner nimmt an einem Botnet teil. Dieser Alarm wird zumeist durch die (versuchte) Kontaktaufnahme mit einem Command&Control-Servern ausgelöst.
Spam
Versand von Spam (Blacklisten, Spamtraps...) oder für Malware, die Spam oder infizierte Mail versendet. Auch bei gesperrtem SMTP-Port kann es zu Hinweisen aus dieser Kategorie kommen: Webmail, webbasierten Medien wie Blogs und Foren, Kontakt mit Command&Control-Servern.
Compromised
Sammelkategorie für unsichere Zustände eines Rechners, die nicht genauer mit einer der obigen Kategorien beschrieben werden können: Rechner ist von Malware befallen, ein Account ist gehackt worden, etc...
Phishing
Phishing-Webseiten oder anders in Phishing-Aktivitäten involvierte Adressen.
Die Tags
Tag |
Kurzbeschreibung |
|---|---|
Rechner ist auf der CBL-Blacklist verzeichnet |
|
Kontakt mit einem C&C-Server des Conficker-Botnets |
|
Kontakt mit einem von Microsoft + Security-Firmen übernommenen Rustock-C&C-Server |
|
Kontakt mit einem C&C-Server des Torpig/Mebroot-Botnets |
|
Rechner sucht nach Mailadressen, an die Spam gesendet wird |
|
Phishing-Webseiten, die bei Phishtank.org gemeldet wurden. |
|
Rechner ist auf der NIXSPAM-Blacklist verzeichnet |
|
Rechner ist auf der PSBL-Blacklist verzeichnet |
|
Rechner ist auf der QUORUM.TO-Blacklist verzeichnet |
|
Rechner ist auf der SpamCop-Blacklist verzeichnet |
|
Rechner ist auf der UCEPROTECT1-Blacklist verzeichnet |
|
Spam in Webforen, Blogs, etc. |
|
Spamhost-Informationen von postmaster.live.com (Hotmail) |
|
Header oder Auszüge von Nachrichten, die an Spamtrapadressen geschickt wurden |