Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
Каталог
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Страницы: 1
RSS
Оповещения о вредоносном ПО на устройствах Amazon Echo, UniFi Network
 
Получаю эти уведомления на всех своих Amazon Echo от CyberSecure. Кто-нибудь еще получает это? Amazon утверждает, что у них возникли проблемы с доступом к их устройствам, так что не знаю, правда это или нет?

IPS Alert 1: Обнаружен сетевой троян.
Signature ET MALWARE Possible Zeus GameOver/FluBot Related DGA NXDOMAIN Responses.
From: 10.50.50.1:53, to: 10.50.50.120:61139, protocol: UDP
 
Кибервойна? У меня куча устройств Amazon, и я использую IPS/IDS на нескольких сетях, включая ту, где эти устройства находятся. Я такого никогда не видел. Заметьте, что логи показывают, что трафик идет к устройствам Amazon, а не от них.
 
Похоже, блокирует, так что, думаю, особо ничего сделать не могу. Киберсьюрдж, кажется, делает свое дело.
 
Да, заметил, что трафик идёт на устройства. Странно, что только на них и больше никуда? Я не эксперт по кибербезопасности, поэтому не знаю, как это вообще могло попасть на мою локальную сеть. Я ничего не вижу из интернета, всё локальное и других оповещений нигде больше нет. У меня Bitdefender на ПК и Mac, Linux-сервера изолированы.
 
Я поискал, но ничего не нашёл про устройства Amazon.
 
Прости за эту ерунду с CyberSecure, это дополнение к продукту Unifi.
 
Не думаю, что это объясняет, почему я не вижу этого, а ты видишь. Ещё одна вещь, которая может быть связана: я использую PiHole для DNS и заставляю все DNS-запросы проходить через PiHole. Я проверил свои логи и не вижу подобных запросов. Это правило из публичной (бесплатной) конфигурации по возникающим угрозам:
alert udp any 53 -> $HOME_NET any (
 msg:"ET MALWARE Possible Zeus GameOver/FluBot Related DGA NXDOMAIN Responses";
 byte_test:1,&,128,2;
 byte_test:1,&,1,3;
 byte_test:1,&,2,3;
 content:"|00 01 00 00 00 01|";
 offset:4;
 depth:6;
 pcre:"/^..[\x0d-\x20][a-z]{13,32}(?:\x03(?:biz|com|net|org)|\x04info|\x02ru)\x00\x00\x01\x00\x01/Rs";
 threshold: type both, track by_dst, count 12, seconds 120;
 reference:url,vrt-blog.snort.org/2014/03/decoding-domain-generation-algorithms.html;
 classtype:trojan-activity;
 sid:2018316;
 rev:4;
 metadata:created_at 2014_03_25, confidence Medium, signature_severity Major, updated_at 2023_05_19;
)
Я почти уверен, что другие спрашивали об этом же правиле недавно. Я не помню, к какому выводу пришли, но можно попробовать поискать. Если оно срабатывает, значит, произошло несколько запросов к очень странным именам хостов с довольно высокой частотой. Похоже, с этими устройствами что-то не так.
 
Только что сложил дважды два… ты имеешь в виду CyberSecure, а не Cyberwar. У меня нет подписки, так что, возможно, это объясняет, почему я этого не вижу.
Страницы: 1
Читают тему (гостей: 1)