[GTER] Virus UBNT
Diego Canton de Brito
diegocanton at ensite.com.br
Mon May 23 20:53:30 -03 2016
Na verdade os equipamentos acabam consultando no DNS por um registro AAAA, pois o vírus consulta IPs acima de 255.255.255.255, com um Ponto no final (ex: 567.128.34.56.) Ele entende ser um domínio e consulta os Root-Servers. Seu DNS irá responder NXDomain para a consulta naturalmente.
Faça um tcpdump -vvv -n port 53 e observe.
Os IPs que fizerem essa consulta estão com o vírus, acredito que seja uma falha ou seja intencional pra retardar o processo de reset.
--
Enviado do aplicativo myMail para Android segunda-feira, 23 maio 2016, 08:38PM -03:00 de Daniel Damito danieldamito at outlook.com :
>Olá, Robson.
>Eu peguei vários casos em ISPs que presto assessoria...
>
>Não pude ter certeza ainda, mas ao que me parece não é um ataque direto ao BIND. Se você observar nas logs ou com um TCPDUMP, vai ver que é um flood de consultas ao domínio da verisign, mas isso deve ser algo relacionado ao HTTPS e as tentativas de conexão à interface web dos rádios UBNT.
>
>Creio não ser um ataque direto ao DNS, mas sim um efeito colateral, por que em redes 'saudáveis', com UBNTs não infectados, eu vi um número grande também de consultas a esse domínio, mas ainda assim muito menor que de redes infectadas.
>
>Atenciosamente,Daniel Damito> Date: Mon, 23 May 2016 17:30:33 -0300
>> From: robsonzmendes at gmail.com
>> To: gter at eng.registro.br
>> Subject: [GTER] Virus UBNT
>>
>> Virus UBNT, atacando Bind, alguém passou por essa situação?
>>
>> --
>> *Robson Mendes de Souza*
>> *Analista de Redes *
>> *TEL.: (38)999980369 *
>> *EMAIL.: robsonzmendes at gmail.com < robsonzmendes at gmail.com > |
>> robson.mendes at inovanet.net.br < robson.mendes at inovanet.net.br >*
>> *AS263453*
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>
>--
>gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list