[GTER] Mikrotik RouterOS Botnet

Wilson Lopes wilsonlopes00 at gmail.com
Wed Mar 28 21:54:21 -03 2018


Contei hoje 549 arps  com mac addresses de routerboard no atm do ptt sp (~ 1/3 do total).  Seria interessante orientar o pessoal à aplicar os updates, quem ainda não o fez. Um ddos neste canal, pelo potencial, pode afetar muita gente.

Abs
Wilson


Em 28 de mar de 2018, à(s) 19:50, THIAGO AYUB <thiago.ayub at upx.com> escreveu:

> São necessário dois pré-requisitos:
> 
> 
> *1)* Esse que você falou, a porta do Winbox aberta para a internet.
> *2)* Acertar o login e senha de admin por brute force.
> 
> Como muitos de nossos colegas teimam em deixar o Winbox acessível para toda
> a internet e colocam senhas fáceis por preguiça de digitar, o cenário fica
> completo para os criminosos deitarem e rolarem.
> 
> Lembro aos demais que justamente por senha fraca e acesso de gerência
> exposto que ISPs brasileiros foram utilizados para fazer BGP Hijack de
> blocos de IP de bancos brasileiros que desviavam o tráfego para página de
> phising. Esse tipo de incidente ocorreu muito nesse ano.
> 
> No último GTER o Fernando Frediani apresentou uma ótima palestra ensinando
> a fazer rede out of band com Mikrotik. Não importa se você usa Mikrotik,
> Cisco, Juniper, Huawei. Seu equipamento não pode ter a interface de
> gerência/controle/configuração acessível para internet como um todo. Apenas
> através de uma rede separada, acessível apenas por VPN.
> 
> Segue o vídeo da palestra: https://www.youtube.com/watch?v=w-CiHVEYZN8
> 
> 
> 
> 
> *Thiago Ayub *| Network Director
> 
> +55 (11) 2626-3952 <(11)%202626-3952>
> upx.com
> 
> 
> Em 28 de março de 2018 16:02, Douglas Fischer <fischerdouglas at gmail.com>
> escreveu:
> 
>> Não me aprofundei na análise...
>> Mas pelo que entendi para o exploit poder ter efetividade o serviço de
>> gerência tem que estar aberto para a Internet.
>> 
>> Assim com quase em todos os exploits que foram encontrados em vários outros
>> fabricantes(Ex.: Exploit do Telnet da Cisco), essa é uma prática altamente
>> não recomendável.
>> 
>> 
>> "Polamor" abiguinhos:
>> Winbox de cara para a Rua não né!?!?!
>> 
>> 
>> 
>> 
>> Em 28 de março de 2018 12:20, Rubens Kuhl <rubensk at gmail.com> escreveu:
>> 
>>> On Wed, Mar 28, 2018 at 11:32 AM, Wilson Lopes <wilsonlopes00 at gmail.com>
>>> wrote:
>>> 
>>>> https://security.radware.com/ddos-threats-attacks/threat-
>>>> advisories-attack-reports/mikrotik-botnet/
>>> 
>>> 
>>> Vários desses IPs foram parar nesta lista aqui:
>>> http://spys.one/free-proxy-list/BR/
>>> (só ver os com porta 20183 ou com Mikrotik)
>>> 
>>> Há outros IPs que não estão em listas públicas, obtidos de um dos
>>> servidores de C&C desse worm, que foram enviados para o CERT.br. Scan por
>>> porta 20183 seria uma boa precaução para identificar mais IPs de
>> roteadores
>>> comprometidos.
>>> 
>>> 
>>> Rubens
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> 
>> 
>> 
>> 
>> --
>> Douglas Fernando Fischer
>> Engº de Controle e Automação
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list