Successful Credential Theft Detected

[Datk]

Beste,

De afgelopen dagen logde ik toevallig in op de router en kwam daar een melding tegen die me zorgen baarde.
Hierop heb ik direct enkele stappen ondernomen:

De wachtwoorden van zowel de NAS als de router (voor de admin-gebruiker) aangepast.

Het SSID-wachtwoord van het privé netwerk gewijzigd.

Op dezelfde dag heb ik een Finex V2 smart deurbel toegevoegd aan het IoT-netwerk.
Per ongeluk is deze aanvankelijk verbonden geweest met het privé netwerk.

Daarnaast heb ik de systeemlogs van diezelfde dag bekeken, maar voor zover ik kan beoordelen zijn daar geen bijzonderheden of afwijkende activiteiten in te vinden.

Op dit moment weet ik niet goed wat ik verder nog kan doen of hoe ik deze situatie moet beoordelen.
Hieronder vindt u het volledige bericht van Threat Prevention.

##
alert dns $HOME_NET any -> any any (msg:"ET POLICY Observed DNS Query to KnowBe4 Simulated Phish Domain"; dns.query; content:".phishtrain.org"; nocase; endswith; threshold: type limit, track by_src, count 1, seconds 120; classtype:credential-theft; sid:2029830; rev:3; metadata:affected_product Any, attack_target Client_Endpoint, created_at 2020_04_08, deployment Perimeter, confidence High, signature_severity Minor, updated_at 2021_12_23, reviewed_at 2024_05_06;)

[Babylonia]

Threat Prevention gebruik ikzelf niet.

Maar deurbellen en webcams e.d. maken vaak contact met een externe server.
Waarbij je maar moet afwachten wat er verder aan data wordt doorgesluisd?
(Met name Chinese deurbellen en webcams).

Heb je voor die deurbel zelf wel de nodige maatregelen genomen om bijv. een aan te maken account goed te beveiligen?
(Vond o.a.  < deze YouTube installatie video > ).

Mogelijk wordt dat opgepikt door Threat Prevention ??

Je hebt in ieder geval een plaatje bijgevoegd, waarbij zowel bron IP als doel IP is vastgelegd.
Gedeeltelijk "geblurd".

Bron IP, zal dan mogelijk je eigen internet WAN IP adres zijn waarachter je Synology router zit.
Dus dat je dat verbergt kan ik me dan wel voorstellen.

Maar voor het doel-IP van een "verdacht" IP-adres, hoef je daar toch niet zo geheimzinnig over te doen?
In ieder geval kun je van dat IP-adres uitzoeken welk domein erachter zit met verdere domein gegevens?
Dan heb je een "idee" naar welke regio de data naartoe gaat.
En daarmee misschien een inschatting m.b.t. het "gevaar" wat je loopt?

https://whatismyipaddress.com/ip-lookup

Met de twee wel bekende IP-adres nummertjes  ---->  84.xx.46.xx

En willekeurige invulling voor het 2e en 4e  deel van het IP Adres

Kwam ik met  84.50.46.50  in  "Estonia"     terecht.  https://whatismyipaddress.com/ip/84.50.46.50

                     84.55.46.50  in  "Litouwen"  terecht.   https://whatismyipaddress.com/ip/84.55.46.50

Lijkt me in ieder geval niet de juiste verbinding waar data naartoe gesluisd moet worden.
Uiteraard wel het volledige doel IP-adres invullen.
Voor een goede vergelijking kun je dat nog eens controleren met een paar andere  "Whois IP"  websites.
-

[Datk]

Bedankt voor je antwoord! 😊

Ik heb de deurbel geïnstalleerd volgens de aanwijzingen in het filmpje en toegevoegd aan het IoT-netwerk, waar ook andere apparaten zijn aangesloten.
Dit heb ik gedaan om ongewenste toegang tot het reguliere netwerk te voorkomen.
Nu vroeg ik me af: hoe kan ik controleren of de deurbel, zoals jij aangaf, mogelijk extern informatie doorsluist?
Bestaat er een manier om dit te checken of te monitoren?
De deurbel zelf heeft namelijk een heel ander ip adres.

