[GTER] Mikrotik RouterOS Botnet

Douglas Fischer fischerdouglas at gmail.com
Mon Apr 2 10:06:43 -03 2018 

Ayub mandou bem demais nessa colocação!

Esses ANIMAIZINHOS que fazem as coisas com preguiça são o mal da Internet!
 - É possível fazer o melhor ao alcance com marcas simples
 - É possível fazer cagada com marcas TOP.
O problema não está em usar uma marca X ou Y, está e fazer serviço porco...


CARO PREGUIÇOSO:
 - Se o cabra tomar a gerência do seu Router derrubar o seu provedor porque
você foi incompetente ou preguiçoso, isso é problema SEU!
   - Eu não dou a minima para isso! Vai afetar só você...
   (e acho que muita gente também pensa assim).
 - Agora, se o cabra tomar a gerência do seu Router e usar ele para fazer
alguma Injeção de Rotas BGP para sequestrar algum prefixo, isso é problema
para O MUNDO TODO.
   - Nesse caso, o seu serviço mal feito está colocando pessoas em risco e
dando trabalho para outras pessoas!
     Eu sinto profunda raiva de você!

Pare de se lamentar!
Tome vergonha nessa cara e faça o melhor possível com o que tem na mão.

​

Em 28 de março de 2018 19:50, THIAGO AYUB <thiago.ayub at upx.com> escreveu:

> São necessário dois pré-requisitos:
>
>
> *1)* Esse que você falou, a porta do Winbox aberta para a internet.
> *2)* Acertar o login e senha de admin por brute force.
>
> Como muitos de nossos colegas teimam em deixar o Winbox acessível para toda
> a internet e colocam senhas fáceis por preguiça de digitar, o cenário fica
> completo para os criminosos deitarem e rolarem.
>
> Lembro aos demais que justamente por senha fraca e acesso de gerência
> exposto que ISPs brasileiros foram utilizados para fazer BGP Hijack de
> blocos de IP de bancos brasileiros que desviavam o tráfego para página de
> phising. Esse tipo de incidente ocorreu muito nesse ano.
>
> No último GTER o Fernando Frediani apresentou uma ótima palestra ensinando
> a fazer rede out of band com Mikrotik. Não importa se você usa Mikrotik,
> Cisco, Juniper, Huawei. Seu equipamento não pode ter a interface de
> gerência/controle/configuração acessível para internet como um todo. Apenas
> através de uma rede separada, acessível apenas por VPN.
>
> Segue o vídeo da palestra: https://www.youtube.com/watch?v=w-CiHVEYZN8
>
>
>
>
> *Thiago Ayub *| Network Director
>
> +55 (11) 2626-3952 <(11)%202626-3952>
> upx.com
>
>
> Em 28 de março de 2018 16:02, Douglas Fischer <fischerdouglas at gmail.com>
> escreveu:
>
> > Não me aprofundei na análise...
> > Mas pelo que entendi para o exploit poder ter efetividade o serviço de
> > gerência tem que estar aberto para a Internet.
> >
> > Assim com quase em todos os exploits que foram encontrados em vários
> outros
> > fabricantes(Ex.: Exploit do Telnet da Cisco), essa é uma prática
> altamente
> > não recomendável.
> >
> >
> > "Polamor" abiguinhos:
> > Winbox de cara para a Rua não né!?!?!
> >
> >
> >
> >
> > Em 28 de março de 2018 12:20, Rubens Kuhl <rubensk at gmail.com> escreveu:
> >
> > > On Wed, Mar 28, 2018 at 11:32 AM, Wilson Lopes <
> wilsonlopes00 at gmail.com>
> > > wrote:
> > >
> > > > https://security.radware.com/ddos-threats-attacks/threat-
> > > > advisories-attack-reports/mikrotik-botnet/
> > >
> > >
> > > Vários desses IPs foram parar nesta lista aqui:
> > > http://spys.one/free-proxy-list/BR/
> > > (só ver os com porta 20183 ou com Mikrotik)
> > >
> > > Há outros IPs que não estão em listas públicas, obtidos de um dos
> > > servidores de C&C desse worm, que foram enviados para o CERT.br. Scan
> por
> > > porta 20183 seria uma boa precaução para identificar mais IPs de
> > roteadores
> > > comprometidos.
> > >
> > >
> > > Rubens
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list