Fritzbox hat Zugriff auf Botnet erkannt
- Ersteller Sissmann
- Erstellt am
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,278
- Punkte für Reaktionen
- 1,753
- Punkte
- 113
Außer einem Packet-Dump fällt mir auch nichts einfaches ein, wie man da genauere Informationen kriegen könnte, welcher Zugriff das genau war ... ich habe aber bei mir auch keine 06.98 (aus naheliegenden Gründen) installiert.
Ich habe mir nur die dafür vermutlich verantwortliche Library libbotnetfilterlib.so schon vor einer Weile mal etwas genauer angesehen und würde daraus folgendes ableiten:
1. Die Liste dieser Botnet-Adressen enthält das Datum im Dateinamen ... heute ist also die URL "http://sv.cinflst.de/files/candc_2018-02-21.data" die zuständige Datei mit der Liste - vielleicht auch schon die vom 22, je nach Zeitpunkt des Lesens.
2. In der "libcmapi.so" werden zumindest Vorkehrungen getroffen, um entsprechende Reports zu solchen Botnet-Aktivitäten an AVM zu senden:
, da würde ich auch erwarten, daß der Benutzer informiert wird.
Hat eigentlich jemand - trotz Labor-Firmware - der Datenübermittlung an AVM nicht zugestimmt? Mich würde mal interessieren, ob da trotzdem die "avm_acs"-Einstellungen vorgenommen werden, samt DynDNS-Anmeldung bei AVM und externem Port für "connection requests". Was steht in einem solchen Fall eigentlich in der "Diagnose"-Seite hinsichtlich dieses "knockings" per TR-069-Connection-Request (für "avm_acs", nicht für "prov_acs")?
3. Lädt man sich die Datei von AVM und schaut hinein, sieht sie auf den ersten Blick ein wenig wie "binäres JSON" aus, was u.a. auch von MongoDB zum Speichern von Daten verwendet wird - aber das kann auch daran liegen, daß dieses Binärformat irgendwie davon abgeleitet wurde.
4. Angesichts der von der "libbotnetfilterlib.so" importierten Funktionen wäre es recht wahrscheinlich, daß dort - ähnlich wie bei der BPjM-Liste - gar keine URLs/IP-Adressen/Domain-Namen gespeichert sind, sondern nur entsprechende Hash-Werte:
oder die Lib rechnet das selbst in Hashes um, die dann mit den importierten "HashTable_foobar"-Funktionen von oben für schnelle Vergleiche verwaltet werden.
Fazit:
AVM dürfte wissen, um welche Adressen es sich handelt ... und zwar nicht nur beim generellen Inhalt der Liste, sondern auch beim Zugriffversuch, der unterdrückt und protokolliert wurde. Andererseits ist das Ganze so neu, daß mich auch irgendwelche "false positives" nicht wirklich überraschen würden und irgendwoher muß AVM die Inhalte der Listen ja auch beziehen, was genauso eine Fehlerquelle sein könnte wie die nicht vollkommen ausgereifte Überprüfung in der Beta-Version der Firmware.
Man könnte höchstens noch versuchen, sich in die Kommunikation zwischen der Box und AVM einzuklinken (das klappt natürlich am besten bei einer Box als kaskadiertem Router im davorliegenden Netz) ... aber dazu braucht es auch den HTTPS-Proxy und eine selbstmodifizierte Firmware, bei der eine eigene Root-CA anstelle der von AVM verwendet wird, damit TLS-gesicherte Verbindungen (sowohl bei TR-069 als auch beim simplen Upload, der vermutlich für diese Botnet-Statistiken genutzt wird, wenn man dem sichtbaren "Content-Type: application/json" folgen will) nicht fehlschlagen.
Ich habe mir nur die dafür vermutlich verantwortliche Library libbotnetfilterlib.so schon vor einer Weile mal etwas genauer angesehen und würde daraus folgendes ableiten:
1. Die Liste dieser Botnet-Adressen enthält das Datum im Dateinamen ... heute ist also die URL "http://sv.cinflst.de/files/candc_2018-02-21.data" die zuständige Datei mit der Liste - vielleicht auch schon die vom 22, je nach Zeitpunkt des Lesens.
