1
Aufruf von api.telegram.org durch eine Website?
Moin,
zusätzlich zu den üblichen Features und Listen in unserer Firewall sammle ich noch regelmäßig die Logs ein und prüfe diese gegen bekannte IOCs.
Dabei ist mir neuerdings in API-Aufruf zu Telegram aufgefallen. Genauer gesagt folgender API-Aufruf:
api.telegram.org/bot1234567890:ABCDEFGHIJabcdefghij/sendMessage (den Bot-Namen und API-Key habe ich maskiert).
Es gab auch nur einen einzigen Log-Eintrag. Der restliche Verlauf zum Client in der Firewall ist in Ordnung. Keine Auffälligkeiten. Auch der Client selbst ist unauffällig.
Gestern gab es noch einmal denselben Aufruf, aber von einem anderen User in einem anderen Teil der Organisationsstruktur.
Ich habe daraufhin mal die zuvor aufgerufenen URLs verglichen. Dabei sind mir zwei Stück aufgefallen, die verdammt ähnlich sind:
w*w.searchfury.com/de/20230507?slug=die-5-besten-su-vs-auf-dem-markt&utm_source=7**5&utm_source=taboola&utm_medium=referral&...
sowie
api.taboola.com/2.0/json/msn-windows-germany/recommendations.notify-click?app.type=bidder&app.apikey=...
Es sieht also sehr danach aus, als würde der Aufruf tatsächlich irgendwo über eine Seite oder dessen ganzes Ad-Gedöns erfolgen.
Haltet ihr es für möglich, dass tatsächlich einer dieser halbseriösen Werbeseitenbetreiber in irgendeiner Verlinkung tatsächlich die Telegram-API mit API-Key im html-code aufruft?
Der API-Aufruf ist mehr als dubios, aber alle Recherchen deuten darauf hin, dass es von einer Website kommt. Da diese natürlich hochgradig dynamisch sind, lässt sich sowas ja leider auch nicht ohne weiteres reproduzieren.
zusätzlich zu den üblichen Features und Listen in unserer Firewall sammle ich noch regelmäßig die Logs ein und prüfe diese gegen bekannte IOCs.
Dabei ist mir neuerdings in API-Aufruf zu Telegram aufgefallen. Genauer gesagt folgender API-Aufruf:
api.telegram.org/bot1234567890:ABCDEFGHIJabcdefghij/sendMessage (den Bot-Namen und API-Key habe ich maskiert).
Es gab auch nur einen einzigen Log-Eintrag. Der restliche Verlauf zum Client in der Firewall ist in Ordnung. Keine Auffälligkeiten. Auch der Client selbst ist unauffällig.
Gestern gab es noch einmal denselben Aufruf, aber von einem anderen User in einem anderen Teil der Organisationsstruktur.
Ich habe daraufhin mal die zuvor aufgerufenen URLs verglichen. Dabei sind mir zwei Stück aufgefallen, die verdammt ähnlich sind:
w*w.searchfury.com/de/20230507?slug=die-5-besten-su-vs-auf-dem-markt&utm_source=7**5&utm_source=taboola&utm_medium=referral&...
sowie
api.taboola.com/2.0/json/msn-windows-germany/recommendations.notify-click?app.type=bidder&app.apikey=...
Es sieht also sehr danach aus, als würde der Aufruf tatsächlich irgendwo über eine Seite oder dessen ganzes Ad-Gedöns erfolgen.
Haltet ihr es für möglich, dass tatsächlich einer dieser halbseriösen Werbeseitenbetreiber in irgendeiner Verlinkung tatsächlich die Telegram-API mit API-Key im html-code aufruft?
Der API-Aufruf ist mehr als dubios, aber alle Recherchen deuten darauf hin, dass es von einer Website kommt. Da diese natürlich hochgradig dynamisch sind, lässt sich sowas ja leider auch nicht ohne weiteres reproduzieren.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7684661712
Url: https://administrator.de/contentid/7684661712
Printed on: April 27, 2024 at 17:04 o'clock
1 Comment
Ich hatte mir für api.telegram.org einen Packet-Capture-Filter angelegt. "Glücklicherweise" hatte der heute sogar gleich angeschlagen.
Damit war ich in der Lage, die ganze Kommunikation zu lesen. Es geschieht tatsächlich durch den Aufruf von searchfury/taboola. Demnach wie das da aussieht, wohl für Tracking oder Referrer-Analyse.
Da ich jetzt weiß, dass es kein Problem mit den Clients ist, werde ich die Seiten einfach blockieren. Das wird ja immer schlimmer mit diesem Werbe-Mist. Witzig nur, dass ich mit Hilfe des API-Keys Schindluder mit dem Bot treiben könnte. Aber wir lassen das mal.
Damit war ich in der Lage, die ganze Kommunikation zu lesen. Es geschieht tatsächlich durch den Aufruf von searchfury/taboola. Demnach wie das da aussieht, wohl für Tracking oder Referrer-Analyse.
Da ich jetzt weiß, dass es kein Problem mit den Clients ist, werde ich die Seiten einfach blockieren. Das wird ja immer schlimmer mit diesem Werbe-Mist. Witzig nur, dass ich mit Hilfe des API-Keys Schindluder mit dem Bot treiben könnte. Aber wir lassen das mal.