Firmware OIW RTL8186 com Botnet Distribuindo SPAM

[rafaelhol]

A mais de três dias que tenho notado uma ação muito estranha das CPE 2415 ( OIW-2415CPEG ) da oiw.
Percebi que todas as CPE 2415 estavão se comunicando com um IP que esta localizado na china isso sem a maquina do cliente estar ligada.
Imagine vocês mais de 70 CPE´s se comunicando ao mesmo tempo com um unico IP..Locura....
Não pensei duas vezes, fui lá no firewall e bloquei o bendido IP que estava a utilizar o protocolo UDP sob a porta 1981.
Monitorando com a ajuda de um Sniffer percebi que a ação do botnet vai além de enviar SPAM.. A diretiva instalada na firmware fica a coletando em tempo real varias informações como sites acessados, palavras digitadas, e-mail´s e a enviar para este ip de forma oculta para o servidor de botnet depois ficar mandando SPAM etc..
IP:58.250.87.117
POrta:1981
Fazendo uma pesquisa mais aprofundada percebi que são varias as pessoas reclamando do mesmo no mundo..
Agora a extrategia pelo jeito mudou.
Já que não se pode infectar uma maquina com um Botnet, cavalo de troia, virus... Por causa que a maioria tem mecanismos de defesa como antivirus, firewall etc.
Vamos então infectar os modens e firmwares etc.
Minha segunda atitude foi informar a OIW sobre o ocorrido, agora estou esperando alguma atitude por parte deles.
Segundo a OIW .. Eles sabem do ocorrido mas esse ip não faz mal algum e não prejudica em nada a Rede...rsrsrs
Disseram tambem que a firmware foi programada na china. rsrsrs
Dai eu rastreando o IP e Pimba kkk descobri que o mesmo esta localizado na China...
Os chineses são espertos mesmo...
Vamos ver no que vai dar agora..
Conversando com um amigo engenheiro, ele me aconselhou a informar a policia federal mas acho desnecessario.
Espero que a OIW nos traga uma solução para este problema.

[radar02123]

Bom dia, vc deve informar ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança. Para entrar em contato com o CERT.br envie um email para: <[email protected]>

[oiwsuporte]

Gostaríamos de informar que estamos analisando sua solicitação e em breve estaremos retornando com uma resposta para este caso, porém gostaríamos de salientar que não se trata de um vírus.

[Pirigoso]

compra o wappro do fabiano que é feito aqui e nao tem disso não!

[demattos]

Mas isto e um caso muito serio, firmware infectado enviando SPAN teria que informar os orgao competentes, para resolver antes que o estrago seja maior, imagina so quantos Ap pelo mundo rodando o firmware deles em um ataque em massa.

[rafaelhol]

Pois é meu caro Demattos e colegas... Agora eu estou esperando uma posição da OIW para a correção do problema.
Eu estou tão preocupado quanto vocês e todos que tem esse modelo de CPE, desde de que notei isso na rede da empresa em que trabalho procurei informar a OIW sobre o assunto.
Aqui na empresa sempre estou observando os firewall. Não passa um "ai" nem um "ui" sem que tomemos conhecimento.
Muitos provedores devem estar com o mesmo problema e nem sabem do que se trata. trazendo lentidão para rede etc.
E quanto ao william dizer que não se tratar propriamente de um virus eu concordo com ele. Um virus é um virus.. Um cliente botnet são outros quinhentos..
Um cliente botnet fica a coletar informações e a enviar de forma criptografada para o server botnet que depois faz a classificação das informações, só isso ao meu ver já é uma grande invasão de privacidade tanto da empresa quanto dos clientes que possuem essa CPE.
Isso não é muito serio.. é seríssimo..
Pelo que estou notando estrategia dos camaradas pelo visto mudou quanto a disseminação de pragas. Pois a maioria dos computadores tem mecanismos de defesa como antivirus etc..E como não se pode passar um antivirus, spyware, adware etc no firmware..rsrs
Agora eles estão usando as firmwares como zumbis para ficar coletando informações e enviando para a Botnet que fica na china.
Para quem não sabe as firmwares para radios com chipset 8186 funciona com base no sistema linux.. portanto qualquer modificação no kernel do mesmo pode tornar uma bomba o firmware.
Botnet para quem não sabe: é uma coleção de agentes de software ou bots que executam autonomamente e automaticamente diretivas de sistemas. O termo é geralmente associado com o uso de software malicioso.
Vale lembrar que varias botnets foram fechadas pelo mundo nesses ultimos anos.
Para corrigir o problema eu poderia retirar o firmware da OIW e colocar qualquer um de minha preferencia como AProuter etc..O problema é que até nisso os chineses pensaram. todo o lote de antenas que temos aqui esta bloqueado para qualquer outro firmware só aceitando o firmware da OIW.
Outro problema é que todas as 70 antenas estão instaladas já nos clientes portanto seria inviável a atualização das mesmas a não ser que seja o mesmo firmware com a correção, por que o mesmo tem a opção de preservar as configurações da CPE apos atualização!
Estou no aguardo da correção do erro.
A firmware que estou usando é ultima disponibilizada no site do fabricante 1.2.11
Como a firmware foi fabricada na china, nada impede de algum empregado espertinho e gênio de programação tenha feito tal proeza a fim de prejudicar a nossa estimada OIW.
Quero deixar bem claro que não abri este tópico com a intenção de prejudicar os negocios da OIW mas sim para todos ficarmos alertas com as firmware que temos atualmente em nossos radios e cpe.
Acredito que a OIW seja tão vitima quanto a empresa em que trabalho em ter adquirido essas CPE com firmware problematico. Pois as CPEs são fabricadas na china juntamente com a firmware segundo informações da propria OIW.
Quanto a Hardware custo, beneficio a CPE é otima.
Cabe agora a OIW solucionar esse problema da firmware da melhor forma possivel.
Vamos ficar no aguardo de uma nova versão atualizada da firmware com a correção desse problema das CPE no site do fabricante.
Qualquer novidade pelo que notei o fabricante se pronunciara aqui nesse tópico, por enquanto estou bloqueando todo e qualquer envio ou recebimento de informações no firewall para a china.