2. In der "libcmapi.so" werden zumindest Vorkehrungen getroffen, um entsprechende Reports zu solchen Botnet-Aktivitäten an AVM zu senden:
Code:
vidar:~/FritzBox/FB7490/firmware/113.06.98-xxxxx # strings lib/libcmapi.so.1.0.0 | grep botnet
avm_reporting_report_botnet_fraud
botnet_filter_load
botnet_filter_signature_match
botnet_filter_unload
botnet_filter_get_data_version
botnet_filter_get_signature
botnet_filter_get_mem
botnet_filter_get_ids
botnet_filter_statistic_create
botnet_filter_statistic_destroy
botnet_filter_statistic_get_json
botnet_filter_statistic_serialize_to_file
botnet_filter_statistic_create_from_file
botnet_filter_statistic_count
_ZN16mem_botnetfilterC2EPhj
_ZN16mem_botnetfilterC1EPhj
_ZN16mem_botnetfilter12domain_matchEPKcP26botnetfilter_matched_entry
_Z26domain_match_malware_namesP26botnetfilter_matched_entry
_Z22domain_match_avm_flagsP26botnetfilter_matched_entry
botnet-fraud-report-failed
botnet-fraud-report-success
botnet-fraud
botnet_fraud
%s(): gen_botnet_fraud_report() failed with error %d
gen_botnet_fraud_data
gen_botnet_fraud_report
send_botnet_fraud_report
botnet_fraud_webreq_result_cb
msgsend multid botnet-update
/lib/libbotnetfilterlib.so
botnet_filter_load
botnet_filter_get_mem
botnet_filter_get_ids
botnet_filter_get_signature
botnet_filter_signature_match
botnet_filter_get_data_version
botnet_filter_unload
botnet_filter_statistic_create
botnet_filter_statistic_destroy
botnet_filter_statistic_get_json
botnet_filter_statistic_serialize_to_file
botnet_filter_statistic_create_from_file
botnet_filter_statistic_count
_ZN16mem_botnetfilterC1EPhj
_ZN16mem_botnetfilter12domain_matchEPKcP26botnetfilter_matched_entry
_Z26domain_match_malware_namesP26botnetfilter_matched_entry
_Z22domain_match_avm_flagsP26botnetfilter_matched_entryHat eigentlich jemand - trotz Labor-Firmware - der Datenübermittlung an AVM nicht zugestimmt? Mich würde mal interessieren, ob da trotzdem die "avm_acs"-Einstellungen vorgenommen werden, samt DynDNS-Anmeldung bei AVM und externem Port für "connection requests". Was steht in einem solchen Fall eigentlich in der "Diagnose"-Seite hinsichtlich dieses "knockings" per TR-069-Connection-Request (für "avm_acs", nicht für "prov_acs")?
3. Lädt man sich die Datei von AVM und schaut hinein, sieht sie auf den ersten Blick ein wenig wie "binäres JSON" aus, was u.a. auch von MongoDB zum Speichern von Daten verwendet wird - aber das kann auch daran liegen, daß dieses Binärformat irgendwie davon abgeleitet wurde.
