SMTP Trojaner im Netzwerk aufspüren

[Speed4Fun]

SMTP Trojaner im Netzwerk aufspüren

Im Netzwerk eines kleineren befreundeten Unternehmens hat sich offensichtlich ein SMTP-Trojaner eingenistet. Die Telekom als DSL-Provider hat nach einigen Abuse SPAM-Meldungen (SPAMs immer über SMTP-Port 25) die Sperrung des Anschlusses bereits angekündigt.

Als erste Maßnahme wurden sämtliche Rechner samt Server bereits mit aktuellen (bootfähigen) Viren- und Malwarescannnern untersucht, jedoch ergebnislos.

Auch ein Scannen der Ports und sämtlicher laufenden Prozesse brachte keinen weiteren Aufschluss über den verursachenden Rechner. Ebenso tauchen in der Untersuchung des ausgehenden Netzwerk-Traffics mit Wireshark keine verdächtigen SMTP-Pakete auf.

Die ganze Sache ist schon sehr mysteriös, da die gegenüber dem Provider gemeldeten SPAM-Mails intern nicht nachvollzogen werden können.

Jemand eine Idee?

 

[RuhigeHand]

AW: SMTP Trojaner im Netzwerk aufspüren

Vielleicht wurde ein PC/Notebook übersehen, nutzen vielleicht Mitarbeiter private Geräte die nicht gescannt wurden? Wenn kein verdächtiger Netzwerkverkehr festgestellt wird, würde ich der Telekom das so schreiben und den Anschluss wieder entsperren lassen, sollte es allerdings wieder vorkommen hast du ein Problem. Mein Verdacht geht aber eher dahin dass private Geräte benutzt werden die halt im Moment nicht aktiv sind.

 

[Research]

AW: SMTP Trojaner im Netzwerk aufspüren

Testet mal so: Fragt die Telekom um Hilfe. Lasst Stückweise alle PCs ans Netz gehen. Protokolliert dies. Die Telekom muss dann sagen wann der SPAM neu anfing.
Dann wisst ihr ungefähr welcher PC es war.

Würde aber auch auf was mobiles tippen.

BTW: Wurde weitergespammt auch nachdem alle PCs/Laptops aus waren?

 

[norse]

AW: SMTP Trojaner im Netzwerk aufspüren

evtl mal das Wlan kennwort ändern, vlt ist es jmd von außen

 

[Research]

AW: SMTP Trojaner im Netzwerk aufspüren

U.A. sollte damit genau Das herausgefunden werden.

 

[Speed4Fun]

AW: SMTP Trojaner im Netzwerk aufspüren

Danke für die Anregungen.

An private bzw. mobile Geräte wurde natürlich auch gedacht.

Laut Abuse-Protokoll der Telekom traten die SPAMs auch zu Nachtzeiten auf, als definitiv keine fremden Geräte mehr im Netz sein konnten.

Das WLAN wurde bis zur Klärung des Sachverhaltes vollständig abgeschaltet.

 

[Research]

AW: SMTP Trojaner im Netzwerk aufspüren

OK. W-LAN aus. Kein Fremdcomputer aus der Nachbarschaft.

Habt ihr mal vor dem Modem mit nem Hub geguckt ob da was ist?

Tritt das Ganze auch ohne aktive IT von euch auf?

 

[RuhigeHand]

AW: SMTP Trojaner im Netzwerk aufspüren

Habt ihr denn aktuell immer noch Spams? Wenn nein würde ich nach wie vor auf ein nicht firmeneigenes Gerät tippen, mal die Mitarbeiter "sensibiliseren" wird helfen. Wenn nach wievor Spams auftreten kannst nur weitersuchen. Ich habe auch schon in Firmen erlebt dass es nicht schadet das WLan PW mal zu ändern und den Kreis der Wissenden klein zuhalten.

 

[Jimini]

Konnte die Telekom denn irgendeinen Beleg dafür liefern, dass die Pakete wirklich von eurem Anschluss kommen? Gegebenenfalls sollen die mal genaueres zu den betreffenden Paketen sagen, so dass ihr dann einen darauf abgestimmten Sniffer zwischen Anschluss und letztem internen Gerät ein paar Tage den Traffic laufen lassen könnt.

MfG Jimini

 

[Speed4Fun]

AW: SMTP Trojaner im Netzwerk aufspüren

Die Abuse-Protokolle waren natürlich das Erste, was von der Telekom angefordert wurde.

Bis auf eine einzige konkrete Email, die stark an Nigeria-Connection erinnert, gibt es in diesen Protokollen lediglich Hinweise auf Uhrzeit, IP-Adresse und den verwendeten Port 25.

Insgesamt wurden auf diese Art und Weise etwa 10 verdächtige Abuse-Fälle an die Telekom gemeldet, in einem Zeitraum von etwa 3 bis 4 Tagen.

Für einen SMTP-Trojaner bzw. einen unerwünschten SMTP-Dienst eigentlich viel zu wenig.

 

[RuhigeHand]

AW: SMTP Trojaner im Netzwerk aufspüren

Naja da kommen ja immer merh Details zum Vorschein, ich hatte noch nie den Fall das die TKom oder irgendein anderer ISP einen Anschluss bei "nur" 10 Verdachtsfällen gesperrt hat. Ist die Firma denn aktuell frei am Netz und ihr treibt nur Aufklärung oder ist das hier aktuell und die Tkom jammert wegen 10 Spammails?

 

[Speed4Fun]

AW: SMTP Trojaner im Netzwerk aufspüren

Es geht mir hier um technische Möglichkeiten, Trojaner im Netzwerk dingfest zu machen.

Wessen Netzwerk davon betroffen ist und welche Protokolle die Telekom zur Verfügung stellt, tut nichts zur Sache.

