Thema: kompromittiertes Heimnetzwerk

erstellt am: 30.04.2018 16:21

Antworten: 1

nicht registrierter User


kompromittiertes Heimnetzwerk
30.04.2018 16:21

Hallo Leute,

ich habe ein kleines Problem in meinem Netzwerk und möchte gleich vorab ankündigen, dass ich KEIN Experte, oder Netzwerk-Profi bin.

Alles was ich weiß, habe ich mir selbst beigebracht und er-googled, aber hier komme ich seit Wochen einfach nicht mehr weiter und hoffe, dass mir irgendwer helfen kann

Das Problem: Mein Heimnetzwerk wurde infiltriert und kompromittiert.
Wie das alles Zustande kam ist vorerst irrelevant.

Wichtig zu wissen ist, dass es keine Script-Kiddies, oder Anfänger sind, sondern vielmehr eine Firma in den USA, welche selbst Linux-Distributionen programmiert und vertreibt und dabei einen Umsatz von etwa 28Mrd US-Dollar zu verzeichnen hat.

Der Exploit kam über das TOR-Netzwerk (TOR-Browser), VPN war vorgeschaltet. Injeziert wurden scheinbar DCE/RPC Pakete. Mit Wireshark konnte ich außerdem Protokolle wie H1, POP, IMF, TDS fangen. TDS-Logins, Fack-Call-IDs via DCE/RPC, das volle Programm.

Kurze Zeit später herrschte Voodoo in meinem kleinen Netzwerk, bestehend aus einem Router und 2-3 Stations, bis dato meisten über WLAN verbunden. Mein Handy blieb plötzlich mit dem WLAN connected, obwohl ich im Flugmodus war, ich konnte mich kaum mehr in Youtube und Google Accounts einloggen, weil mein Computer plötzlich nicht mehr erkannt wurde, etc. (nur ein kleiner Teil der Dinge die passier(t)en.

Die Krönung war eine von mir via Wireshark entdeckte reverse_tcp, direkt in deren Firmenserver (Namen möchte ich nicht nennen) in die USA.

Iptables und Firewall waren zu dem Zeitpunkt inaktiv und ich war als user im Kali unterwegs.
Die reverse_tcp habe ich dann mittels IP-Block in der Firewall erstmal unterbunden, aber der Spuk geht/ging weiter...

Plötzlich werden in meinem Netzwerk NBNS-Protokolle verschickt, die vorher nie da waren. Ich gehe davon aus, dass alles extrem gerooted ist, bin aber wie gesagt kein Experte und komme mit meinem Wissen nicht weiter.

Daher die einfache Frage: Wie kann ich anfangen mein Netzwerk von grundauf neu und sicher aufzusetzen, versteckte Verbindungen finden und evtl. auch Dinge wie Rootkits und Backdoors im Router aufspüren?

Grundkenntnisse mit Programmen wie Wireshark, Nmap, etc. und netstat-Befehle & Co. sind vorhanden. Ich finde einfach nichts, alles sieht normal aus, aber ich weiss, dass es das nicht ist, zumal ich bislang keinen Fehler behoben habe. Wo soll ich nur anfangen?

Antworten

Peter Schmitz





dabei seit: 13.02.2008

Beiträge: 128

RE: kompromittiertes Heimnetzwerk
02.05.2018 10:03

Wenn Sie der Meinung sind, dass Sie Opfer eines Angriffs wurden würde ich dringend empfehlen die Polizei und/oder das Referat Wirtschaftsschutz des für Sie zuständigen Landesamts für Verfassungsschutz kontaktieren. Ggf. kann Ihnen auch das Referat für Wirtschaftsschutz des BfV weitrerhelfen.

Alternativ können Sie sich an einen Security-Dienstleister wenden, der die Sicherung der Spuren übernimmt und Ihnen Tipps zur Bereinigung geben kann.

So lange keine forensische Erfassung des Angriffs stattgefunden hat, sollten Sie möglichst keine Spuren zerstören, aber ich würde grundsätzlich darauf setzen, die kompromittierte Hardware komplett neu aufzusetzen.

Weitere Empfehlungen kann man Ihnen nicht seriös geben.

Viele Grüße,
Peter Schmitz
Chefredakteur Security-Insider

Antworten

Antwort schreiben

Titel:


Nachricht:

 



Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.

Thema abonnieren:

Email:
*Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung einverstanden.
Antwort abschicken