4. Angesichts der von der "libbotnetfilterlib.so" importierten Funktionen wäre es recht wahrscheinlich, daß dort - ähnlich wie bei der BPjM-Liste - gar keine URLs/IP-Adressen/Domain-Namen gespeichert sind, sondern nur entsprechende Hash-Werte:
Code:
vidar:~/FritzBox/FB7490/firmware/113.06.98-xxxxx # nm -D lib/libbotnetfilterlib.so
U BN_hex2bn
U EVP_DigestFinal
U EVP_DigestInit_ex
U EVP_DigestUpdate
U EVP_MD_CTX_create
U EVP_MD_CTX_destroy
U EVP_sha256
U HashTable_Add
U HashTable_CalcIndex
U HashTable_Create
U HashTable_DeleteAll
U HashTable_Destroy
U HashTable_Find
U HashTable_First
U HashTable_Next
U MD5Final
U MD5Init
U MD5Update
U RSA_free
U RSA_new
U RSA_size
U RSA_verify
w _ITM_deregisterTMCloneTable
w _ITM_registerTMCloneTable
w _Jv_RegisterClasses
00002248 T _Z22domain_match_avm_flagsP26botnetfilter_matched_entry
00002194 T _Z26domain_match_malware_namesP26botnetfilter_matched_entry
00001c14 T _Z30domain_match_hash_domain_labelPKcPh
00001cc0 T _ZN16mem_botnetfilter12domain_matchEPKcP26botnetfilter_matched_entry
00001b40 T _ZN16mem_botnetfilter13unhide_stringEl
00001afc T _ZN16mem_botnetfilter17ABS_STRING_OFFSETEl
00001af0 T _ZN16mem_botnetfilter17OFFSET_TO_POINTEREl
00001b24 T _ZN16mem_botnetfilter26REL_LEAF_OFFSET_TO_POINTEREl
00001b08 T _ZN16mem_botnetfilter30REL_NODELIST_OFFSET_TO_POINTEREl
00001aa0 T _ZN16mem_botnetfilterC1EPhj
00001aa0 T _ZN16mem_botnetfilterC2EPhj
U __assert
00015910 B __bss_start
w __cxa_finalize
w __deregister_frame_info
w __register_frame_info
00015910 G _edata
00015950 B _end
00015910 B _fbss
00015750 D _fdata
00005520 T _fini
000018a0 T _ftext
0000181c T _init
000028d4 T botnet_filter_get_data_version
00002720 T botnet_filter_get_ids
000026e8 T botnet_filter_get_mem
00002800 T botnet_filter_get_signature
00002260 T botnet_filter_load
00002860 T botnet_filter_signature_match
00004304 T botnet_filter_statistic_count
00004204 T botnet_filter_statistic_create
00004cb4 T botnet_filter_statistic_create_from_file
00004340 T botnet_filter_statistic_destroy
000043dc T botnet_filter_statistic_get_json
000048d4 T botnet_filter_statistic_serialize_to_file
00002934 T botnet_filter_unload
U close
U cmempool_create_ex
U cmempool_destroy
U cshstrpool_alloc
U cshstrpool_find
U cshstrpool_save
U debug_gethandle
U fclose
U fgets
U fopen
U fread
U fstat
U fwrite
U gmtime_r
U memcmp
U memcpy
U memset
U mmap
U munmap
U open
U slab_cbcontext_free
U slab_dcalloc
U slab_dmalloc
U slab_dstrdup
U snprintf
U strcmp
U stringlist_append_string
U stringlist_copy
U stringlist_free
U stringlist_in
U stringlist_join
U stringlist_pop_string
U stringlist_prepend_string
U stringlist_split
U strlen
U time
U timercb_elapsed
U tolower
U yajl_alloc
U yajl_complete_parse
U yajl_free
U yajl_gen_alloc
U yajl_gen_array_close
U yajl_gen_array_open
U yajl_gen_bool
U yajl_gen_config
U yajl_gen_free
U yajl_gen_integer
U yajl_gen_map_close
U yajl_gen_map_open
U yajl_gen_string
U yajl_parseFazit:
AVM dürfte wissen, um welche Adressen es sich handelt ... und zwar nicht nur beim generellen Inhalt der Liste, sondern auch beim Zugriffversuch, der unterdrückt und protokolliert wurde. Andererseits ist das Ganze so neu, daß mich auch irgendwelche "false positives" nicht wirklich überraschen würden und irgendwoher muß AVM die Inhalte der Listen ja auch beziehen, was genauso eine Fehlerquelle sein könnte wie die nicht vollkommen ausgereifte Überprüfung in der Beta-Version der Firmware.
Man könnte höchstens noch versuchen, sich in die Kommunikation zwischen der Box und AVM einzuklinken (das klappt natürlich am besten bei einer Box als kaskadiertem Router im davorliegenden Netz) ... aber dazu braucht es auch den HTTPS-Proxy und eine selbstmodifizierte Firmware, bei der eine eigene Root-CA anstelle der von AVM verwendet wird, damit TLS-gesicherte Verbindungen (sowohl bei TR-069 als auch beim simplen Upload, der vermutlich für diese Botnet-Statistiken genutzt wird, wenn man dem sichtbaren "Content-Type: application/json" folgen will) nicht fehlschlagen.
