[GTER] Mikrotik RouterOS Botnet
THIAGO AYUB
thiago.ayub at upx.com
Wed Mar 28 19:50:43 -03 2018
São necessário dois pré-requisitos:
*1)* Esse que você falou, a porta do Winbox aberta para a internet.
*2)* Acertar o login e senha de admin por brute force.
Como muitos de nossos colegas teimam em deixar o Winbox acessível para toda
a internet e colocam senhas fáceis por preguiça de digitar, o cenário fica
completo para os criminosos deitarem e rolarem.
Lembro aos demais que justamente por senha fraca e acesso de gerência
exposto que ISPs brasileiros foram utilizados para fazer BGP Hijack de
blocos de IP de bancos brasileiros que desviavam o tráfego para página de
phising. Esse tipo de incidente ocorreu muito nesse ano.
No último GTER o Fernando Frediani apresentou uma ótima palestra ensinando
a fazer rede out of band com Mikrotik. Não importa se você usa Mikrotik,
Cisco, Juniper, Huawei. Seu equipamento não pode ter a interface de
gerência/controle/configuração acessível para internet como um todo. Apenas
através de uma rede separada, acessível apenas por VPN.
Segue o vídeo da palestra: https://www.youtube.com/watch?v=w-CiHVEYZN8
*Thiago Ayub *| Network Director
+55 (11) 2626-3952 <(11)%202626-3952>
upx.com
Em 28 de março de 2018 16:02, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:
> Não me aprofundei na análise...
> Mas pelo que entendi para o exploit poder ter efetividade o serviço de
> gerência tem que estar aberto para a Internet.
>
> Assim com quase em todos os exploits que foram encontrados em vários outros
> fabricantes(Ex.: Exploit do Telnet da Cisco), essa é uma prática altamente
> não recomendável.
>
>
> "Polamor" abiguinhos:
> Winbox de cara para a Rua não né!?!?!
>
>
>
>
> Em 28 de março de 2018 12:20, Rubens Kuhl <rubensk at gmail.com> escreveu:
>
> > On Wed, Mar 28, 2018 at 11:32 AM, Wilson Lopes <wilsonlopes00 at gmail.com>
> > wrote:
> >
> > > https://security.radware.com/ddos-threats-attacks/threat-
> > > advisories-attack-reports/mikrotik-botnet/
> >
> >
> > Vários desses IPs foram parar nesta lista aqui:
> > http://spys.one/free-proxy-list/BR/
> > (só ver os com porta 20183 ou com Mikrotik)
> >
> > Há outros IPs que não estão em listas públicas, obtidos de um dos
> > servidores de C&C desse worm, que foram enviados para o CERT.br. Scan por
> > porta 20183 seria uma boa precaução para identificar mais IPs de
> roteadores
> > comprometidos.
> >
> >
> > Rubens
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list