Jump to content
  • 0

VPNFilter атака над MikroTik


111111

Question

  • Administrator

Както сигурно сте прочели по новините VPNFilter атаката придобива права за управление на рутери от доста марки включае и на Микротик.

Изключително атакува ADMIN акаунта и прави невъзможно ползването на администрирането на рутера.
Кoйтo имa втoри aкayнт или всe oщe нямa дa си нaпрaви, чe тoвa e шaнс дa си възвърнe прaвaтa.

Атаката се осъществява по SSH в моя случай от ирландски адреси бяха се накачулили 5 наведнъж.

https://blog.talosintelligence.com/2018/05/VPNFilter.html

https://blog.talosintelligence.com/2018/06/vpnfilter-update.html

Сложността на админ паролата явно не е фактор.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Recommended Posts

  • 0

При мен в един от микротиците имах два акаунта но не помогна.

Бяха сменени всички пароли.

Помогна само качване на backup.

CCR го нулирах но Х86 ще го дам на колега да се бори с разбиването.

Интересно е че с юзернеймите от хакнатия CCR са са пробвали по telnet и в други мои устройства но без успех.

Явно сменят паролата но не могат да видят оригиналната.

Edited by px1
Link to comment
Share on other sites

  • 0

Както винаги има и такива които са от тъмната страна на ИТ технологиите. Дано целта на е да компроментират продуктите на Микротик т.е. да ги пратят в графа "ненадеждни" и по такъв начин да сринат продажбите и фирмата. Защото с последните няколко месеца много станаха такива "дупки" в системата на Микротик. А какво ли ще стане с правителствените МИкротици ? или поне там където се ползват. Надявам се в най скоро време екипа на Микротик да изкара ъпдейт.

Link to comment
Share on other sites

  • 0

https://forum.mikrotik.com/viewtopic.php?p=663923

Къв админ, къв SSH, кви пет лева? :Д
Ти прочете ли двете статии които си постнал, в тях няма нищо споменато нито за АДМИН юзър акаунт, нито за SSH.

Това е откъс от първата статия която си постнал:

At the time of this publication, we do not have definitive proof on how the threat actor is exploiting the affected devices. However, all of the affected makes/models that we have uncovered had well-known, public vulnerabilities.

Преведено:
Към момента на публикацията, нямаме доказателства как точно малуеъра екплоатира афектираните устройства. Но, всички засегнати устройства от Производител/Модел които сме открили са имали добре познати публични уязвимости.

В УРЛ-а който е към микротик форума пише, че рутерите на Микротик са уязвими поради http server уязвимостта която поправиха във версия 6.38.5, така че ъпгрейдвайте ако сте с по-стара версия.

Ако нещо бъркам, ще се радвам да бъда поправен.

Поздрави!

Edited by WeAreFinite
Правописна грешка
Link to comment
Share on other sites

  • 0
  • Administrator

Да уточня че рутер който хакнаха беше с версия 6,41 забранени всички услуги освен winbox и SSH

има и скрипт за блокиране на SSH проби за влизане 


 но за няколко минути се е събрала бая адресна група
като една ирланска VPS хостинг услуга се беше набила с 5 адреса в рутера 

паролата на админа 12 символа никакъв шанс да е в лист с пароли

 

Та дали са пет четири или шест лева не знам но явно е ефективно.

Папката "nova" от онея листи е папка от микротик структурата.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Всичкото е много хубаво (сарказъм), ама тва няма нищо общо с VPNfilter, приеми факта, че си жертва на бруут форс (но като гледам фаъруалл правилото което си имплементирал малко е невъзможно, но ако атакуващият разполага с голяма ботнет мрежа не виждам какъв е проблема да те атакува от устройства с различни адреси 3 опита са си 3 опита на устройство от бот нет мрежата)  или на MITM (Man In The Middle), по какъв начин точно е станало може само да гадаем, ааа също така само да подметна, че може и да имаш кий логър, знам ли какво точно е?
Но не може просто така да обвиняваш пробива поради някаква слабост в софтуера (която вече е поправена), не че ги защитавам, кой знае колко още ще открият в бъдещето.

И това, че тая директория я има в тея листи не означава че си хакнат чрез този малуеър през SSH.

https://news.sophos.com/en-us/2018/05/24/vpnfilter-botnet-a-sophoslabs-analysis/

Тук също така е описано, че малуеъра може да се разпространи от заразен компютър в мрежата.
В този случай трябват солидни доказателства, че е точно от този малуеър, ако искаш можеш да се свържеш с Микротик съпорта и да им пратиш един supout файл, хората ще проявят разбиране.

Поздрави!

