MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[Standula]

Zdravím, taky se mi zablokoval jeden router s veřejkou a pozdravem ve firewalu. Prohlídl jsem i okolní a ve 2. SXT jsem našel ve files soubor:


backup.jpg
datum je včerejší. Nejsem si vědom, že bych tam něco podnikal. Všude byla 6.42.1. Na WAN portu 8291 klid. mpcz, 1.jun.2018

je nejaka sance, ze by se to dalo svest na prunik se znalosti hesla? Tj bud nejake slabe heslo nebo se jednak o zarizeni, ktere do nedavna bezelo se napadnutelnou verzi ROSu?

Co se podívat do netflows jaký provoz šel na tu IP?

[mpcz]

to Standula: to jsem udělal jako první. Nic. Bohužel, nevím, jestli to chrlení na port Winboxu 8291 je trvalé nebo si třeba vytváří pauzičky z důvodu maskování této činnosti a už se nesnaží infikovat další stroje. Dále nevím, co to je za "mód", když už ten dobrák RB zamkne. Ping na zařízení funguje normálně, provoz také není omezen, takže tuto eventuální činnost může provádět delší dobu bez povšimnutí. (Dokud někdo neudělá pokus o přihlášení).
No a teď ta důležitá věc: co s tím? Je možné, že útočník po nějaké době RB zase odemkne, kdosi tu psal, že se do něj nakonec dostal. Na to bych se ale moc nespoléhal. Tento RB je docela dobře přístupný, není problém hodit reset. Jenomže: je to dostačující? Někdo tu psal o dvou part., což by mohlo umožnit přežít reset, jenomže - umíme tuto variantu nějak spolehlivě detekovat? Ostatně ta detekce "čistého" stroje by se velice hodila. Ještě by bylo zajímavé podívat se, proč MKT vytvořil sám od sebe ten backup a hlavně, co v něm je. Je někde dešifrátor těch backupů?
Bohužel výrobce nic. Umí to někdo? Sice je to jen na základu dojmologie, ale pevně věřím, že to nemůže být zas tak velký problém. Vždyť i ta skrytá část i když není vidět, musí zabírat nějaké místo. Kde jsou ti odborníci na Linux? A kolega K3NY se svými cvičenými opicemi? Děkuji, mpcz, 1.jun.2018

[mpcz]

Zdravím, tak se začaly množit stroje s přepsanými DNS záznamy. Na jednom stroji jsem to kontroloval před 5 dny a bylo to OK, nejméně měsíc tam je 6.42.1 a změna hesla.
Druhá věc: má už někdo info o nějakém indikátoru virové 2. partition? Jestli tam je vytvořena i po HW resetu. Popř. jistotu, že stačí upgrade na poslední verzi ROS. Na jednom stroji jsem provedl HW reset a následně upgrade na 6.42.3 a prošel všechno nastavení. Nic jsem neviděl zvláštního, ale to samozřejmě neznamená, že to tam není. Nedá se to poznat ani z volného prostoru v paměti? Dík, mpcz, 06.06.2018

[K3NY]

to Standula: to jsem udělal jako první. Nic. Bohužel, nevím, jestli to chrlení na port Winboxu 8291 je trvalé nebo si třeba vytváří pauzičky z důvodu maskování této činnosti a už se nesnaží infikovat další stroje. Dále nevím, co to je za "mód", když už ten dobrák RB zamkne. Ping na zařízení funguje normálně, provoz také není omezen, takže tuto eventuální činnost může provádět delší dobu bez povšimnutí. (Dokud někdo neudělá pokus o přihlášení).
No a teď ta důležitá věc: co s tím? Je možné, že útočník po nějaké době RB zase odemkne, kdosi tu psal, že se do něj nakonec dostal. Na to bych se ale moc nespoléhal. Tento RB je docela dobře přístupný, není problém hodit reset. Jenomže: je to dostačující? Někdo tu psal o dvou part., což by mohlo umožnit přežít reset, jenomže - umíme tuto variantu nějak spolehlivě detekovat? Ostatně ta detekce "čistého" stroje by se velice hodila. Ještě by bylo zajímavé podívat se, proč MKT vytvořil sám od sebe ten backup a hlavně, co v něm je. Je někde dešifrátor těch backupů?
Bohužel výrobce nic. Umí to někdo? Sice je to jen na základu dojmologie, ale pevně věřím, že to nemůže být zas tak velký problém. Vždyť i ta skrytá část i když není vidět, musí zabírat nějaké místo. Kde jsou ti odborníci na Linux? A kolega K3NY se svými cvičenými opicemi? Děkuji, mpcz, 1.jun.2018

no tak jestli neumis prevest souvor .backup na .rsc tak to mas dost blby (doporucuji zacit zde https://www.i4wifi.cz/Skoleni/MikroTik- ... -cast.html) a vycist heslo z backup jde taky (https://www.mikrotikpasswordrecovery.net/)

[honzam]

Nic jsem neviděl zvláštního, ale to samozřejmě neznamená, že to tam není. Nedá se to poznat ani z volného prostoru v paměti? Dík, mpcz, 06.06.2018

Jedinné co mě napadá upgradovat na 6.43rc
What's new in 6.43rc23
* ) supout - added "partitions" section to supout file;

a pak přes supout čtečku která je volně dostupná se podívat jestli tam opravdu nějaká skrytá partition není

[mpcz]