Habe das Problem für mich nun näher eingrenzen können. Es ist erst seit meinem Wechsel auf die Labor-Firmware (Update 06.93 auf Labor 06.98-51287 BETA) aufgetreten. Das habe ich zuerst nicht damit in Verbindung gebracht, weil ich wegen eines ganz anderen Problems die Firmware geupdatet hatte. Aber der zeitliche Zusammenhang ist offensichtlich:
Bis 14.02.: Offizielle Firmware 06.93 --> keine bisherigen Fehlermeldungen
15.02., 20:10 Uhr: Update 06.93 auf Labor 06.98-51287 BETA
17.02.: Erste Fehlermeldung "Zugriff auf Botnet "cryptowall4" von Gerät GooglePixel2XL erkannt!"
18.02.: Smartphone sicherheitshalber auf Werkseinstellungen zurückgesetzt
21.02.: Wieder Fehlermeldung ""Zugriff auf Botnet "cryptowall4" von Gerät GooglePixel2XL erkannt!"
Diese Meldungen erhalte ich also erst, seitdem ich die Firmware auf die Labor-Version 06.98-51287 BETA umgestellt habe. Sonst habe ich keine weiteren relevanten Variablen verändert: Im relevanten Zeitraum keine neuen Apps installiert oder dubiose Websites besucht. Generell sind bei mir auch nur vernünftige Apps aus dem Google Play Store im Einsatz (keine Dritt-Quellen). Auch sonst habe ich im relevanten Zeitraum keine Konfigurationen/Änderungen am Smartphone vorgenommen. Mehrere Malware-Scanner finden nichts. Das sicherheitshalbe Zurücksetzen des Smartphones auf Werkseinstellungen hat zwar vorübergehend Linderung gebracht (keine neuen FritzBox-Meldungen), mit dem Einrichten meiner Apps ist jedoch doch wieder etwas getriggert worden, so dass ich die Meldung "Zugriff auf Botnet "cryptowall4" von Gerät GooglePixel2XL erkannt!" wieder bekomme.
Ich denke mal, dass @PeterPawn Recht hat: Es dürfte sich um false positives (Fehlalarme) handeln.
Ich habe AVM über das Labor-Feedback-Formular eine Rückmeldung gegeben - Feedback von denen ist ja leider nicht zu erwarten.
Hoffe mal, dass mit einem der nächsten Updates der Spuk vorbei ist und mache mich jetzt mal nicht irre.
Bis 14.02.: Offizielle Firmware 06.93 --> keine bisherigen Fehlermeldungen
15.02., 20:10 Uhr: Update 06.93 auf Labor 06.98-51287 BETA
17.02.: Erste Fehlermeldung "Zugriff auf Botnet "cryptowall4" von Gerät GooglePixel2XL erkannt!"
18.02.: Smartphone sicherheitshalber auf Werkseinstellungen zurückgesetzt
21.02.: Wieder Fehlermeldung ""Zugriff auf Botnet "cryptowall4" von Gerät GooglePixel2XL erkannt!"
Diese Meldungen erhalte ich also erst, seitdem ich die Firmware auf die Labor-Version 06.98-51287 BETA umgestellt habe. Sonst habe ich keine weiteren relevanten Variablen verändert: Im relevanten Zeitraum keine neuen Apps installiert oder dubiose Websites besucht. Generell sind bei mir auch nur vernünftige Apps aus dem Google Play Store im Einsatz (keine Dritt-Quellen). Auch sonst habe ich im relevanten Zeitraum keine Konfigurationen/Änderungen am Smartphone vorgenommen. Mehrere Malware-Scanner finden nichts. Das sicherheitshalbe Zurücksetzen des Smartphones auf Werkseinstellungen hat zwar vorübergehend Linderung gebracht (keine neuen FritzBox-Meldungen), mit dem Einrichten meiner Apps ist jedoch doch wieder etwas getriggert worden, so dass ich die Meldung "Zugriff auf Botnet "cryptowall4" von Gerät GooglePixel2XL erkannt!" wieder bekomme.
Ich denke mal, dass @PeterPawn Recht hat: Es dürfte sich um false positives (Fehlalarme) handeln.
