You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 11 Current »

Kurzinfo

Geräte die versuchen die Dienste von SONY zu beeinträchtigen oder Accounts von SONY Kunden zu kompromittieren.

Treffsicherheit

Die E-Mail Reports von SONY haben sich als sehr treffsicher erwiesen.

Account Takeover Attempt

Beschreibung

Die in den Reports genannten Geräte versuchen Konten von Kunden des SONY Playstation Networks zu übernehmen. SONY erkennt die Angriffe anhand nicht weiter erläuterter Zugriffsmuster auf diese hosts über den TCP port 443:

  • account.sonyentertainmentnetwork.com
  • auth.np.ac.playstation.net
  • auth.api.sonyentertainmentnetwork.com
  • auth.api.np.ac.playstation.net

Diese hosts werden über das Akamai Netzwerk lastverteilt und haben folglich wechselnde IP Adressen.

E-Mail Report Beispiel

Subject:               IP address(es) were blacklisted from the PlayStation Network [201702064576]

Date:     Mon, 6 Feb 2017 20:42:41 -0800

To:         cert@aco.net

From:    no-reply@snei.sony.com

……

Approximate Time Range (UTC), IP Address, Reason

2017-02-06 14:14 ~ 2017-02-06 14:44 (UTC), 1.2.3.4, Account Takeover Attempts

2017-02-06 18:36 ~ 2017-02-06 19:06 (UTC), 1.2.3.4, Account Takeover Attempts

Erfahrungen

Account Takeover Attempts Attacken wurden vor allem in folgenden Fällen beobachtet und bestätigt:

  • Infizierte Heimnetzwerk Router (siehe Links).
  • Infizierte Software auf Windows PCs.
  • Infizierte Steuerungen für Heizungssysteme.

Bei Untersuchungen infizierter Router wurde festgestellt, dass in einzelnen Fällen die Firmware erfolgreich aktualisiert und bereinigt werden konnte. In einigen Fällen hat eine Sanierung aber trotz verfügbarem Update nicht funktioniert. Die meisten infizierten Geräte mussten aus dem Verkehr gezogen werden und wurden nach Anweisung des Heim Admins durch die Studierenden durch andere Modelle (ein konkretes Modell haben wir als ACOnet-CERT nicht empfohlen) ersetzt.

Neben Attacken auf das SONY Playstation Network wurden die infizierten Router auch als SPAM Quellen identifiziert bzw. sind durch Attacken auf WordPress Instanzen (Ziel: phpMailer Lücke - "wp-login.php") aufgefallen.

Entgegen anfänglicher Vermutungen, haben sich keine Fälle bestätigt an denen eine infiziert oder modifiziert SONY Playstation beteiligt gewesen ist.

https://www.heise.de/security/meldung/Netgear-Luecke-dramatischer-als-angenommen-erste-Sicherheits-Updates-3569299.html

https://www.golem.de/news/router-bsi-warnt-vor-sicherheitsluecke-in-60-netgear-modellen-1701-125745.html

http://derstandard.at/2000049819772/Netgear-Router-N300-mit-massiver-Sicherheitsluecke

 

 

  • No labels