[GTER] Virus UBNT

Diego Canton de Brito diegocanton at ensite.com.br
Mon May 23 21:09:44 -03 2016


Sim, segue abaixo exemplo do comando e exemplo de saída obtida, em
seguida como obter só os IPs dos infectados. 

Comando:
tcpdump -vvv -n port 53 -i eth1 | egrep
'[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.
0' 

Saída:
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size
65535 bytes
xxx.xxx.xxx.xxx.53 > yyy.yyy.yyy.yyy.53052: [bad udp cksum 0xbd35 ->
0x3e49!] 2 NXDomain q: AAAA? 353.305.267.247. 0/1/0 ns: . [23h57m11s]
SOA a.root-servers.net. nstld.verisign-grs.com. 2016052301 1800 900
604800 86400 (108) 

Obter apenas o IP do equipamento que faz a consulta:
tcpdump -vvv -n port 53 -i eth1 | egrep
'[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.
0' | cut -f5-8 -d "." | cut -f3 -d " " | grep -v "ns" | grep -v "0x" 

Estou usando para identificar e notificar provedores clientes que ainda
estão infectados e que usam nosso DNS. 

Em 2016-05-23 20:58, Daniel Damito escreveu:

> Diego, tem algum TCPDump aí pra me mostrar? Não cheguei a ver isso ainda, mas é bom saber...
> 
> Nos casos que peguei eles estavam consultando apenas domínio da verisign.
> 
> ATENCIOSAMENTE, 
> _DANIEL DAMITO_

Em 2016-05-23 20:53, Diego Canton de Brito escreveu:

> Na verdade os equipamentos acabam consultando no DNS por um registro AAAA, pois o vírus consulta IPs acima de 255.255.255.255, com um Ponto no final (ex: 567.128.34.56.) Ele entende ser um domínio e consulta os Root-Servers. Seu DNS irá responder NXDomain para a consulta naturalmente.
> Faça um tcpdump -vvv -n port 53 e observe.
> Os IPs que fizerem essa consulta estão com o vírus, acredito que seja uma falha ou seja intencional pra retardar o processo de reset.
> --
> Enviado do aplicativo myMail para Android segunda-feira, 23 maio 2016, 08:38PM -03:00 de Daniel Damito  danieldamito at outlook.com :
> 
> Olá, Robson.
> Eu peguei vários casos em ISPs que presto assessoria...
> 
> Não pude ter certeza ainda, mas ao que me parece não é um ataque direto ao BIND. Se você observar nas logs ou com um TCPDUMP, vai ver que é um flood de consultas ao domínio da verisign, mas isso deve ser algo relacionado ao HTTPS e as tentativas de conexão à interface web dos rádios UBNT.
> 
> Creio não ser um ataque direto ao DNS, mas sim um efeito colateral, por que em redes 'saudáveis', com UBNTs não infectados, eu vi um número grande também de consultas a esse domínio, mas ainda assim muito menor que de redes infectadas. 
> 
> Atenciosamente,Daniel Damito> Date: Mon, 23 May 2016 17:30:33 -0300 From:  robsonzmendes at gmail.com
> To:  gter at eng.registro.br
> Subject: [GTER] Virus UBNT
> 
> Virus UBNT, atacando Bind, alguém passou por essa situação?
> 
> -- 
> *Robson Mendes de Souza*
> *Analista de Redes *
> *TEL.: (38)999980369  *
> *EMAIL.:  robsonzmendes at gmail.com < robsonzmendes at gmail.com > |
> robson.mendes at inovanet.net.br < robson.mendes at inovanet.net.br >*
> *AS263453*
> --
> gter list  https://eng.registro.br/mailman/listinfo/gter                           
> --
> gter list  https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter 



More information about the gter mailing list