Děkuji,
to K3NY, školení za pár tisíc, ojeté pneumatiky, benzín, celý den v horku, abych se dozvěděl to, co mi kolega poradí pár větami, to se mi moc nezamlouvá. Také webové "dešifrátory" nemám moc v oblibě, je to někdy dost riskantní. Bohužel umím anglicky pouze "guten tag!", takže nevím, co to vlastně dešifruje, vidím pouze něco o heslu a mě šlo o celý configurační soubor.
to Honzam: to vypadá nadějně, RC bych tam nerad dával, čistě statistika: všechny bloklé stroje měly RC-éčko. Ale na to odhalení 2. partition je to OK, jen ten postup by chtělo trošku ozřejmit, zkusil to již někdo úspěšně?
Díky, mpcz, 6.6.2018

[K3NY]

Děkuji,
to K3NY, školení za pár tisíc, ojeté pneumatiky, benzín, celý den v horku, abych se dozvěděl to, co mi kolega poradí pár větami, to se mi moc nezamlouvá. Také webové "dešifrátory" nemám moc v oblibě, je to někdy dost riskantní. Bohužel umím anglicky pouze "guten tag!", takže nevím, co to vlastně dešifruje, vidím pouze něco o heslu a mě šlo o celý configurační soubor.
to Honzam: to vypadá nadějně, RC bych tam nerad dával, čistě statistika: všechny bloklé stroje měly RC-éčko. Ale na to odhalení 2. partition je to OK, jen ten postup by chtělo trošku ozřejmit, zkusil to již někdo úspěšně?
Díky, mpcz, 6.6.2018

na github je (urcite tam byval, jestli tam jeste je presne nevim) i zdrojak muzes si ho zkusit stahnout

[Dalibor Toman]

na github je (urcite tam byval, jestli tam jeste je presne nevim) i zdrojak muzes si ho zkusit stahnout[/quote]

https://github.com/BigNerd95/RouterOS-Backup-Tools ?

btw k cemu je dobre misto /export compact pouzivat /system backup?

[mpcz]

Mějte prosím slitování s těmi méně chápavými. Úplně jsem se ztratil v té smršti informací. Zkusím zopakovat:
30.5. se objevil ve files soubor jb_20900_25468.backup. V té době tam nikdo určitě nebyl, to bych věděl. Cca o dva dny později byl RB zavirovaný. Soubor jsem si zezálohoval. Chtěl jsem vědět, co v něm je. Otázka zněla, zda existuje dekodér toho backupu do otevřené řeči, že by se z toho dalo (možná) usoudit na původce / záměr zdroje. Samozřejmě je možné, že soubor vytvořil sám SXT bez špatného úmyslu a je to tedy běžná činnost.
Další věc je dekodér / indikátor 2. partition. Podle odpovědi od Sergeje na té teorii o její existenci něco je. Jde tedy o ten indikátor druhé (skryté) partition a samozřejmě mě hned napadá i odhalovač obsahu, z čehož by možná(?) odborníci mohli vyčíst i záměry útočníka. A to by nebylo pro zefektivnění obrany k zahození. Dnes další dva stroje s přepsanou DNS, naštěstí se jedná stále o tytéž IP, 192.200.110.108 je 192-200-110-108.static.gorillaservers.com, takže je napadení na první pohled jasné. Nejhorší je, že tam v jednom případě byl 6.42.3 a jiné heslo.
Snad jsem to popsal srozumitelně. Děkuji, mpcz, 6.6.18

[j4rek]

Taky uz mi to prestava bavyt porad dns server na hlavni brane aj me to uz stve furt menit heslo a na druhy den zas nejede net

[Dalibor Toman]

pokud mate pripady napadeni, kde je na zarizeni novy (teoreticky opraveny) ROS i po zmene hesla, tak, prosim, sijte do support@mikrotik.com at Vam bud vysvetli, ze je chyba na Vasi strane ( napr.nejake zbytky infekce, kterou upgrade nebyl schopen zlikvidovat - ale i to by se dalo hodit na hlavu Mikrotikum) nebo at presvedci sami sebe, ze je potreba opravit dalsi diru.

U nas v siti se nic takoveho nedej (nebo jsem to dosud nezjistil), takze se nemuzu presvedcit na vlastni oci...

[Dalibor Toman]

Taky uz mi to prestava bavyt porad dns server na hlavni brane aj me to uz stve furt menit heslo a na druhy den zas nejede net

uz bych tam mel davno packet sniffer na vsechny sluzby (winbox, api, ssh, www apod), co jsou na tom boxu aktivni. Pokud by se podarilo zalogovat utok tak bud support MT presvedcis snadno o novem vektoru utoku nebo zjistis, ze jsi neco zanedbal.

[mpcz]

Ano, technicky naprosto správně (jen to umět). Přesto:
Sergej mi psal: nahrát novou verzi, změnit heslo. Stejně se to stalo. Podle mě se má ON starat o všechny varianty a zabudovat ochranu do nové verze. Na to má tým lidí a prakticky neomezené finance, čas a co hlavně - přístup ke zdrojům ROS. Zdá se mi, že nás popasoval na pokusné králíky a co nejhorší, někteří to začínají přijímat. mpcz, 6.6.2018

[honzam]

Někteří to nezažili, takže není co reportovat. Vám kterým se to děje, tak jak zde bylo popsáno snifujte, logujte a vše zkoumejte. Výsledky zkoumání zasílejte na support@mikrotik.com

[whef]

Zatím nic takového opravdu nepozoruji, teď dávám všude nové verze. Jen tak pro jistotu. Starší RB stejně nový sw nezvládnou.