[GTER] Virus UBNT
Diego Canton de Brito
diegocanton at ensite.com.br
Mon May 23 21:09:44 -03 2016
Sim, segue abaixo exemplo do comando e exemplo de saída obtida, em
seguida como obter só os IPs dos infectados.
Comando:
tcpdump -vvv -n port 53 -i eth1 | egrep
'[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.
0'
Saída:
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size
65535 bytes
xxx.xxx.xxx.xxx.53 > yyy.yyy.yyy.yyy.53052: [bad udp cksum 0xbd35 ->
0x3e49!] 2 NXDomain q: AAAA? 353.305.267.247. 0/1/0 ns: . [23h57m11s]
SOA a.root-servers.net. nstld.verisign-grs.com. 2016052301 1800 900
604800 86400 (108)
Obter apenas o IP do equipamento que faz a consulta:
tcpdump -vvv -n port 53 -i eth1 | egrep
'[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.
0' | cut -f5-8 -d "." | cut -f3 -d " " | grep -v "ns" | grep -v "0x"
Estou usando para identificar e notificar provedores clientes que ainda
estão infectados e que usam nosso DNS.
Em 2016-05-23 20:58, Daniel Damito escreveu:
> Diego, tem algum TCPDump aí pra me mostrar? Não cheguei a ver isso ainda, mas é bom saber...
>
> Nos casos que peguei eles estavam consultando apenas domínio da verisign.
>
> ATENCIOSAMENTE,
> _DANIEL DAMITO_
Em 2016-05-23 20:53, Diego Canton de Brito escreveu:
> Na verdade os equipamentos acabam consultando no DNS por um registro AAAA, pois o vírus consulta IPs acima de 255.255.255.255, com um Ponto no final (ex: 567.128.34.56.) Ele entende ser um domínio e consulta os Root-Servers. Seu DNS irá responder NXDomain para a consulta naturalmente.
> Faça um tcpdump -vvv -n port 53 e observe.
> Os IPs que fizerem essa consulta estão com o vírus, acredito que seja uma falha ou seja intencional pra retardar o processo de reset.
> --
> Enviado do aplicativo myMail para Android segunda-feira, 23 maio 2016, 08:38PM -03:00 de Daniel Damito danieldamito at outlook.com :
>
> Olá, Robson.
> Eu peguei vários casos em ISPs que presto assessoria...
>
> Não pude ter certeza ainda, mas ao que me parece não é um ataque direto ao BIND. Se você observar nas logs ou com um TCPDUMP, vai ver que é um flood de consultas ao domínio da verisign, mas isso deve ser algo relacionado ao HTTPS e as tentativas de conexão à interface web dos rádios UBNT.
>
> Creio não ser um ataque direto ao DNS, mas sim um efeito colateral, por que em redes 'saudáveis', com UBNTs não infectados, eu vi um número grande também de consultas a esse domínio, mas ainda assim muito menor que de redes infectadas.
>
> Atenciosamente,Daniel Damito> Date: Mon, 23 May 2016 17:30:33 -0300 From: robsonzmendes at gmail.com
> To: gter at eng.registro.br
> Subject: [GTER] Virus UBNT
>
> Virus UBNT, atacando Bind, alguém passou por essa situação?
>
> --
> *Robson Mendes de Souza*
> *Analista de Redes *
> *TEL.: (38)999980369 *
> *EMAIL.: robsonzmendes at gmail.com < robsonzmendes at gmail.com > |
> robson.mendes at inovanet.net.br < robson.mendes at inovanet.net.br >*
> *AS263453*
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list