Synoloy Router RT2600AC e Treath Prevention
Inviato: martedì 5 aprile 2022, 18:56
Ciao a tutti,
premetto che:
- il router è usato in ambito domestico connesso ad una rete FTTH
- dispone dell'ultima versione di SRM la 1.2.5-8227 Update 4
- l'UPnP è disabilitato
- sul PC principale è installato Norton e sembra tutto OK
Ogni tanto l'applicazione Treath Prevetion segnala "Eventi pericolosi" con gravità "Alta" di tipo "A Network Trojan was Detected", e stato "Rilascia".
Succede a distanza di mesi, un numero variabile di volte nell'arco della giornata e da diversi indirizzi IP.
Tutti questi indirizzi IP fanno capo prevalentemente sempre alla stessa fonte "Italy Milano Akamai International Bv" (IP 104.xxx.xxx.xxx) o "Italy Milano Akamai Technologies" (IP 2.xxx.xxx.xxx) e sono diretti verso l'IP del PC desktop in quel momento operativo.
Traeath Prevention suggerisce di eseguire un controllo completo sul dispositivo e...vedere il Tutorial.
Ma non trovo suggerimenti relative al tipo di attacco "A Network Trojan was Detected".
Ho creato delle regole firewall per bloccare questi range di IP su tutti i protocolli e su tutte le porte.
Quello che mi preoccupa più del PC e il NAS che uso prevalentemente come media server e/o backup che quindi non è acceso H24.
Posso stare tranquillo?
Mi date qualche consiglio?
EDIT
Riporto qui sotto il dettaglio dell'ultimo evento.
premetto che:
- il router è usato in ambito domestico connesso ad una rete FTTH
- dispone dell'ultima versione di SRM la 1.2.5-8227 Update 4
- l'UPnP è disabilitato
- sul PC principale è installato Norton e sembra tutto OK
Ogni tanto l'applicazione Treath Prevetion segnala "Eventi pericolosi" con gravità "Alta" di tipo "A Network Trojan was Detected", e stato "Rilascia".
Succede a distanza di mesi, un numero variabile di volte nell'arco della giornata e da diversi indirizzi IP.
Tutti questi indirizzi IP fanno capo prevalentemente sempre alla stessa fonte "Italy Milano Akamai International Bv" (IP 104.xxx.xxx.xxx) o "Italy Milano Akamai Technologies" (IP 2.xxx.xxx.xxx) e sono diretti verso l'IP del PC desktop in quel momento operativo.
Traeath Prevention suggerisce di eseguire un controllo completo sul dispositivo e...vedere il Tutorial.
Ma non trovo suggerimenti relative al tipo di attacco "A Network Trojan was Detected".
Ho creato delle regole firewall per bloccare questi range di IP su tutti i protocolli e su tutte le porte.
Quello che mi preoccupa più del PC e il NAS che uso prevalentemente come media server e/o backup che quindi non è acceso H24.
Posso stare tranquillo?
Mi date qualche consiglio?
EDIT
Riporto qui sotto il dettaglio dell'ultimo evento.
Codice: Seleziona tutto
Nome firma: ET TROJAN Possible Windows executable sent when remote host claims to send a Text File
Regole firma: alert http $EXTERNAL_NET any -> $HOME_NET any (msg:"ET TROJAN Possible Windows executable sent when remote host claims to send a Text File"; flow:established,from_server; content:"Content-Type|3a| text/plain"; nocase; http_header; file_data; content:"MZ"; within:2; byte_jump:4,58,relative,little; content:"PE|00 00|"; fast_pattern; distance:-64; within:4; flowbits:isnotset,ET.Adobe.Site.Download; flowbits:isnotset,ET.ZoneAlarm.Site.Download; flowbits:isnotset,ET.QuickenUpdater; flowbits:isnotset,ET.Symantec.Site.Download; flowbits:isnotset,ET.Maas.Site.Download; flowbits:isnotset,ET.Mcafee.Site.Download; reference:url,doc.emergingthreats.net/bin/view/Main/2008438; classtype:trojan-activity; sid:2008438; rev:23; metadata:created_at 2010_07_30, former_category TROJAN, updated_at 2020_09_01;)