Комментарии 30
Микротки всем хороши. Реально железка из серии, настроил и забыл. Кроме обновлений.
мой древний rb750 обновлялся всегда без проблем.
зато у родителей hap lite - лотерея. пару раз обновлялся норм, и 2 раза окирпичвался. 1 раз даже пришлось за 500 км ехать, дабы настроить.
Команда /tool fetch mode=https url="https://yandex[.]ru/Cphzp2XC7Q02VExgJtvysup9dHTCN9A0?init" http-method=get
без import делает просто GET запрос, а не выполняет полученные по этому URL инструкции. При этом у запроса будет характерный User-Agent, а значит, для атаки использоваться не может (легко режется).
Добрый день, спасибо за комментарий. Как было написано - этот кусок и есть часть задачи, которую mikrotik забрал с CnC после /system scheduler. Так что да, главная задача - это отправить запрос.
Про User-Agent вы частично правы, но есть еще Socks. Потому мы и написали, что предположили. Технических деталей в публичном пространстве мы не нашли.
Но есть и различия (у нас большую часть занимает Украина). Вероятно, у ботнета Mēris несколько серверов управления и нам доступна только часть устройств.
Вполне объяснимо, дело в том что Яндекс заблокирован в Украине и со стороны провайдеров (как техническая сторона вопроса) наиболее часто встречается блокировка подсетей Яндекса. Поэтому очень может быть, что Mēris из Украины просто не смог достучаться до Яндеса, отсюда и разница в геолокации ботов.
Можно попробовать сравнить геолокации ботов ханипота с недавней атаки на хабр
Большая часть их них была из Бразилии, Индонезии, Индии, Ирака, Украины, Бангладеш, России, Польши, США, Камбоджи, Колумбии и Китая.
Но если страны приведены в порядке убывания по числу запросов, то не вижу у вас России; а ведь должна более-менее мелькать в запросах.
PS: в ботнете еще мелькал Linksys, есть ли заметки по этому поводу?
Если я правильно понял, вся атака начинается с брут форса, а против лома ни у какой железки нет приема, тут админить надо...
____________
Не обижайтесь, шутка. Вы слишком серьёзно отнеслись к моему комменту. Ничего, кроме забавного совпадения, в виду не имелось.
Надо брать их под управление и либо выключать либо обновлять
Уже третья или четвертая статья на Хабре по поводу этого ботнета - хэши бинарников никто так и не запостил.
Наверное потому, что бинарники на компьютере злоумышленника, однако ссылки на код модулей в статье присутствуют. А на микротике просто скрипты исполняются.
Ссылок не вижу. Вижу картинку с хэшами. Вы предлагаете своим коллегам по индустрии перепечатывать хэши с картинки?
- Что делает разработчик для исправления данной проблемы?
- Что должны делать сотрудники правоохранительных органов, когда видят атаки мирового масштаба?
В США ФБР таким образом обновила все уязвимые Exchange серверы, не дожидаясь, когда владельцы сами это сделают.
ФБР - силовое ведомство, в то время как RT Solar таковым не является. Вы сравниваете несравнимое.
С чего вы решили, что я сравниваю Солар и ФБР? ))) Вопрос сотрудникам правоохранительных органов ) Вроде там в вопросе это черным по белому написано? ;-) В статье я прочитал, что Солар отправил всю информацию в НКЦКИ. То есть действовать теперь должны в ФСБ. Ну и наверно в МВД эта информация тоже как-то попадает..
Про ФБР очень хорошая была новость. ФСБ может сделать также для Микротик в нашей стране https://www.kommersant.ru/doc/4772046
О! А потом в реклеме провайдера которому принудительно железку обновили: "Вопросы Вашей безопасности курируют лучшие сотрудники ФБР и ФСБ!" :-)
Вот возможно поэтому наши силовые и не полезут принудительно в отличие от ФБР, потому что будет много недовольных. Но по сути это вопрос глобальной безопасности и если не они, то кто-то типа Солара должен принудительно закрывать подобные дыры, потому что такое количество устройств с разных сегментов экономики можно очень хорошо использовать в своих целях. Ну опять же это имхо.
Вопрос сотрудникам правоохранительных органов
Так вы тогда и отправьте запрос непосредственно в правоохранительные органы.
Как мы искали связь между Mēris и Glupteba, а получили контроль над 45 тысячами устройств MikroTik