[MASOCH-L] Ransoware - PENINSULA IBÉRICA - 12/05

Thiago braid.skywalker at gmail.com
Sun May 14 23:23:58 BRT 2017


Na estação windows é bloquear inbound 135-139 e 445 tcp?
E outbound? Melhor bloquear tbm?

2017-05-12 17:59 GMT-03:00 Tiago Flôres <tiago at balensiefer.com.br>:

> Em 12 de maio de 2017 17:54, Felipe Oliveira <slvfelipe at gmail.com>
> escreveu:
>
> > Pelo jeito, o que podemos fazer no Firewall, é bloquear o forward das
> > portas de compartilhamento Windows (tcp/udp 137-139 e 445), que vai
> impedir
> > o ataque vindo da WAN em direção a LAN (caso os IPs da LAN sejam
> públicos).
> > Estou correto???
> >
> >
> Acho que todos deveriam ter essa regra, qualquer conexao com destino na
> 445/TCP já deve resolver. Se quiser incluir 137, 139/TCP, ok.
>
>
> Em redes que possuem NAT de certa forma isso já esta com um certa
> cobertura.
> >
> > Eu acho que o risco maior em uma rede( e o que deve mais acontecer), é
> uma
> > maquina infectada atacando as outras maquina em um mesma rede de difusão,
> > onde estas, estão interligadas muitas das vezes, por switchs que não
> > possuem filtros bloqueando estas portas.
> >
> > Qual é opinião dos senhores sobre meu raciocínio?
> >
> >
> é exatamente o que está acontecendo...quem está infectado sai "procurando"
> outras vitimas....igual walking dead.... ;-)
>
>
>
>
> > [ ]'s
> >
> > Em 12 de maio de 2017 17:12, Leandro <leandro at spfbl.net> escreveu:
> >
> > > Menos mal. Agora basta nos concentrarmos no firewall e na atualização
> do
> > > Windows. Valeu!
> > >
> > > Leandro
> > > SPFBL.net
> > >
> > > Em 12 de maio de 2017 17:01, Rubens Kuhl <rubensk at gmail.com> escreveu:
> > >
> > > > 2017-05-12 21:56 GMT+02:00 Leandro <leandro at spfbl.net>:
> > > >
> > > > > Paulo. Já tem informações sobre os vetores deste ransoware? Sabe se
> > > está
> > > > > sendo transmitido por e-mail?
> > > > >
> > > >
> > > > Pelo que disseram, não. Estaria usando SMB (não sei se 139, 445 ou
> > > ambos).
> > > > https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
> > > >
> > > >
> > > > Rubens
> > > > __
> > > > masoch-l list
> > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > >
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> >
> >
> >
> > --
> > Felipe Oliveira
> >
> > Analista de rede
> > CREA-MG: MG-176646/D
> > Linux user #499007
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
>
>
>
> --
>
> -----BEGIN PGP 2048-BIT RSA FINGERPRINT-----
>
> 3C:B8:8F:AE:14:93:C9:56:28:F8:27:5E:B2:C1:A2:9B:28:6D:06:0F
>
> -----END PGP 2048-BIT RSA FINGERPRINT-----
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>


More information about the masoch-l mailing list