Как стать автором
Обновить

Как мы искали связь между Mēris и Glupteba, а получили контроль над 45 тысячами устройств MikroTik

Время на прочтение 5 мин
Количество просмотров 20K
Всего голосов 53: ↑53 и ↓0 +53
Комментарии 30

Комментарии 30

Микротки всем хороши. Реально железка из серии, настроил и забыл. Кроме обновлений.

мой древний rb750 обновлялся всегда без проблем.

зато у родителей hap lite - лотерея. пару раз обновлялся норм, и 2 раза окирпичвался. 1 раз даже пришлось за 500 км ехать, дабы настроить.

2 раза окирпичвался

А это его болячка, ему не всегда хватает оперативки (32 MB), чтобы скачать и развернуть образ для прошивки; пару раз выпускали прошивки, в которых этот момент забыли учесть и успешно кирпичили лайты. Благо, хоть нетинсталл позволял вернуть железку к жизни.

да, но когда ты за 500 км, то как-то нетинстал мало чем поможет...

Удаленная настройка файрволла к дальней дороге).

Можно купить еще один hAP lite и netinstall'ить через него! :D

Команда /tool fetch mode=https url="https://yandex[.]ru/Cphzp2XC7Q02VExgJtvysup9dHTCN9A0?init" http-method=get

без import делает просто GET запрос, а не выполняет полученные по этому URL инструкции. При этом у запроса будет характерный User-Agent, а значит, для атаки использоваться не может (легко режется).

Добрый день, спасибо за комментарий. Как было написано - этот кусок и есть часть задачи, которую mikrotik забрал с CnC после /system scheduler. Так что да, главная задача - это отправить запрос.

Про User-Agent вы частично правы, но есть еще Socks. Потому мы и написали, что предположили. Технических деталей в публичном пространстве мы не нашли.

Но есть и различия (у нас большую часть занимает Украина). Вероятно, у ботнета Mēris несколько серверов управления и нам доступна только часть устройств.

Вполне объяснимо, дело в том что Яндекс заблокирован в Украине и со стороны провайдеров (как техническая сторона вопроса) наиболее часто встречается блокировка подсетей Яндекса. Поэтому очень может быть, что Mēris из Украины просто не смог достучаться до Яндеса, отсюда и разница в геолокации ботов.

Можно попробовать сравнить геолокации ботов ханипота с недавней атаки на хабр

Большая часть их них была из Бразилии, Индонезии, Индии, Ирака, Украины, Бангладеш, России, Польши, США, Камбоджи, Колумбии и Китая.

Но если страны приведены в порядке убывания по числу запросов, то не вижу у вас России; а ведь должна более-менее мелькать в запросах.

PS: в ботнете еще мелькал Linksys, есть ли заметки по этому поводу?

Добрый день, спасибо за комментарий. В нашей истории Linksys не встречался. Российские адреса попали в группу Other, поэтому визуально их не видно

Если я правильно понял, вся атака начинается с брут форса, а против лома ни у какой железки нет приема, тут админить надо...

Конкурс зануд в другом посте же?
____________
Не обижайтесь, шутка. Вы слишком серьёзно отнеслись к моему комменту. Ничего, кроме забавного совпадения, в виду не имелось.

та не.. это скорей защитная реакция, я лучше пошел проверять что на домашнем зоопарке крутится и какие задачи в планировщике, и пароли на всякий случай поменять... на ключи

Надо брать их под управление и либо выключать либо обновлять

НЛО прилетело и опубликовало эту надпись здесь
Выключение не поможет, его включат без задней мысли. Обновить в тихом режиме и вредоносные задачи с планировщика убрать. При этом ряд действий заранее нужно делать со специфичной подготовкой, не все готовы рисковать. Безопасней статью на хабр написать, чем прибить чей-то ботнет.

Тогда по IP все имена, по именам сайт, на сайте все email и слать на них ссылку об этой дырке

Возможно, стоит разослать абьюзы провайдерам, чтобы они этих клиентов отключили.

Во, это реально круто

Уже третья или четвертая статья на Хабре по поводу этого ботнета - хэши бинарников никто так и не запостил.

Наверное потому, что бинарники на компьютере злоумышленника, однако ссылки на код модулей в статье присутствуют. А на микротике просто скрипты исполняются.

Ссылок не вижу. Вижу картинку с хэшами. Вы предлагаете своим коллегам по индустрии перепечатывать хэши с картинки?

Давайте разбираться. Какие бинарники вы хотите увидеть? Которые Микротики взламывают или которые на микротиках запускаются?

По поводу ссылок да, я ошибся, в статье по ссылке нет исходников, а только разбор алгоритмов.

Хэши любых бинарников связанных с этим ботнетом

- Что делает разработчик для исправления данной проблемы?

- Что должны делать сотрудники правоохранительных органов, когда видят атаки мирового масштаба?

В США ФБР таким образом обновила все уязвимые Exchange серверы, не дожидаясь, когда владельцы сами это сделают.

ФБР - силовое ведомство, в то время как RT Solar таковым не является. Вы сравниваете несравнимое.

С чего вы решили, что я сравниваю Солар и ФБР? ))) Вопрос сотрудникам правоохранительных органов ) Вроде там в вопросе это черным по белому написано? ;-) В статье я прочитал, что Солар отправил всю информацию в НКЦКИ. То есть действовать теперь должны в ФСБ. Ну и наверно в МВД эта информация тоже как-то попадает..

Про ФБР очень хорошая была новость. ФСБ может сделать также для Микротик в нашей стране https://www.kommersant.ru/doc/4772046

О! А потом в реклеме провайдера которому принудительно железку обновили: "Вопросы Вашей безопасности курируют лучшие сотрудники ФБР и ФСБ!" :-)

Вот возможно поэтому наши силовые и не полезут принудительно в отличие от ФБР, потому что будет много недовольных. Но по сути это вопрос глобальной безопасности и если не они, то кто-то типа Солара должен принудительно закрывать подобные дыры, потому что такое количество устройств с разных сегментов экономики можно очень хорошо использовать в своих целях. Ну опять же это имхо.

Вопрос сотрудникам правоохранительных органов

Так вы тогда и отправьте запрос непосредственно в правоохранительные органы.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.