Avast WEBforum

Non-English Zone => Deutsch => Topic started by: Brox13 on November 13, 2020, 07:50:56 AM

Title: avast meldet BruteForce von Rechner im eigenen Netzwerk aus
Post by: Brox13 on November 13, 2020, 07:50:56 AM
Hallo alle beisammen,

gestern meldete avast zwei komische Dinge auf einem Rechner hier im Heim-Netzwerk und ich brauche Unterstützung, um das einschätzen zu können.

In meinem Heim-Netzwerk sind mehrere Rechner angeschlossen, Festrechner, Laptops, Mobilgeräte und ein NAS. Das NAS wird mit einer OpenMediaVault (OMV) Distribution betrieben und Inhalte mit SMB (SambaShare) zur Verfügung gestellt im Sinne eines klassischen Netzlaufwerks. OMV halte ich stets aktuell.

Auf einem Laptop meldete avast gestern eine BruteForce Attacke, siehe Anhang Nr. 1. SMB deutet auf SambaShare hin und die IP ist die meines Hauptrechners. Diesen habe ich mit avast und Malwarebytes gescannt, da ist nichts. Alles was ich während der betroffenen Uhrzeit (es waren zwei Vorgänge laut Log) gemacht habe, war eine VM Box, bzw. eine darin laufende Kali Distribution zu aktualisieren. Für Kali musste ich eine IP der RWTH Aachen kurzfristig whitelisten, das habe ich vorher aber in mehreren Foren nachgelesen.

Kali wird für Sicherheitstests benutzt, dafür habe ich mir das auch installiert und es lädt wohl auch verdächtige Inhalte nach, eben für Tests. Ausgeführt habe ich dort aber noch keine Anwendung, da ich mich noch nicht ausreichend eingelesen habe. Der betroffene Rechner nutzt Win 10 Home, d.h. die Remotedesktopverbindung kann nicht hosten. Alle Linux-Distributionen stammen aus legitimen Quellen, z.B. heise, Hersteller, etc. und aktualisiert habe ich per Terminal von offiziellen Quellen. Mit Linux kenne ich mich so weit aus, dass ich per Terminal aktualisieren kann, ich kann auch mal eine defekte Routine reparieren, bin aber alles andere als ein Experte. Ich lerne noch.

Später kam dann noch die Meldung von Anhang Nr. 2 dazu. Auch das ist seltsam, da ich während dieser Zeit lediglich auf einer ubuntu-Seite war mit dem Laptop. Laut NoScript war die gemeldete Seite aber keine Subseite dieser und sie war auch nicht freigeschaltet.

Ein anderer Laptop der währenddessen lief, meldete nix, auch der Hauptrechner nicht.

Da mich das etwas beunruhigt, würde ich mich freuen, wenn mir jemand helfen könnte, das zu verstehen.

Danke!

VG
Title: Re: avast meldet BruteForce von Rechner im eigenen Netzwerk aus
Post by: Asyn on November 13, 2020, 08:08:18 AM
Hi, die BruteForce-Warnung bzgl. SMB stammt vom neuen Remote Access Shield (Schutz gegen Fernzugriff).
Details zur Funktion, sowie Diskussion, findest du hier: https://forum.avast.com/index.php?topic=235069.0

G Asyn
Title: Re: avast meldet BruteForce von Rechner im eigenen Netzwerk aus
Post by: Brox13 on November 13, 2020, 08:24:35 AM
Hi, die BruteForce-Warnung bzgl. SMB stammt vom neuen Remote Access Shield (Schutz gegen Fernzugriff).
Details zur Funktion, sowie Diskussion, findest du hier: https://forum.avast.com/index.php?topic=235069.0

G Asyn

Hi Asyn,

danke für die schnelle Nachricht. Andere scheinen ja dasselbe Problem zu haben, jedoch fand ich in den Themen dort noch keine Lösung. Oder habe ich was übersehen?

VG
Brox
Title: Re: avast meldet BruteForce von Rechner im eigenen Netzwerk aus
Post by: Asyn on November 13, 2020, 08:54:45 AM
Hi Brox, ich kann dir nur folgende Dev-Info anbieten...

The new version of the Remote Access Shield scans not only incoming RDP connections, but also incoming SMB connections. SMB protocol is another common attack vector. When we detect multiple unsuccessful SMB connections over a period of time, it triggers the brute force attack detection. As for why an internal address would be doing this - either this could be a misconfigured device trying to connect with wrong credentials (but in that case it's strange that it tries so many connections), or it could be infected with malware and trying to gain access to other devices.

To find out the reason why this is happening, you would need to investigate the device that initiates the connections. And either fix its configuration, ask the device's manufacturer why this is happening, or, in case it is infected with malware, remove the malware. Also, if you have any software for capturing network traffic like Wireshark, you could take a look at incoming connections to your computer's port 445. The SMB client's username is sent in plaintext.

SMB scanning can be turned off in Avast settings, but it will compromise your computer's security.


G Asyn
Title: Re: avast meldet BruteForce von Rechner im eigenen Netzwerk aus
Post by: Brox13 on November 13, 2020, 09:40:37 AM
Hi Brox, ich kann dir nur folgende Dev-Info anbieten...

The new version of the Remote Access Shield scans not only incoming RDP connections, but also incoming SMB connections. SMB protocol is another common attack vector. When we detect multiple unsuccessful SMB connections over a period of time, it triggers the brute force attack detection. As for why an internal address would be doing this - either this could be a misconfigured device trying to connect with wrong credentials (but in that case it's strange that it tries so many connections), or it could be infected with malware and trying to gain access to other devices.

To find out the reason why this is happening, you would need to investigate the device that initiates the connections. And either fix its configuration, ask the device's manufacturer why this is happening, or, in case it is infected with malware, remove the malware. Also, if you have any software for capturing network traffic like Wireshark, you could take a look at incoming connections to your computer's port 445. The SMB client's username is sent in plaintext.

SMB scanning can be turned off in Avast settings, but it will compromise your computer's security.


G Asyn

Danke für die Info. Den ausgehenden Rechner habe ich untersucht, zwei Scanner fanden gar nix und installiert ist nur Software aus legitimen Quellen. Ich belasse den Schutz so wie er ist und muss beobachten, ob und unter welchen Umständen es noch mal auftritt.

Danke für die Hilfe.
Title: Re: avast meldet BruteForce von Rechner im eigenen Netzwerk aus
Post by: Asyn on November 13, 2020, 09:51:57 AM
Bitteschön. :)

G Asyn