re: Firmware OIW RTL8186 com Botnet Distribuindo SPAM
Citação:
Postado originalmente por
netosdr
Problema muito sério, acho que cabe sim a comunicação a policia federal. Coisa boa não é, isso com certeza.
Quanto a troca do firmware, nem via TFTP consegue enviar outro firmware pra ela?
Nem pelo web browse e nem via TFTP consegui fazer funcionar outra firmware.
O problema pelo que vi deve estar na compilação do kernel dessa firmware, com um código diretiva que faz acontecer esse tipo de comunicação indevida. Parece ser um sistema que fica a escutar a internet a espera de um comando que dispara o envio de informações para um server que pelo rastreio de ip fica na china.
Talvez estejamos a fazer uma descoberta tão grande que mal ainda sabemos as dimensões do feito para o controle de pragas virtuais pela internet. Pois o foco até hoje foi o controle nos computadores e não nos equipamentos de sistema embarcado como o linux, aonde se é difícil a descoberta e remoção.
Pois hoje em dia tudo é fabricado na china. Estamos ficando a desejar em tudo e estamos nos tornando dependentes de um pais que não se pode confiar. Estamos alimentando um dragão. Espero que quando esse dragão acordar não seja tarde de mais para todos rever certas coisas.
Agora que não seja coisa boa eu tenho certeza que não é meu estimado Netosdr..Pois qualquer requisição ou transmissão de dados que não seja efetuada pela maquina do cliente constitui comunicação indevida e uma violação de privacidade, no caso aqui a requisição esta partindo da própria firmware de forma automática e constante em intervalos de tempo variável. Nenhuma CPE, Rádio ou modem ou qualquer outro equipamento, dispositivo poderia fazer isso em hipótese alguma ainda mais com um endereço estrangeiro. Isso serve de exemplo para ficarmos mais atentos quanto ao que estamos a instalar em nossos clientes é preciso mais cautela e mais cuidado e monitoramento constante das comunicações na rede.
Sabe qual é o meu medo e o da empresa em que trabalho? a de sermos chamados atenção mais tarde por causa da propagação de informações violando a privacidade de nossos clientes.
Mas se isso acontecer alguém tera que se responsabilizar e responder por isso.
Minha parte como administrador de rede eu já fiz, informei primeiramente a direção da empresa ao qual trabalho e tambem o fabricante que sempre me atendeu muito bem pelo telefone pelo suporte.
Até gostaria de aproveitar a oportunidade e pedir desculpas ao vilmar e o william da oiw pelas inúmeras ligações com que venho realizando, enchendo a paciência deles cobrando uma solução para o problema..mas segundo informações em breve estará disponível uma solução desse problema.
Só espero que dessa vez eles disponibilizem o código fonte do firmware para todos terem acesso e saber o que estão instalando em seus rádios, ja que o firmware é baseado em sistema linux GNU RTL8186. Só assim teremos transparência e mais segurança em nossas redes.
Para quem quiser ler mais afim de se iterar sobre botnet existe na internet um grande volume de informações eis aqui um bom conteúdo do que ainda poderá acontecer no futuro ou já esta acontecendo.
Link: Botnet entenda o que é e como funciona!
se o conteudo lhe foi de proveito não se esqueça de agradecer...
3 Anexo(s)
re: Firmware OIW RTL8186 com Botnet Distribuindo SPAM
Rafael, fiz o teste com um cliente com OIW. Me certifiquei que ele não estava navegando.
VEja as telas. Sempre vai para o mesmo IP.
Seria isso que voce detectou?
re: Firmware OIW RTL8186 com Botnet Distribuindo SPAM
Citação:
Postado originalmente por
1929
Rafael, fiz o teste com um cliente com OIW. Me certifiquei que ele não estava navegando.
Veja as telas. Sempre vai para o mesmo IP.
Seria isso que voce detectou?
Exatamente isso meu caro Moderador 1929, você acertou na mosca..
A segunda e terceira screen demonstra claramente a requisição para o DNS e logo após o retorno da resolução do endereço de destino IP e porta de comunicação do Server Botnet que de acordo com rastreio IP fica na china.
As vezes ela transmite dados mas na maioria da vezes ela fica como se estivesse escutando alguma informação do servidor remoto, pedindo alguma instrução ao endereço remoto...como a espera de algum comando.. Muito estranho..
Conversando com um amigo engenheiro ele me disse que ..
Pelos sintomas tudo leva a acreditar que seja um cliente botnet mesmo instalado no kernel da firmware. Ele mesmo já pegou casos semelhantes em modens com sistema embarcado fabricados na china..
Aqui na minha rede eu tenho 70 Antenas da oiw fazendo isso em intervalos variaveis de 10 em 10 segundos... isso mesmo com os clientes navegando ou não ela continua fazendo a mesma coisa e acaba passando despercebido em alguns momentos.
