[GTER] IPTV-PIRATA como origem de DoS

Fernando Frediani fhfrediani at gmail.com
Thu Jun 27 15:28:05 -03 2019 

Olá

Entrei em contato com a empresa Nuclearfallout Enterprises, Inc que é
responsável pelos IPs mencionados nesta e em outras threads e o responsável
pela empresa respondeu confirmando que realmente eles tem observado uma
grande quantidade de ataques desde o Brasil e que tem reportado isso para o
CERT.
Ele menciona algumas possibilidades e pede que não bloqueiem as range des
IP dele (que também é vítima), mas que tentem identificar os IPs dos C&C e
faz uma breve descrição de como isso pode ser feito.

Segue abaixo um trecho da resposta dele para a ciência de todos:

============================================
"We have been seeing large amounts of attack traffic from BR recently,
including against the IP addresses that you gave.

(a parte sobre o tamanho dos ataques dessa botnet ele pediu pra remover
caso compartilhasse aqui a resposta mas é significativo).

I have not received other direct feedback about the types of devices
involved, but I would not be surprised if a specific model of IPTV device
is being widely compromised. Since this botnet is newly-formed, and because
most of the participant devices are from a specific region, it is more
likely to be mostly one type of device.

I do not have any information on the C&C or attacker details, and I can't
tell those from my end. But, the ISPs hosting these devices, or the device
owners, should be able to find the C&C by monitoring traffic to and from
the devices. Generally the C&C connection will use TCP, and the command
from the C&C to attack an endpoint will come immediately before the spike
in attack traffic. All of the attack traffic that we have seen from the
large botnet is UDP, so TCP should be easy to pick out in the flows.

Blocking the C&C IP address, once found, could help. Similarly, blocking
the scanner IP (which would have to be found separately) would also help.
But, these are short-term solutions, because the attacker will switch to
using other sources for the C&C and scanner. The longer-term solution has
to be applying a fix to the devices in question, possibly in the form of
new firmware or an updated password (depending on the exploit involved). It
is possible that the application of such a fix could be automated by the
ISP. There may be legal concerns with applying a fix without the customer's
approval, however.

(expliquei pra ele que qualquer atualização de firmware ou fix por parte do
provedor é algo praticamente impossivel de ser feito e que esses
equipamentos estão fora do controle do ISP)

I saw a suggestion in those threads to globally block traffic to our IP
space. I recommend against that proposed solution. We have a significant
number of BR clients who would be impacted by such a move, and it would
increase support calls for both us and any ISP that does it."
============================================

Abraços

Fernando
On 27/06/2019 08:45, Jonni Pianezzer wrote:

Vamos La, como precisamos testar isso nao teve outro jeito.
Sim eu odeio esses Aparelhos igual a todos aqui da lista

Coloquei um HTV5 atras de uma Mikrotik para analisar.
HTV5 novo, mesmo assim resetei ele de fabrica,
somente 2 programa instalei, um chamado braziltv que é onde vem os canais,
e outro chamado Cine que é tipo filmes lancamentos.
Nenhum programa de VPN nem conteudo adulto nada.
e mesmo assim o HTV ja iniciou mandando altos upload hehe,
Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as 04:23.
sim deixei ele ligado, mas observacao, ele esta ligado mas nao estava
rodando nenhum canal, somente na tele inicial do aparelho,
entao seja la o que for so de ele estar ligado sem estar aberto nada ja é
suficiente para ser usado para atacar outros.
No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23 vindo do
ip do HTV e mandei pra uma lista os ips destinos,
os canais continuam funcionando o trafego continua sendo gerado claro, mas
pelo menos nao sai mais pra fora da rede.
Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é minha
contribuição.

Faixa de ataques ontem aqui foi
74.91.113.215
74.91.117.185
74.91.121.178
74.91.123.202
74.91.125.208
74.91.113.81


Em 26/06/2019 15:48, Wagner Bento escreveu:

Boa tarde galera.

Aqui começou novamente,.

Mesmo destino (NFO Servers).
IP e porta destino sempre mudando.


Em qua, 26 de jun de 2019 às 13:42, Wagner Bento <wagner at seanet.com.br>
<wagner at seanet.com.br>
escreveu:



No caso nessas últimas ocorrências, o destino aqui também foi esse AS
mesmo, porém das últimas vezes aqui, também ocorreu em direção a AWS.
Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha alguma VPN
instalada? Pelo o que vejo, algumas até já vem com alguma instalada. Pode
estar aí o furo.

Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
gondim at linuxinfo.com.br> escreveu:

Em 26/06/2019 08:54, JUliano Raymundo escreveu:

Bom dia Douglas, pelo contrário, acredito que muitos colegas sofram com
isso. Já observei aqui na lista relatos onde o pessoal chegou até

bloquear

/24 para mitigar o ataque coordenado de DDoS oriundo dessas IPTV. Aqui

no

provedor estamos tratando IP por IP, mas acredito que logo teremos que
bloquear /24 também. Seguidamente o CERTBR encaminha notificações
informando que estamos originando tais ataques. O interessante é que

está

sendo sempre o mesmo destino. Parece ser uma usina nuclear nos estados
unidos. Se algum colega tiver alguma lista de IPS nos quais essas IPTV

se

conectam e puder compartilhar aqui na lista, seria de grande valia.

Com a gente aqui os ataques foram todos direcionados à NFO AS14586.
Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo indica que
tem a ver com servidores de jogos.
https://www.nfoservers.com/
O IP atacado faz parte do bloco 74.91.113.0/24

Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
fischerdouglas at gmail.com> escreveu:

Levanta a mão aí quem tem uma rede com mais de 1000 clientes e não está
sofrendo com isso...
-- 
gter list    https://eng.registro.br/mailman/listinfo/gter


-- 
gter list    https://eng.registro.br/mailman/listinfo/gter

-- 
gter list    https://eng.registro.br/mailman/listinfo/gter

-- 
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list