Mikrotik RouterOS Mēris botnet

ekrajnak · 2021-09-10T21:07:59+00:00

Ahojte, ak ste ešte nepostrehli dianie okolo relatívne nového MK botnetu, odporúčam prečítať: https://forum.mikrotik.com/viewtopic.php?f=21&t=178417 h...

jchudoba

Naecken Klient by si sám měl rozhodnout, zda je ochoten podstoupit riziko a já mu to nemusím doporučit, popř. ho mohu varovat.

Kolega @suk ovšem v příspěvku https://telekomunikace.cz/d/30658-whalebone-bylo-%F0%9F%93%A2-webinar-dns-ochrana-site/45 navrhoval tuto možnost volby klientovi prostě a jednoduše bez ptaní odepřít. A ještě se nestyděl publikovat podrobný návod jak na to, címž mohl nějakého slabšího ISP skutečně přesvědčit k tomu aby takovou šílenost realizoval.

suk

Zpátky k tématu...

Zaznamenali jste někdo podobné chování, jak popisuji výše?

Pokud ano, měli jste 53ku zablokovanou do světa? Tam, kde jsme mohli blíže prozkoumat, se ukazuje, že nejsou jen nezabezpečené zařízení, ale 53 je otevřená ven do internetu. Případně UDP 53 zakázané, ale zapomenuté TCP 53.

Budeme rádi za případné postřehy od vás, klidně do soukromé zprávy.

ekrajnak

suk zariadenia máme skontrolované, SOCKS všade zavretý, takže nemám skúsenosti. Qrator Labs v článku tvrdia že šlo predovšetkým o útoky využívajúce HTTP pipe-lining, takže pochybujem že útočník najprv tipoval doménové názvy. Tie grafy budú znázorňovať skôr niečo iné.

Stálo by za skúšku postaviť honeypot a čakať, kto a ako začne otvorený SOCKS zneužívať. Alebo osloviť niekoho z projektu Turris, či už tieto dáta nemajú.

Čo som ale našiel z archívnych konfigov infikovaných MK, sú zaujímavé 2 veci:

SOCKS port bol zmenený na náhodný port (našiel som 6980, 8068, 5678, 2421, ...)
v niektorých infikovaných MK bol taktiež pridaný access list s povolenými IP, ktoré môžu SOCKS využívať

/ip socks access add src-address=77.238.240.0/24 add src-address=178.239.168.0/24 add src-address=77.238.228.0/24 add src-address=94.243.168.0/24 add src-address=213.33.214.0/24 add src-address=31.172.128.45 add src-address=31.172.128.25 add src-address=10.0.0.0/8 add src-address=185.137.233.251 add src-address=5.9.163.16/29 add src-address=176.9.65.8 add src-address=82.202.248.5 add src-address=95.213.193.133 add src-address=136.243.238.211 add src-address=178.238.114.6 add src-address=46.148.232.205 add src-address=138.201.170.176/29 add src-address=178.63.52.200/29 add src-address=136.243.90.80/29 add src-address=136.243.21.232/29 add src-address=95.213.221.0/24 add src-address=159.255.24.0/24 add src-address=31.184.210.0/24 add src-address=188.187.119.0/24 add src-address=188.233.1.0/24 add src-address=188.233.5.0/24 add src-address=188.233.13.0/24 add src-address=188.232.101.0/24 add src-address=188.232.105.0/24 add src-address=188.232.109.0/24 add src-address=176.212.165.0/24 add src-address=176.212.169.0/24 add src-address=176.212.173.0/24 add src-address=176.213.161.0/24 add src-address=176.213.165.0/24 add src-address=176.213.169.0/24 add src-address=5.3.113.0/24 add src-address=5.3.117.0/24 add src-address=5.3.121.0/24 add src-address=5.3.145.0/24 add src-address=5.3.149.0/24 add src-address=5.3.153.0/24 add src-address=5.167.9.0/24 add src-address=5.167.13.0/24 add src-address=5.167.17.0/24 add src-address=94.180.1.0/24 add src-address=94.180.5.0/24 add src-address=94.180.9.0/24 add src-address=217.119.22.83 add src-address=192.243.53.0/24 add src-address=176.9.65.8 add src-address=135.181.15.102 add src-address=198.18.0.0/15 add src-address=139.99.94.160/29 add action=deny src-address=0.0.0.0/0

Trebalo by sa pozrieť na tieto rozsahy, či skutočne prichádzali útoky od nich alebo len existuje viacero variánt infekcií.

ekrajnak

suk Mikrotik na svojom blogu zverejnil zoznam získaných domén používaných pre riadenie botnetu.
https://blog.mikrotik.com/security/meris-botnet.html

A dnes ma prekvapil aj slovenský SKCERT. Rozposiela upozornenia na IPčky zapojené do botnetu. Našli jednu aj u nás v prenajatom IP poole. Pritom checker na https://radar.qrator.net/ ju hlási ako NOT LISTED.

myghael

ekrajnak Zajímavé, tyhle rozsahy jsou dost často "profláknuté". U nás bych toto nenachytal, ani v roce 2018 nám nic "nehackli".

midnight_man

Našiel som v sieti 2 takto hacknuté staré MK 🙂 urobilo si to VPNky, za systémové ID doplnilo skratku krajiny 😃 (SK) ....urobilo nejake skripty...sranda 🙂

tulo

midnight_man ako si ich odhalil? Dnes mi pisal dodavatel ze z jednej mojej ip bol zaznamenany utok. Lenze za tou adresou je ich cca 150.
Zatial som dal dropnut vsetko co chce ist na domeny co su vyssie uvedene a dal som to logovat. Zatial nic.

ekrajnak

https://therecord.media/russian-security-firm-sinkholes-part-of-the-dangerous-meris-ddos-botnet/
https://twitter.com/campuscodi/status/1440322183885033473

suk

ekrajnak Díky za zdroj. Mám radost, že většinu z nich už několik měsíců blokujeme. Několik blokováno není a kolegové je prověří a pokud to bude možné, přidají k blokaci.

UPDATE: zbývající domény také přidány.

ludvik

Teď jestli to už "někdo" nezlikvidoval komplet. Na jednom MK jsem to našel, stahoval z zancetom.com. A nefunguje to.

midnight_man

náhoda....ale na tých MK boli omylom otvorené všetky services...tak sa to tam nejak dostalo...

Inak management je možný len zvnútra siete...

« Předchozí stránka