Dank ook voor het compliment! 😅 Ik werd er wat zenuwachtig van, omdat ik nog niet precies had vastgesteld wat ik het beste kon doen.
en ik bang was dat er via een backtrace alsnog iets naar mij te herleiden zou zijn.

Hier is de link naar het doel-IP-adres: https://whatismyipaddress.com/ip/84.116.46.22

[dirklammers]

Kun je de deurbel in de router niet blokkeren voor uitgaand verkeer naar het internet? Alleen dus verkeer naar je eigen LAN toelaten?

Groet, Dirk

[Babylonia]

Hier is de link naar het doel-IP-adres: https://whatismyipaddress.com/ip/84.116.46.22

De verdere domein gegevens verwijst naar  "Liberty Global B.V."

Dat is dan weer gelieerd aan:
https://www.libertyglobal.com/about/who-we-are/
https://www.libertyglobal.com/operations/how-we-do-business/

Met voor Nederland gerelateerd aan Vodafone / Ziggo
https://www.libertyglobal.com/operations/our-brands/vodafoneziggo-in-the-netherlands/

Waaronder ook video "TV" content.
Zit je toevallig bij Ziggo als provider, en kijk je bijv. naar "sport" en Formule-1 races ??
Het lijkt allemaal minder erg te zijn dan misschien gedacht?   (Een "false positive"  m.b.t.  detectie door Threat prevention).

Ofwel "lijkt" het niet te maken te hebben met je deurbel.  (Of misschien een vreemde twist in detectie ?).
Dan zou als "bron IP", inderdaad eerder het interne LAN IP-adres van de deurbel aangegeven moeten zijn.

Er zijn opties om "per apparaat" /  IP-adres van het interne netwerk te achterhalen welke verbindingen naar "buiten toe" worden gelegd.

Met Synology SRM Nederlandse interface:  Netwerkcenter  --->  Verkeersbeheer ---> Bewaken
                    SRM Engelstalige interface:   Network Center --->  Traffic Control  ---> Monitor

Ik heb dat in het verleden bijvoorbeeld wel eens expliciet uitgezocht voor mijn Goodwe "zonnepaneel omvormer".
Die maakt naar buiten toe alleen connectie met een "Goodwe" server om data m.b.t. opwekking van stroom vast te leggen in een klantenportaal.

De volgende referenties:
https://www.synology-forum.nl/synology-router/hoe-live-traffic-bekijken/msg327708/#msg327708
https://community.synology.com/enu/forum/2/post/124384?reply=423797

Vervolg reactie vanuit die eerste verwijzing:
https://www.synology-forum.nl/synology-router/hoe-live-traffic-bekijken/msg327715/#msg327715

Resultaat "nu" voor mijn Goodwe zonnepaneel omvormer.
Maar zou evengoed ook voor een deurbel bekeken kunnen worden, met welke server die deurbel contact maakt.

[Wyodor]

Je kunt met Wireshark het verkeer van een IP nummer volgen.

Uitleg : https://www.techadvisor.com/article/727067/how-to-monitor-traffic-from-an-ip-address.html

[Babylonia]

Je kunt inderdaad Whireshark inzetten.
Maar dan maak je het voor jezelf wel heel erg moeilijk met hetgeen voor "nu" als informatie belangrijk is.
Dat schrijven ze zelf ook in de verwijzing die je geeft:

        However, it is quite complicated so you might want to try others to see if you get on better with them.
        It’s worth noting that you can’t see the actual data – you won’t know if someone’s streaming Breaking Bad, for example
        – but you will be able to see which websites are being accessed (albeit by their IP addresses).

Voor die laatste optie kun je daarvoor ook al direct  -een heel stuk eenvoudiger-  terecht met de tools die de Synology router je biedt.