Link to comment
Share on other sites

  • 0
  • Administrator

С 12 символа парола брутфорса ще бутне мрежата на доставчика и неговия преди да успее.
Паролата е генерирана така че логика в нея няма.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Не си прав, ето ти бруут форс в реално време :Д
Вярно не е от бот нет мрежа, ама и да беше нищо нямаше да събори.
В случая на тва чудо има вързани и два телефона в момента, а скрийншота е направен във възможно най-натовареният момент.

И пак ти казвам MITM, кий логър и също така не изключвай бруут форс варианта, защото речниците не са единственият начин по който може да се бруут форсва.
Вместо само да спорим напразно, се свържи със съпорта и питай, ако ли не, не смятам че можеш да извадиш достатъчно убедителни доказателства, че точно с този малуеър са те компрометирали.

П.п. За интересуващите се бруут форса беше изпълнен с хидра и с рандъм генерирани стрингове доста по-дълги от 12 символа.

Поздрави!

Screenshot2.png

Edited by WeAreFinite
Правописна грешка
Link to comment
Share on other sites

  • 0

Дрънкаш пълни глупости вземи прочети малко преди да пишеш глупости на които сам да си вярваш :)

Link to comment
Share on other sites

  • 0

Ще е хубаво да се аргументираш, защото фразата "дрънкаш пълни глупости" и нападката която следва след това не са достатъчно добър аргумент с който можеш да обориш това което съм казал.
(Пък и няма да се сърдя ако ми препоръчаш хубаво четиво.)

Я сега да задам един въпрос за домашно, колко голям като размер е един рандъм генериран стринг от 120 символа?
Айде да речем, че и юзърнейма е 120 символа, колко прави това общо?

Поздрави!

Link to comment
Share on other sites

  • 0
  • Administrator

Точно 1 пакет който е с размер до 1480 бита без фрагментиране,

при 120 символа ще е с доста по малък размер под 300 бита.

и за да тестваш може да използваш 
/tools flood-ping 

за да разбереш разликата.

Четиво няма да ти споделяме по тематиката, защото е елементарно да си намериш автономно.
 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Правилен отговор, ся ми кажи тва как ще ти задръсти мрежата дори и от бот нет мрежа :Д (особено след като имаш правило за бруут форс и всеки като направи 3 опита влиза в бан листа)
Отклоняваш се от темата, дръпни си какъвто искаш бруут форсъс и тествай.
Явно няма да се разберем.

И да вметна отново, не ти писах да се заяждам а да ти кажа че VPNFilter няма нищо общо с това как си компрометиран, ако имаш доказателства сочещи към обратното, ще бъда щастлив ако бъда поправен.
Във УРЛ-а (който е към официалният форум на Микротик) няколко поста по-нагоре, потребител с юзърнейм normis (работещ в Микротик) казва от какво се възползва даденият малуеър когато атакува Микротик устройства, ако беше прочел всичките 3 страници, щеше да откриеш, че даже имаше един който е с горе-долу същият случай като твоят и е с версия 6.41 и въпросният normis му каза, че са наблюдавали подобен трафик и е бруут форс със сигурност.

Просто всяваш ненужна паника според мен, за това реших да драсна нещо.

Приятен ден!

Edited by WeAreFinite
Допълнение
Link to comment
Share on other sites

  • 0

120 символа са 120 байта, което пък е 960 бита. Като прибавим сорс, дестинейшън портове и адреси и другата служебна информация в пакета, то това тамън ще се побере в един стандартен пакет. 

Link to comment
Share on other sites

  • 0

Добре е момци, защо трябва се дракате, а не споделите просто практиките които имате.

Идеята е, че всеки който ползва миркотик го ползва с определена цел, но някой от вас които са повече(администратори или ги използва за по мащабни цели.) биха могли да споделят как да се предпазим ние начинаещите.

Идеята ми е не са са Копи/Пасте от някъде, а и да се опише подробно какво прави дадено правил за да сме наясно.

 

Link to comment
Share on other sites

  • 0
преди 27 минути, ExIt написа:

Добре е момци, защо трябва се дракате, а не споделите просто практиките които имате.

Идеята е, че всеки който ползва миркотик го ползва с определена цел, но някой от вас които са повече(администратори или ги използва за по мащабни цели.) биха могли да споделят как да се предпазим ние начинаещите.

Идеята ми е не са са Копи/Пасте от някъде, а и да се опише подробно какво прави дадено правил за да сме наясно.

 

Много просто. Изключване на вграденият уебсървър и дроп на всички сервизни портове от към WAN-а и мениджмънт само през локалните адреси и през VPN.

Link to comment
Share on other sites

  • 0

Абсолютно за по горното, спиране всички портове сервизни и управление само през VPN и спиране на WEB Сървара.УПравление само през SSH,WINBOX като препоръчвам и смяна на портовете на тези две услуги.Съответно листа и правило в защитната стена от кои точно IP да е разрешен достапа като достапа ще е само за администраторите.

 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.