[GTER] Mikrotik RouterOS Botnet

[Wilson Lopes]

Pessoal especialista em gambiarra então Rubens em manter mac sem necessidade. Quanto à mikrotik em x86 esperado, mas acredito serem poucos. De qualquer forma notify no pessoal pra evitar problema.

Abs
Wilson 

Enviado do meu iPhone

Em 28 de mar de 2018, à(s) 22:54https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/mikrotik-botnet/, Rubens Kuhl <rubensk at gmail.com> escreveu:

> Parte desses já migrou para outra coisa e manteve o MAC. E parte dos
> não-Routerboard é Mikrotik em x86...
> 
> 
> Rubens
> 
> 
> 2018-03-28 21:54 GMT-03:00 Wilson Lopes <wilsonlopes00 at gmail.com>:
> 
>> Contei hoje 549 arps  com mac addresses de routerboard no atm do ptt sp (~
>> 1/3 do total).  Seria interessante orientar o pessoal à aplicar os updates,
>> quem ainda não o fez. Um ddos neste canal, pelo potencial, pode afetar
>> muita gente.
>> 
>> Abs
>> Wilson
>> 
>> 
>> Em 28 de mar de 2018, à(s) 19:50, THIAGO AYUB <thiago.ayub at upx.com>
>> escreveu:
>> 
>>> São necessário dois pré-requisitos:
>>> 
>>> 
>>> *1)* Esse que você falou, a porta do Winbox aberta para a internet.
>>> *2)* Acertar o login e senha de admin por brute force.
>>> 
>>> Como muitos de nossos colegas teimam em deixar o Winbox acessível para
>> toda
>>> a internet e colocam senhas fáceis por preguiça de digitar, o cenário
>> fica
>>> completo para os criminosos deitarem e rolarem.
>>> 
>>> Lembro aos demais que justamente por senha fraca e acesso de gerência
>>> exposto que ISPs brasileiros foram utilizados para fazer BGP Hijack de
>>> blocos de IP de bancos brasileiros que desviavam o tráfego para página de
>>> phising. Esse tipo de incidente ocorreu muito nesse ano.
>>> 
>>> No último GTER o Fernando Frediani apresentou uma ótima palestra
>> ensinando
>>> a fazer rede out of band com Mikrotik. Não importa se você usa Mikrotik,
>>> Cisco, Juniper, Huawei. Seu equipamento não pode ter a interface de
>>> gerência/controle/configuração acessível para internet como um todo.
>> Apenas
>>> através de uma rede separada, acessível apenas por VPN.
>>> 
>>> Segue o vídeo da palestra: https://www.youtube.com/watch?v=w-CiHVEYZN8
>>> 
>>> 
>>> 
>>> 
>>> *Thiago Ayub *| Network Director
>>> 
>>> +55 (11) 2626-3952 <(11)%202626-3952>
>>> upx.com
>>> 
>>> 
>>> Em 28 de março de 2018 16:02, Douglas Fischer <fischerdouglas at gmail.com>
>>> escreveu:
>>> 
>>>> Não me aprofundei na análise...
>>>> Mas pelo que entendi para o exploit poder ter efetividade o serviço de
>>>> gerência tem que estar aberto para a Internet.
>>>> 
>>>> Assim com quase em todos os exploits que foram encontrados em vários
>> outros
>>>> fabricantes(Ex.: Exploit do Telnet da Cisco), essa é uma prática
>> altamente
>>>> não recomendável.
>>>> 
>>>> 
>>>> "Polamor" abiguinhos:
>>>> Winbox de cara para a Rua não né!?!?!
>>>> 
>>>> 
>>>> 
>>>> 
>>>> Em 28 de março de 2018 12:20, Rubens Kuhl <rubensk at gmail.com> escreveu:
>>>> 
>>>>> On Wed, Mar 28, 2018 at 11:32 AM, Wilson Lopes <
>> wilsonlopes00 at gmail.com>
>>>>> wrote:
>>>>> 
>>>>>> https://security.radware.com/ddos-threats-attacks/threat-
>>>>>> advisories-attack-reports/mikrotik-botnet/
>>>>> 
>>>>> 
>>>>> Vários desses IPs foram parar nesta lista aqui:
>>>>> http://spys.one/free-proxy-list/BR/
>>>>> (só ver os com porta 20183 ou com Mikrotik)
>>>>> 
>>>>> Há outros IPs que não estão em listas públicas, obtidos de um dos
>>>>> servidores de C&C desse worm, que foram enviados para o CERT.br. Scan
>> por
>>>>> porta 20183 seria uma boa precaução para identificar mais IPs de
>>>> roteadores
>>>>> comprometidos.
>>>>> 
>>>>> 
>>>>> Rubens
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>> 
>>>> 
>>>> 
>>>> 
>>>> --
>>>> Douglas Fernando Fischer
>>>> Engº de Controle e Automação
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>> 
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter