191.234.4.50 Windows Update
Vreemd is ook dat het om poort 80 gaat, wat normaal alleen gebruikt wordt voor het downloaden van de update paketten, en dat loopt normaal uitsluitend via Akamai.
Dit kan dus een (massale) succesvolle MITM aanval op Windows Update als oorzaak hebben, maar ook slechts dns poisening, waarbij Windows Update bij sommige mensen naar andere IP adressen wijst dan het bovenstaande.
De meest voor de hand liggende optie is nl dat het een MS site betreft en ,guess what/who is, dat is ook zo.
Overigens, wanneer je https://www.virustotal.com/en/ip-address/191.234.4.50/information/ eens goed leest, zie je verschillende dingen.
- Blijkbaar is er 1 AV engine die een false positive geeft op bestanden downloaded van het ip adres.
- Via een van de andere known hostnames (windowsupdate.com)
Msedge.net is in het leven geroepen door Microsoft (MS Edge). De registratar is markmonitor, een bekende, vertrouwde registrar...
De meest voor de hand liggende optie is nl dat het een MS site betreft en ,guess what/who is, dat is ook zo.
Overigens, wanneer je https://www.virustotal.com/en/ip-address/191.234.4.50/information/ eens goed leest, zie je verschillende dingen.
- Blijkbaar is er 1 AV engine die een false positive geeft op bestanden downloaded van het ip adres.
- Via een van de andere known hostnames (windowsupdate.com)
Msedge.net is in het leven geroepen door Microsoft (MS Edge). De registratar is markmonitor, een bekende, vertrouwde registrar...
Dat zou goed kunnen maar als je kijkt bij "Latest detected files that communicate with this IP address" dan is het alleen vandaag.
Waar het om gaat is dat er een boel aannames worden gedaan die makkelijk te checken zijn.
Ook het blind staten op rode cijfertjes bij virustotal is niet bijzonder constructief. Interpretatie van data is ook een kunst. Probeer maar eens te kijken wat Google.com, virustotal.com, www.security.nl doen op VIrusTotal.
(Voor de laatste:
Latest detected URLs
Latest URLs hosted in this domain detected by at least one URL scanner or malicious URL dataset.
1/65 2015-09-30 00:43:42 http://www.security.nl/
- http verbinding naar msedge.net in plaats van https naar 134.170.0.0 en 157.54/56/60.0.0
- http downloads gaan normaal alleen via Akamai Technologies
- Edge draait alleen op Windows 10 dus die relatie met msedge.net is een beetje vaag
- Virustotal heeft maar 1 hit; wat niet wil zeggen dat het een false positive is, het kan ook om geavanceerde mallware gaan. Bij Windows update is dat gevaarlijker dan bij gewone websites.
- Hoe weet Windows update ineens dat het met dit 'nieuwe' adres moet verbinden zonder eerst een succesvolle connectie met het oude Windows update range te maken?
Volgens whois is het domein en IP inderdaad van een bedrijf uit Redmond. Maar goed hoe betrouwbaar is dat als het om een geavanceerde aanval zou gaan.
Kort samengevat het is een beetje vaag; MS zal toch niet zomaar de vertrouwde manier van Windows update kanalen omgooien en netwerkbeheerders een onaangename verrassing bezorgen?
Misschien dat mensen na de recente screw-up's met Windows update overdreven gaan reageren, maar er is zeker een aanleiding om dit kritieke systeem onder een vergrootglas te houden.
Is het niet logischer deze content en dns in Nederland te cachen? Toen MS nog Akamai gebruikte betrof dit nog servers in Nederland...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.