[GTER] Mikrotik RouterOS Botnet

THIAGO AYUB thiago.ayub at upx.com
Wed Mar 28 19:50:43 -03 2018


São necessário dois pré-requisitos:


*1)* Esse que você falou, a porta do Winbox aberta para a internet.
*2)* Acertar o login e senha de admin por brute force.

Como muitos de nossos colegas teimam em deixar o Winbox acessível para toda
a internet e colocam senhas fáceis por preguiça de digitar, o cenário fica
completo para os criminosos deitarem e rolarem.

Lembro aos demais que justamente por senha fraca e acesso de gerência
exposto que ISPs brasileiros foram utilizados para fazer BGP Hijack de
blocos de IP de bancos brasileiros que desviavam o tráfego para página de
phising. Esse tipo de incidente ocorreu muito nesse ano.

No último GTER o Fernando Frediani apresentou uma ótima palestra ensinando
a fazer rede out of band com Mikrotik. Não importa se você usa Mikrotik,
Cisco, Juniper, Huawei. Seu equipamento não pode ter a interface de
gerência/controle/configuração acessível para internet como um todo. Apenas
através de uma rede separada, acessível apenas por VPN.

Segue o vídeo da palestra: https://www.youtube.com/watch?v=w-CiHVEYZN8




*Thiago Ayub *| Network Director

+55 (11) 2626-3952 <(11)%202626-3952>
upx.com


Em 28 de março de 2018 16:02, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:

> Não me aprofundei na análise...
> Mas pelo que entendi para o exploit poder ter efetividade o serviço de
> gerência tem que estar aberto para a Internet.
>
> Assim com quase em todos os exploits que foram encontrados em vários outros
> fabricantes(Ex.: Exploit do Telnet da Cisco), essa é uma prática altamente
> não recomendável.
>
>
> "Polamor" abiguinhos:
> Winbox de cara para a Rua não né!?!?!
>
>
>
>
> Em 28 de março de 2018 12:20, Rubens Kuhl <rubensk at gmail.com> escreveu:
>
> > On Wed, Mar 28, 2018 at 11:32 AM, Wilson Lopes <wilsonlopes00 at gmail.com>
> > wrote:
> >
> > > https://security.radware.com/ddos-threats-attacks/threat-
> > > advisories-attack-reports/mikrotik-botnet/
> >
> >
> > Vários desses IPs foram parar nesta lista aqui:
> > http://spys.one/free-proxy-list/BR/
> > (só ver os com porta 20183 ou com Mikrotik)
> >
> > Há outros IPs que não estão em listas públicas, obtidos de um dos
> > servidores de C&C desse worm, que foram enviados para o CERT.br. Scan por
> > porta 20183 seria uma boa precaução para identificar mais IPs de
> roteadores
> > comprometidos.
> >
> >
> > Rubens
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list