'Wir' müssen auch keine Aufklärung betreiben, das ist kein offizieller wie auch immer Thread.

 

[Jimini]

AW: SMTP Trojaner im Netzwerk aufspüren

Es geht mir hier um technische Möglichkeiten, Trojaner im Netzwerk dingfest zu machen.

Ich würde beim Verdacht, dass ein Trojaner in meinem Netz unterwegs ist, wie folgt vorgehen:
- Alle Clients einschalten.
- Alle Programme, die eine Internetverbindung benötigen, beenden.
- Auf einem System, über welches der komplette Traffic läuft (in meinem Fall der Router) einen Sniffer (Wireshark, tcpdump o.ä.) mitlaufen lassen. Wenn man ganz paranoid ist, kann man das auch auf einem definitiv sauberen Live-System machen. Irgendwann sollte man dann Pakete finden, die ungewollt sind - für die Auswertung der (mitunter riesigen!) Logfiles dürfte es auch ein paar nützliche Tools geben. Der Haken ist hierbei, dass die Malware möglicherweise Amok läuft, sollte sie X Minuten keine Verbindung nach außen herstellen können.

Wenn man ein System ausgemacht hat, welches infiziert ist, gilt es, abzuwägen, was mit dem System geschehen soll. Im Privatbereich kann man die Kiste abschalten und nach einer gründlichen Formatierung neu aufsetzen, wenn man hingegen in einer Firma unterwegs ist, wird es komplizierter: wird das System für den laufenden Betrieb benötigt? Sind Daten zu retten? Könnten sensible Daten ausspioniert worden sein? Hier sollte man nichts überstürzen, da man mit übereifrigem Aktionismus nicht nur selbst benötigte Daten, sondern unter Umständen auch Beweismittel vernichten kann. Siehe hierfür beispielsweise https://de.wikipedia.org/wiki/IT-Forensik#Computer-Forensik_und_Beweismittelsicherung
Idealerweise steht man in so einer Situation aber nicht völlig unvorbereitet da, sondern hat irgendwann vorher mal eine Policy ausgearbeitet, was in so einem Fall zu tun ist - nicht zuletzt, um sich womöglich vor späteren Vorwürfen zu schützen (beispielsweise vom Chef à la "was drehen sie denn einfach den Server ab, die Leute sind am arbeiten").

MfG Jimini

 

[Research]

AW: SMTP Trojaner im Netzwerk aufspüren

Diese E-Mail gingen aber nicht zufällig als unzustellbar an den Absender zurück?

 

[Speed4Fun]

AW: SMTP Trojaner im Netzwerk aufspüren

Diese E-Mail gingen aber nicht zufällig als unzustellbar an den Absender zurück?

Der Sinn dieser Frage erschließt sich mir ehrlich gesagt nicht.

Die an den Provider gerichteten Abuse-Meldungen beruhen auf zugestellte Spam-Mails.

Es sei denn, diese wären Fakes.

Was ich bei der Qualität und Aussagekraft der Abuse-Protokolle nicht einmal ausschließen würde.

 

[Research]

AW: SMTP Trojaner im Netzwerk aufspüren

Es ist möglich existierende E-Mail-Accounts zu emittieren. Wenn also die E-Mail von euch geblockt wird, geht sie zurück zum Absender, dem Realen.
Schon seit ihr SPAM-Versender.

Das Protokoll klingt schon mal interessant.

 

[Speed4Fun]

AW: SMTP Trojaner im Netzwerk aufspüren

Also bis dato wurden von diesem Anschluss keine weiteren Spams mehr versendet.

Letzte Sicherheit bekommen wir nur durch eine laufende Überwachung der ausgehenden Datenpakete.

Dazu wird eine Woche lang der gesamte Datenverkehr protokolliert.

 

[RuhigeHand]

AW: SMTP Trojaner im Netzwerk aufspüren

Schau mal, das war genau meine Frage. Aktuell keine Spam mehr und das Problem wird aktuell im Unternehmen gesucht. Du schreibst mir das "wir" keine Aufklärung betreiben und es nur um die technischen Möglichkeiten der Trojaner Suche geht.

Ich wollte dir gerne bei deinem Problem weiterhelfen, immerhin lebt das Unternehmen in dem ich arbeite auch von Lösung solcher Problemen bei Kunden.

 

[Speed4Fun]

AW: SMTP Trojaner im Netzwerk aufspüren

Die Tatsache, dass aktuell keine weiteren Spams mehr gemeldet wurden, bedeutet nicht zwangsläufig, dass das Problem auch tatsächlich aus der Welt ist.

Ohne die genaue Ursache bzw. Quelle der Spams gefunden zu haben, besteht latent immer noch die Möglichkeit, dass ein ruhender Prozeß jederzeit wieder aktiv werden kann.

Das macht die Sache so brisant.

Auch werden im Moment noch andere Möglichkeiten geprüft, die als ursächliche Quelle infrage kommen.

Dies geht dann in Richtung Einbringen von Privatrechnern in Firmennetzwerke, was zusätzliche rechtliche Fragen aufwerfen würde.

 

[RuhigeHand]

AW: SMTP Trojaner im Netzwerk aufspüren

In die Richtung tendiere ich auch, ihr habt das Problem dass es mmn nicht möglich ist die Quelle im Nachhinen zu identifizieren. Nachdem ihr eigene Geräte ausschliesst werdens wohl externe Geräte sein, unabhängig von rechtlichen Auswirkungen ist es wichtig die Mitarbeiter für das Thema zu sensibilisieren und vielleicht das Netzwerk restriktiver aufzubauen. Erste Schritte sind erfahrungsgemäs den Zugang zum Netz einzuschränken und Inventur zumachen wer worauf warum Zugriff hat.