[1929]

Rafael, detalhe melhor para nós como é feito a detecção deste tipo de tráfego.
Tenho muitas destas CPEs e queria ver se ocorre isso aqiui.
Carlos

[rafaelhol]

Rafael, detalhe melhor para nós como é feito a detecção deste tipo de tráfego.
Tenho muitas destas CPEs e queria ver se ocorre isso aqiui.
Carlos

Estimado Carlos e colegas do under...
Para detectar a ação da botnet cliente em firmware voce precisa ligar a CPE ,rádio ou qualquer outro equipamento que funcione com sistema embarcado e deixar ele em modo ocioso sem navegação feita pelo cliente.
Qualquer comunicação da CPE ou rádio feita sem o conhecimento do usuario ou admisnistrador da rede com algum endereço remoto caracteriza a existência de uma botnet client.
Após isso vá na função TORCH no mikrotik e adicione IP da CPE e clike em START. Fique de olho bem atento na tela, pois a requisição para o endereço ip remoto dura apenas 0,5 segundos com uma rajada de varios pacotes. Essas rajadas acontecem de 10 em 10 segundos no meu caso mas pode variar de acordo com as diretivas adicionadas no sistema de kernel.
Também é possível a instalação de um sniffer com capacidade de filtro por IP, apos a instalação do sniffer adicione um IP da rede que esteja com a CPE ociosa "sem uso pelo cliente".

Outra coisa interessante é você ir nas Queue do MK, vá em reset counter para zerar o contador de trafego e depois notei que todas as cpe se comunicavam ao mesmo tempo gerando os mesmos pacotes com a mesma quantidade de bytes.
Qualquer dúvida estamos ai..
A partir de agora estamos em alerta maximo.
Jamais pensei que os caras fossem fazer sacanagem até em firmware.
Nós que somos técnicos e administradores de rede precisamos ficar atentos a isso, afim de manter sempre em perfeito estado o funcionamento da rede e qualidade dos serviços prestados.
Aguardo uma posição da OIW e uma solução.

[sergio]

Eu até hoje não entendi porque o pessoal (fabricantes, usuários) não apoia os firmwares abertos como o OpenWRT. Algo feito e mantido na comunidade dificilmente teria uma sacanagem destas.

Para detectar a ação da botnet cliente em firmware voce precisa ligar a CPE ou rádio e deixar ele em modo ocioso sem navegação feita pelo cliente. Após isso vá na função TORCH no mikrotik e adicione IP da CPE e clike em START após isso fique de olho bem atento na tela, pois a requisição para o endereço ip remoto dura apenas 0,5 segundos com uma rajada de varios pacotes. Essas rajadas acontecem de 10 em 10 segundos.
Outra coisa interessante é você ir nas Queue do MK, vá em reset counter para zerar o contador de trafego e depois note que todas as cpe se comunicava ao mesmo tempo gerando os mesmos pacotes com a mesma quantidade de bytes.
Qualquer dúvida estamos ai..
A partir de agora estamos em alerta maximo.
Jamais pensei que os caras fossem fazer sacanagem até em firmware.
Nós que somos técnicos e administradores de rede precisamos ficar atentos a isso, afim de manter sempre em perfeito estado o funcionamento da rede e qualidade dos serviços prestados.
Aguardo uma posição da OIW e uma solução.

[rafaelhol]

Eu até hoje não entendi porque o pessoal (fabricantes, usuários) não apoia os firmwares abertos como o OpenWRT. Algo feito e mantido na comunidade dificilmente teria uma sacanagem destas.

