[GTER] Mikrotik RouterOS Botnet
Wilson Lopes
wilsonlopes00 at gmail.com
Thu Mar 29 02:06:30 -03 2018
Pessoal especialista em gambiarra então Rubens em manter mac sem necessidade. Quanto à mikrotik em x86 esperado, mas acredito serem poucos. De qualquer forma notify no pessoal pra evitar problema.
Abs
Wilson
Enviado do meu iPhone
Em 28 de mar de 2018, à(s) 22:54https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/mikrotik-botnet/, Rubens Kuhl <rubensk at gmail.com> escreveu:
> Parte desses já migrou para outra coisa e manteve o MAC. E parte dos
> não-Routerboard é Mikrotik em x86...
>
>
> Rubens
>
>
> 2018-03-28 21:54 GMT-03:00 Wilson Lopes <wilsonlopes00 at gmail.com>:
>
>> Contei hoje 549 arps com mac addresses de routerboard no atm do ptt sp (~
>> 1/3 do total). Seria interessante orientar o pessoal à aplicar os updates,
>> quem ainda não o fez. Um ddos neste canal, pelo potencial, pode afetar
>> muita gente.
>>
>> Abs
>> Wilson
>>
>>
>> Em 28 de mar de 2018, à(s) 19:50, THIAGO AYUB <thiago.ayub at upx.com>
>> escreveu:
>>
>>> São necessário dois pré-requisitos:
>>>
>>>
>>> *1)* Esse que você falou, a porta do Winbox aberta para a internet.
>>> *2)* Acertar o login e senha de admin por brute force.
>>>
>>> Como muitos de nossos colegas teimam em deixar o Winbox acessível para
>> toda
>>> a internet e colocam senhas fáceis por preguiça de digitar, o cenário
>> fica
>>> completo para os criminosos deitarem e rolarem.
>>>
>>> Lembro aos demais que justamente por senha fraca e acesso de gerência
>>> exposto que ISPs brasileiros foram utilizados para fazer BGP Hijack de
>>> blocos de IP de bancos brasileiros que desviavam o tráfego para página de
>>> phising. Esse tipo de incidente ocorreu muito nesse ano.
>>>
>>> No último GTER o Fernando Frediani apresentou uma ótima palestra
>> ensinando
>>> a fazer rede out of band com Mikrotik. Não importa se você usa Mikrotik,
>>> Cisco, Juniper, Huawei. Seu equipamento não pode ter a interface de
>>> gerência/controle/configuração acessível para internet como um todo.
>> Apenas
>>> através de uma rede separada, acessível apenas por VPN.
>>>
>>> Segue o vídeo da palestra: https://www.youtube.com/watch?v=w-CiHVEYZN8
>>>
>>>
>>>
>>>
>>> *Thiago Ayub *| Network Director
>>>
>>> +55 (11) 2626-3952 <(11)%202626-3952>
>>> upx.com
>>>
>>>
>>> Em 28 de março de 2018 16:02, Douglas Fischer <fischerdouglas at gmail.com>
>>> escreveu:
>>>
>>>> Não me aprofundei na análise...
>>>> Mas pelo que entendi para o exploit poder ter efetividade o serviço de
>>>> gerência tem que estar aberto para a Internet.
>>>>
>>>> Assim com quase em todos os exploits que foram encontrados em vários
>> outros
>>>> fabricantes(Ex.: Exploit do Telnet da Cisco), essa é uma prática
>> altamente
>>>> não recomendável.
>>>>
>>>>
>>>> "Polamor" abiguinhos:
>>>> Winbox de cara para a Rua não né!?!?!
>>>>
>>>>
>>>>
>>>>
>>>> Em 28 de março de 2018 12:20, Rubens Kuhl <rubensk at gmail.com> escreveu:
>>>>
>>>>> On Wed, Mar 28, 2018 at 11:32 AM, Wilson Lopes <
>> wilsonlopes00 at gmail.com>
>>>>> wrote:
>>>>>
>>>>>> https://security.radware.com/ddos-threats-attacks/threat-
>>>>>> advisories-attack-reports/mikrotik-botnet/
>>>>>
>>>>>
>>>>> Vários desses IPs foram parar nesta lista aqui:
>>>>> http://spys.one/free-proxy-list/BR/
>>>>> (só ver os com porta 20183 ou com Mikrotik)
>>>>>
>>>>> Há outros IPs que não estão em listas públicas, obtidos de um dos
>>>>> servidores de C&C desse worm, que foram enviados para o CERT.br. Scan
>> por
>>>>> porta 20183 seria uma boa precaução para identificar mais IPs de
>>>> roteadores
>>>>> comprometidos.
>>>>>
>>>>>
>>>>> Rubens
>>>>> --
>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>>
>>>>
>>>>
>>>> --
>>>> Douglas Fernando Fischer
>>>> Engº de Controle e Automação
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list