[MASOCH-L] Ransoware - PENINSULA IBÉRICA - 12/05
Paulo Henrique
paulo.rddck at bsd.com.br
Mon May 15 04:52:21 BRT 2017
Aplica a atualização que é mais seguro.
Em 14 de maio de 2017 23:23, Thiago <braid.skywalker at gmail.com> escreveu:
> Na estação windows é bloquear inbound 135-139 e 445 tcp?
> E outbound? Melhor bloquear tbm?
>
> 2017-05-12 17:59 GMT-03:00 Tiago Flôres <tiago at balensiefer.com.br>:
>
> > Em 12 de maio de 2017 17:54, Felipe Oliveira <slvfelipe at gmail.com>
> > escreveu:
> >
> > > Pelo jeito, o que podemos fazer no Firewall, é bloquear o forward das
> > > portas de compartilhamento Windows (tcp/udp 137-139 e 445), que vai
> > impedir
> > > o ataque vindo da WAN em direção a LAN (caso os IPs da LAN sejam
> > públicos).
> > > Estou correto???
> > >
> > >
> > Acho que todos deveriam ter essa regra, qualquer conexao com destino na
> > 445/TCP já deve resolver. Se quiser incluir 137, 139/TCP, ok.
> >
> >
> > Em redes que possuem NAT de certa forma isso já esta com um certa
> > cobertura.
> > >
> > > Eu acho que o risco maior em uma rede( e o que deve mais acontecer), é
> > uma
> > > maquina infectada atacando as outras maquina em um mesma rede de
> difusão,
> > > onde estas, estão interligadas muitas das vezes, por switchs que não
> > > possuem filtros bloqueando estas portas.
> > >
> > > Qual é opinião dos senhores sobre meu raciocínio?
> > >
> > >
> > é exatamente o que está acontecendo...quem está infectado sai
> "procurando"
> > outras vitimas....igual walking dead.... ;-)
> >
> >
> >
> >
> > > [ ]'s
> > >
> > > Em 12 de maio de 2017 17:12, Leandro <leandro at spfbl.net> escreveu:
> > >
> > > > Menos mal. Agora basta nos concentrarmos no firewall e na atualização
> > do
> > > > Windows. Valeu!
> > > >
> > > > Leandro
> > > > SPFBL.net
> > > >
> > > > Em 12 de maio de 2017 17:01, Rubens Kuhl <rubensk at gmail.com>
> escreveu:
> > > >
> > > > > 2017-05-12 21:56 GMT+02:00 Leandro <leandro at spfbl.net>:
> > > > >
> > > > > > Paulo. Já tem informações sobre os vetores deste ransoware? Sabe
> se
> > > > está
> > > > > > sendo transmitido por e-mail?
> > > > > >
> > > > >
> > > > > Pelo que disseram, não. Estaria usando SMB (não sei se 139, 445 ou
> > > > ambos).
> > > > > https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
> > > > >
> > > > >
> > > > > Rubens
> > > > > __
> > > > > masoch-l list
> > > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > > >
> > > > __
> > > > masoch-l list
> > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > >
> > >
> > >
> > >
> > > --
> > > Felipe Oliveira
> > >
> > > Analista de rede
> > > CREA-MG: MG-176646/D
> > > Linux user #499007
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> >
> >
> >
> > --
> >
> > -----BEGIN PGP 2048-BIT RSA FINGERPRINT-----
> >
> > 3C:B8:8F:AE:14:93:C9:56:28:F8:27:5E:B2:C1:A2:9B:28:6D:06:0F
> >
> > -----END PGP 2048-BIT RSA FINGERPRINT-----
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
--
:UNI><BSD:
Paulo Henrique.
Fone: (21) 37089388.
More information about the masoch-l
mailing list