Bovendien wel een heel makkelijke voorstelling van zaken, die men daar bij die webpagina geeft voor het werken met Wireshark.
Het is echt heel wat meer complex.

Het kost een behoorlijke leercurve om goed met de mogelijkheden van Whireshark om te kunnen gaan, en logging te kunnen begrijpen.
Om data op te pikken en te analyseren, zul je daarvoor een speciale configuratie via een "managed switch"
en "gespiegelde data streams" (instelling van de switch) voor een capture van die data moeten opzetten.
En zul je snel vele kB / MB aan data moeten analyseren. Zeer expliciete zoektermen moeten inzetten, om data sneller te vinden.
De deurbel alleen (minder data) kun je niet afsplitsen, omdat die via WiFi werkt.


Heb Wireshark jaren geleden gebruikt om bijv. het "wachtwoord" van de VOIP configuratie op te pikken van een "Telfort" Experiabox.
(Officieel gaf men die gegevens niet prijs. Inmiddels is dat door wetgeving bijgesteld, dat providers verplicht zijn die te verstrekken).

Zodat ik mij eigen  VOIP ATA  apparaat kon configureren om gewoon mijn eigen "Telfort" (KPN) telefoon account te kunnen inzetten.
Bij gebruik van een eigen modem/router en eigen gekozen VOIP apparatuur.

https://www.synology-forum.nl/synology-router/tefort-experia-box-v8-vervangen-door-rt1900ac/

Meer over het gebruik van Wireshark bij optie 1. van die URL.

De te bespreken onderdelen:
De volgende reacties zullen de volgende onderdelen beschrijven:
- 1. Truc om de VOIP SIP-gegevens van het eigen internet abonnement uit lezen zoals in de Experia Box V8 geïmplementeerd.

In de plaats van  "WinPcap”  zoals daar besproken.  (Om de logging data / capture naar een Windows PC om te leiden).
Heb je tegenwoordig als extra tool voor gebruik van Wireshark,  NPCAP  nodig:
https://npcap.com/

Om data van een deurbel op te pikken en te analyseren is een vergelijkbare werkwijze, dan in dat oudere onderwerp besproken voor VOIP.
Alleen met andere filters en/of zoekfuncties om deurbel data te analyseren.

https://www.wireshark.org
https://www.wireshark.org/download.html
https://www.wireshark.org/docs/wsug_html_chunked/

[Briolet]

dns.query; content:".phishtrain.org"

Dit is alleen een trigger omdat de domeinnaam van een bekende fishingsite opgevraagd werd. Het hoeft niet aan de cameras te liggen, maar kan van elk device van je netwerk komen.

Als ik die naam opvraag, heeft hij geen A of AAA record. Er bestaat dus geen website met die naam (Of die website is al weer off-line gehaald.)  Met het host commando zie ik dat er momenteel alleen een e-mail domein aan gekoppeld is

Code: [Selecteer]

% host phishtrain.org
phishtrain.org mail is handled by 10 inbound-smtp.us-east-1.amazonaws.com.
Dat is een mailserver die door Amazon gehost wordt.  Dus voorlopig geen reden tot paniek zolang je niet op linkjes in mailtjes vanuit ontvangen mailtjes vanuit dat domein geklikt hebt.

Sterker: Zoals de naam al suggereert is dit alleen een site om phishing te simuleren:  link.  Wat dat betreft is dit een blunder van de threadprevention dit domein op de lijst gezet hebben.

[Babylonia]

Bedankt voor de uitvoerige uiteenzetting, die mij minder bekend zijn.

Wat dat betreft is dit een blunder van de threadprevention dit domein op de lijst gezet hebben.

Vandaar een "false possitive" wat ik eerder vernoemde.

Het lijkt allemaal minder erg te zijn dan misschien gedacht?   (Een "false positive"  m.b.t.  detectie door Threat prevention).