Ich habe AVM über das Labor-Feedback-Formular eine Rückmeldung gegeben - Feedback von denen ist ja leider nicht zu erwarten.
Hoffe mal, dass mit einem der nächsten Updates der Spuk vorbei ist und mache mich jetzt mal nicht irre.
Den Test hatte ich mir jetzt ehrlicherweise gespart, weil ich davon ausging, dass klar ist, dass das nur mit der Labor auftreten kann. Einfach deshalb, weil es dieses Feature in der 6.93 ja noch gar nicht gibt.
Die Meldungen häufen sich in letzter Zeit, dass im GPStore nicht nur die braven Apps zu Hause sind.
Böswillig verdeckt und getarnt zT seit Jahren operierende Apps werden gemeldet.
Bei iOS das Gleiche.
Woher nimmst du deine Gewissheit?
Schutzbedürfnis mit Hoffnung verknüpft?
Ein bisschen was davon, richtig. Man hat ja so ein Gefühl dafür, was man sich auf sein Handy installiert.
Was wäre die Alternative bei der unklaren Meldungslage? Von 200 Apps jede Stunde einzeln eine App deinstallieren und schauen, ob die Fritz!Box immer noch drauf anspringt, um so das Problem einzugrenzen? Diesen enormen Aufwand habe ich einfach gegen die Wahrscheinlichkeit abgewogen, dass bei der neuen Fritz!Box-Labor-Firmware auch noch nicht alles Gold ist was glänzt.
Was wäre die Alternative bei der unklaren Meldungslage? Von 200 Apps jede Stunde einzeln eine App deinstallieren und schauen, ob die Fritz!Box immer noch drauf anspringt, um so das Problem einzugrenzen? Diesen enormen Aufwand habe ich einfach gegen die Wahrscheinlichkeit abgewogen, dass bei der neuen Fritz!Box-Labor-Firmware auch noch nicht alles Gold ist was glänzt.
Bei 200 Apps ist bestimmt einiger Mist bei, wenn auch nicht unbedingt direkt was mit Botnetz.
Wie aber schon geschrieben wurde, es ist nur in Labor/Beta enthalten, also was abwarten und beobachten.
Wie aber schon geschrieben wurde, es ist nur in Labor/Beta enthalten, also was abwarten und beobachten.
Update: AVM hat - wie ich gesehen habe - um 14:57 Uhr meine Diagnosedaten der Fritz!Box abgerufen.
Seitdem bekomme ich keine stündlichen Warn-Meldungen mehr.
Seitdem bekomme ich keine stündlichen Warn-Meldungen mehr.
sf3978
IPPF-Promi
- Mitglied seit
- 2 Dez 2007
- Beiträge
- 8,014
- Punkte für Reaktionen
- 28
- Punkte
- 48
Kann das durch lediglich einen Abruf der Diagnosedaten passiert bzw. erledigt sein? Oder hat AVM auch etwas in der FritzBox geändert? Ist das nur mit bzw. bei einer Labor-Firmware möglich?
Ähm, was ist ein Signatur-Refresh?
Also meine Firmware-Version hat sich nicht geändert: 06.98-51287 BETA
Ganz laienmäßig würde ich ja darauf tippen, dass sie den Verbindungsversuch, der permanent diese Warnmeldung triggert, aus ihrer Blacklist genommen haben.
Oder alternativ einfach nur die Warnmeldung bzw. die Ereigniseinträge dafür raus.
Anders kann ich mir das auch nicht erklären.
Also meine Firmware-Version hat sich nicht geändert: 06.98-51287 BETA
Ganz laienmäßig würde ich ja darauf tippen, dass sie den Verbindungsversuch, der permanent diese Warnmeldung triggert, aus ihrer Blacklist genommen haben.
Oder alternativ einfach nur die Warnmeldung bzw. die Ereigniseinträge dafür raus.
Anders kann ich mir das auch nicht erklären.
Hallo,
ich habe heute zwei Meldungen von der Box erhalten als ich meinen PC einschaltete:
Zugriff auf Botnet "virut_dga_0_com" über Domain cm.smadex.com von Gerät Guidos-Desktop erkannt!
Avira Pro hat nichts gefunden. Auch Malwarebytes und hitmanpro sagen, dass alles sauber ist.
