Incident Handling: Tags für automatische Problemhinweise
Allgemeines
Problemhinweise in den vom CERT verschickten Benachrichtigungen sind meist mit einem Tag bezeichnet. Genauere Beschreibungen und Hintergrundinformationen dazu können über die folgende Liste abgerufen werden.
Tags bestehen aus zwei oder drei Teilen, die jeweils durch einen Punkt verbunden sind, beginnend mit der Kategorie:
Spam
Versand von Spam (Blacklisten, Spamtraps...) oder für Malware, die Spam oder infizierte Mail versendet. Auch bei gesperrtem SMTP-Port kann es zu Hinweisen aus dieser Kategorie kommen: Webmail, webbasierten Medien wie Blogs und Foren, Kontakt mit Command&Control-Servern.
Bot
Der betreffende Rechner nimmt an einem Botnet teil. Das wird zumeist an der (versuchten) Kontaktaufnahme mit den Command&Control-Servern erkannt.
Die Tags
Tag |
Kurzbeschreibung |
|---|---|
Kontakt mit einem C&C-Server des Conficker-Botnets |
|
Kontakt mit einem von Microsoft + Security-Firmen übernommenen Rustock-C&C-Server |
|
Kontakt mit einem C&C-Server des Torpig/Mebroot-Botnets |
|
Rechner sucht nach Mailadressen, an die Spam gesendet wird |
|
Rechner ist auf der CBL-Blacklist verzeichnet |
|
Rechner ist auf der NIXSPAM-Blacklist verzeichnet |
|
Rechner ist auf der PSBL-Blacklist verzeichnet |
|
Rechner ist auf der QUORUM_TO-Blacklist verzeichnet |
|
Rechner ist auf der SpamCop-Blacklist verzeichnet |
|
Rechner ist auf der UCEPROTECT1-Blacklist verzeichnet |
|
Spamhost-Informationen von postmaster.live.com (Hotmail) |
|
Header oder Auszüge von Nachrichten, die an Spamtrapadressen geschickt wurden |
|
Ausgehender Verkehr mit port 25 vieler verschiedener Adressen |
|
Plötzlich zunehmender Verkehr mit Ziel-port 25 |