Mas pela parte da noite é bem clara a ação, pois a maioria dos usuários deixam as cpe ligadas e os computadores desligados..foi ai que notei e confirmei a irregularidade... Fiquei me perguntando como poderia um computador desligado requisitar para o DNS um endereço de IP da china.. Foi ai que lembrei que as firmware é em linux. E se é linux não deixam de ser como computador... e não deu outra Bingo era mesmo a CPE que estava requisitando e tomando processamento do coitado do processador RTL8186. Por si próprio o chipset já é ruim e ainda os chineses fazendo ele de escravo com código malicioso piorou..
Agora imaginas quantos aparelhos estão operando nesse momento com esse codigo client botnet???. Conseguiu ter uma noção!
Talvez medidas precisão ser adotadas para bloquear urgentemente esse endereço de ip.
Uma dica seria bloquear...
Se a maioria não tem certeza. mesmo assim adicione a regra em seus firewall dando um drop no IP: 58.250.87.177 se haver contagem na regra pode ter certeza que algo de estranho tambem esta acontecendo em sua rede.
Aqui na rede da empresa em que trabalho dei um drop em toda rede 58.250.87.0/24 e até agora já foi mais de 90 Mbytes de informações bloqueadas. Acha pouco..? Isso para quem conhece bem um firewall como o do mikrotik sabe que é muito...
E pelo visto me parece que não são só as CPE da OIW que estão com esse problema..Os router "rádios" que usa essa mesma firmware tambem.
Vi relatos no google que as cpe da globaltronic 5821AI tambem estava tendo essa mesma anormalidade, pelo visto a coisa esta ficando mais seria do que imaginava mesmo. Aconselho a todos por precaução fazer uma varredura total em busca de mais informações que possa nos ajudar a proteger melhor nossas redes.
Tudo tem seu preço.. E comprar da china já esta se tornando caro demais se for dessa forma...
Só espero que a industria nacional acorde antes que seja tarde demais..Se não ficaremos dependentes das mãos alheias.
Gostaria de contar com o apoio de todos os presados do under para descobrir mais a respeito sobre as informações trafegadas sob esse endereço de ip. Precisamos fazer um monitoramento em cima desse endereço, reunir o maior numero de informações possivel.
Tudo que consegui foi algumas informações com a ajuda de sniffer mas a que me parece esta criptografada, é preciso descobrir o algoritmo chave mas não tenho muito conhecimento aprofundado nessa areá, sei somente o básico se tratando de criptografia.
O codigo malicioso pode estar a monitorar tudo que é trafegado através da Nat ou Bridge do sistema da CPE, coletando informações como e-mail, senhas, numero de cartões de credito etc se tratando de um client botnet tudo é possivel. E como a maioria sabe botnet não são facilmente detectáveis por antivirus.. ainda mais quando se esta instalada no kernel de um firmware embarcado numa placa separada do PC fora do sistema de proteção anti-virus que fica dentro de uma memoria flash a 10 metros de altura.
IP: 58.250.87.117
re: Firmware OIW RTL8186 com Botnet Distribuindo SPAM
Caro Rafael, acredito que seja a hora de reportar o acontecido no CGI.br, pois isto é muito sério.
Sem querer ser conspiracionista, mas isso poderia ser enquadrado como espionagem. Primeira coisa, se for uma botnet, provavelmente toda a comunicação provavelmente é encriptada, e se estão monitorando requisições do cliente, terão acesso a tudo que o mesmo faz através de sua conexão.
Se pude fazer um Packet Sniffer e me enviar o arquivo eu posso tentar encontrar mais algum "dado interessante" destas conexões.
re: Firmware OIW RTL8186 com Botnet Distribuindo SPAM
Realmente Rafael, não é só com OIW. Outras procedencias também fazem isso. Não pesquisei mas na próxima madrugada vou fazer isso.
Eu algum tempo atrás levantei a questão no forum de porque alguns clientes simplesmente não caia a conexão, já que o idle time out estava configurado para 10minutos.
Tem vários clientes que desligam o PC sem desligar o rádio. E entre estes tem aqueles que amanhecem conectados sem terem utilizado a internet.
Na época alguém me disse que isso era normal. Mas como seria normal se para uns derruba nos 10minutos e para outros não?
Cheguei a desativar o acesso a servidor NTP para que não ficasse atualizando o horário, mas continuam sem derrubar a conexão.
Daí parei de me preocupar com isso.
Agora vejo uma explicação plausível.
Editando: neste cliente do print , já teve Bullet e Nano2. Agora OIW e sempre foi assim, ele nunca cai a conexão nos 10minutos.
Então é de pensar se os Ubiquiti também não fazer isso.