[GTER] Mikrotik RouterOS Botnet

Rubens Kuhl rubensk at gmail.com
Wed Mar 28 22:54:36 -03 2018


Parte desses já migrou para outra coisa e manteve o MAC. E parte dos
não-Routerboard é Mikrotik em x86...


Rubens


2018-03-28 21:54 GMT-03:00 Wilson Lopes <wilsonlopes00 at gmail.com>:

> Contei hoje 549 arps  com mac addresses de routerboard no atm do ptt sp (~
> 1/3 do total).  Seria interessante orientar o pessoal à aplicar os updates,
> quem ainda não o fez. Um ddos neste canal, pelo potencial, pode afetar
> muita gente.
>
> Abs
> Wilson
>
>
> Em 28 de mar de 2018, à(s) 19:50, THIAGO AYUB <thiago.ayub at upx.com>
> escreveu:
>
> > São necessário dois pré-requisitos:
> >
> >
> > *1)* Esse que você falou, a porta do Winbox aberta para a internet.
> > *2)* Acertar o login e senha de admin por brute force.
> >
> > Como muitos de nossos colegas teimam em deixar o Winbox acessível para
> toda
> > a internet e colocam senhas fáceis por preguiça de digitar, o cenário
> fica
> > completo para os criminosos deitarem e rolarem.
> >
> > Lembro aos demais que justamente por senha fraca e acesso de gerência
> > exposto que ISPs brasileiros foram utilizados para fazer BGP Hijack de
> > blocos de IP de bancos brasileiros que desviavam o tráfego para página de
> > phising. Esse tipo de incidente ocorreu muito nesse ano.
> >
> > No último GTER o Fernando Frediani apresentou uma ótima palestra
> ensinando
> > a fazer rede out of band com Mikrotik. Não importa se você usa Mikrotik,
> > Cisco, Juniper, Huawei. Seu equipamento não pode ter a interface de
> > gerência/controle/configuração acessível para internet como um todo.
> Apenas
> > através de uma rede separada, acessível apenas por VPN.
> >
> > Segue o vídeo da palestra: https://www.youtube.com/watch?v=w-CiHVEYZN8
> >
> >
> >
> >
> > *Thiago Ayub *| Network Director
> >
> > +55 (11) 2626-3952 <(11)%202626-3952>
> > upx.com
> >
> >
> > Em 28 de março de 2018 16:02, Douglas Fischer <fischerdouglas at gmail.com>
> > escreveu:
> >
> >> Não me aprofundei na análise...
> >> Mas pelo que entendi para o exploit poder ter efetividade o serviço de
> >> gerência tem que estar aberto para a Internet.
> >>
> >> Assim com quase em todos os exploits que foram encontrados em vários
> outros
> >> fabricantes(Ex.: Exploit do Telnet da Cisco), essa é uma prática
> altamente
> >> não recomendável.
> >>
> >>
> >> "Polamor" abiguinhos:
> >> Winbox de cara para a Rua não né!?!?!
> >>
> >>
> >>
> >>
> >> Em 28 de março de 2018 12:20, Rubens Kuhl <rubensk at gmail.com> escreveu:
> >>
> >>> On Wed, Mar 28, 2018 at 11:32 AM, Wilson Lopes <
> wilsonlopes00 at gmail.com>
> >>> wrote:
> >>>
> >>>> https://security.radware.com/ddos-threats-attacks/threat-
> >>>> advisories-attack-reports/mikrotik-botnet/
> >>>
> >>>
> >>> Vários desses IPs foram parar nesta lista aqui:
> >>> http://spys.one/free-proxy-list/BR/
> >>> (só ver os com porta 20183 ou com Mikrotik)
> >>>
> >>> Há outros IPs que não estão em listas públicas, obtidos de um dos
> >>> servidores de C&C desse worm, que foram enviados para o CERT.br. Scan
> por
> >>> porta 20183 seria uma boa precaução para identificar mais IPs de
> >> roteadores
> >>> comprometidos.
> >>>
> >>>
> >>> Rubens
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>
> >>
> >>
> >>
> >> --
> >> Douglas Fernando Fischer
> >> Engº de Controle e Automação
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list