Die erste Meldung gab es um 13:38 und danach um 13:58 Uhr
Muss ich mir Sorgen machen?
Im Netz gibt es bei der Telekom bereits eine ähnliche Anfrage aus 05/18, ohne konkrete Antwort
Link
ich habe heute zwei Meldungen von der Box erhalten als ich meinen PC einschaltete:
Zugriff auf Botnet "virut_dga_0_com" über Domain cm.smadex.com von Gerät Guidos-Desktop erkannt!
Avira Pro hat nichts gefunden. Auch Malwarebytes und hitmanpro sagen, dass alles sauber ist.
Die erste Meldung gab es um 13:38 und danach um 13:58 Uhr
Muss ich mir Sorgen machen?
Im Netz gibt es bei der Telekom bereits eine ähnliche Anfrage aus 05/18, ohne konkrete Antwort
Link
Anhänge
Zuletzt bearbeitet:
Stimmen denn die Links (zu 'botfrei' und AVM) im Text?
Mich wundert, daß die Fritz!Box bei eingerichteten Push-Mails eine "[email protected]"-Absendeadresse benutzt.
Mich wundert, daß die Fritz!Box bei eingerichteten Push-Mails eine "[email protected]"-Absendeadresse benutzt.
fritzdean
Mitglied
- Mitglied seit
- 25 Apr 2012
- Beiträge
- 242
- Punkte für Reaktionen
- 22
- Punkte
- 18
Hier auch, 7490 mit FRITZ!OS: 07.08-67076 BETA. Die Meldungen traten 2 x an verschiedenen Tagen auf. Ich habe daraufhin meinen Rechner von der aktuellen c't Desinfect DVD gebootet und 3 Virenscanner über das gesamte System laufen lassen. Nichts gefunden.
Gleiches Problem tritt aktuell auf der FRITZ!Box 7490 mit FRITZ!OS 07.08-67076 BETA bei meinen Eltern auf. Ich wunderte mich über diese Mail von AVM:
Auch das Galaxy S7 von meinem Dad soll betroffen sein, beide Geräte habe ich mit verschiedenen Virenscannern geprüft, aber nichts gefunden. Klingt für mich irgendwie nach einem Fehlalarm oder wie seht ihr das? Nach Phishing sieht die Mail für mich übrigens auch nicht aus.
//edit by stoney: Bilder geschrumpft
Auch das Galaxy S7 von meinem Dad soll betroffen sein, beide Geräte habe ich mit verschiedenen Virenscannern geprüft, aber nichts gefunden. Klingt für mich irgendwie nach einem Fehlalarm oder wie seht ihr das? Nach Phishing sieht die Mail für mich übrigens auch nicht aus.
//edit by stoney: Bilder geschrumpft
Zuletzt bearbeitet von einem Moderator:
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,210
- Punkte für Reaktionen
- 590
- Punkte
- 113
Moinsen
Wenn die betroffenden Geräte erwiesenermassen nach/mit Metavirenscannern sauber und unverdächtig aussehen/bleiben sollte AVM mal einen Kommentar zu diesen "False Positive" Meldungen ablassen.
genuede
Mitglied
- Mitglied seit
- 25 Mrz 2009
- Beiträge
- 514
- Punkte für Reaktionen
- 101
- Punkte
- 43
Bei mir mit 7490 und 7.08.67076 seit ca. 18.00 Ihr mehrere Meldungen zu virut_dga_0_.com angeblich auf Nexus 5 und Fire HD 10. Beide Androiden sind Stock und ohne RootRoot.
Rote Info-LED bei ausgeschalteten LEDs an bis zum Löschen der Meldung.
Rote Info-LED bei ausgeschalteten LEDs an bis zum Löschen der Meldung.
Zuletzt bearbeitet:
Neueste Beiträge
-
[Problem] Gerätenamen beim Fritz Repeater 1200AX
- Letzte: q12345678
-
Fritz Dect200: Temperaturabhängig plus manuelle Schaltung
- Letzte: toko42
-
[Sammlung] Die interessantesten Thread-Inhalte
- Letzte: KunterBunter
-
Fragen zu Vorlagen bzw. Zeitschaltung bei DECT302
- Letzte: Sojus