Sinceramente estimado Sérgio.. Acredito que seja falta de conhecimento de programação da maioria mesmo. Pois vontade todos temos..
O único que teve coragem de fazer um firmware livre realmente foi o pessoal da krazer que nesse momento merece nossos parabéns pela iniciativa.
Se alguém souber me diga ao menos um código fonte ou SDK aberto que realmente funcione ao se modificar e compilar. Eu só conheço um que é o da UBNT mas que só é compatível com a linha de fabricação própria deles.
Aqui no under-linux já vi varias iniciativas de firmware free mas nada vingou.. ou se vingou ninguém sabe.
Quanto a firmware da CPE oiw é muito bom quesito funções, só falta algumas coisas como localização de Bssid mostrando redes ocultas como o aprouter 7.1 e 7.3 faz.
Outra função que falta é o SSH.
E uma função no firewall que permite só o ip cadastrado navegar na internet como no aprouter 7.3. Pedi para o pessoal da oiw fazer essas melhorias mas nada fizeram até agora..Agora com esse outro problema veremos se eles darão o devido suporte ao qual prometem ao firmware nativo do equipamento.sendo que as mesmas cpe são bloqueadas para qualquer outra firmware que não seja a própria nativa do equipamento.

[sergio]

Os usuários, quando me referi, era apenas o uso mesmo, ou seja, instalar onde fosse possível, relatar bugs à comunidade, sugerir mudanças, essas coisas.

Agora os fabricantes, são froid, deveriam apoiar projetos livres.

Esse firmware, utilizado nas CPEs que mencionou, não é baseado em Linux? Se sim, são obrigados a disponibilizar os fontes. Desta forma ficaria fácil recompilar e usá-lo em nenhuma sacanagem. Se não disponibilizarem e for realmente baseado em código sob GPL, GPL Violations neles.

Sinceramente estimado Sérgio.. Acredito que seja falta de conhecimento de programação da maioria mesmo. Pois vontade todos temos..
O único que teve coragem de fazer um firmware livre realmente foi o pessoal da krazer que nesse momento merece nossos parabéns pela iniciativa.
Se alguém souber me diga ao menos um código fonte ou SDK aberto que realmente funcione ao se modificar e compilar. Eu só conheço um que é o da UBNT mas que só é compatível com a linha de fabricação própria deles.
Aqui no under-linux já vi varias iniciativas de firmware free mas nada vingou.. ou se vingou ninguém sabe.
Quanto a firmware da CPE oiw é muito bom quesito funções, só falta algumas coisas como localização de Bssid mostrando redes ocultas como o aprouter 7.1 e 7.3 faz.
Outra função que falta é o SSH.
E uma função no firewall que permite só o ip cadastrado navegar na internet como no aprouter 7.3. Pedi para o pessoal da oiw fazer essas melhorias mas nada fizeram até agora..Agora com esse outro problema veremos se eles darão o devido suporte ao qual prometem ao firmware nativo do equipamento.sendo que as mesmas cpe são bloqueadas para qualquer outra firmware que não seja a própria nativa do equipamento.

[farias]

Muito preocupante esse assunto!!

[Pirigoso]

fui betatester no fabiano até o wappro 4.1 muita coisa foi colocada la aos meus pedidos pq nao experimenta este firmware?

[netosdr]

Problema muito sério, acho que cabe sim a comunicação a policia federal. Coisa boa não é, isso com certeza.

Quanto a troca do firmware, nem via TFTP consegue enviar outro firmware pra ela?

[rafaelhol]

fui betatester no fabiano até o wappro 4.1 muita coisa foi colocada la aos meus pedidos pq nao experimenta este firmware?

Seria interessante a utilização de outra firmware com certeza. Mas como eu tinha dito anteriormente as cpe da oiw vieram bloqueadas para utilização de firmware de terceiros. Segundo o William foi um lote que veio com problemas da china...Muito estranho isso.. mas foi o que o pessoal da oiw me passou. Não se pode utilizar outra firmware a nao ser a propria da OIW fornecida pelo chineses e disponível atualmente sob versão 1.2.1.1 no Site. Talvez seja uma forma que os chineses encontraram de forçar ficarmos com o firmware com o botnet client deles.

[rafaelhol]

Problema muito sério, acho que cabe sim a comunicação a policia federal. Coisa boa não é, isso com certeza.

Quanto a troca do firmware, nem via TFTP consegue enviar outro firmware pra ela?

Nem pelo web browse e nem via TFTP consegui fazer funcionar outra firmware.
O problema pelo que vi deve estar na compilação do kernel dessa firmware, com um código diretiva que faz acontecer esse tipo de comunicação indevida. Parece ser um sistema que fica a escutar a internet a espera de um comando que dispara o envio de informações para um server que pelo rastreio de ip fica na china.
Talvez estejamos a fazer uma descoberta tão grande que mal ainda sabemos as dimensões do feito para o controle de pragas virtuais pela internet. Pois o foco até hoje foi o controle nos computadores e não nos equipamentos de sistema embarcado como o linux, aonde se é difícil a descoberta e remoção.
Pois hoje em dia tudo é fabricado na china. Estamos ficando a desejar em tudo e estamos nos tornando dependentes de um pais que não se pode confiar. Estamos alimentando um dragão. Espero que quando esse dragão acordar não seja tarde de mais para todos rever certas coisas.
Agora que não seja coisa boa eu tenho certeza que não é meu estimado Netosdr..Pois qualquer requisição ou transmissão de dados que não seja efetuada pela maquina do cliente constitui comunicação indevida e uma violação de privacidade, no caso aqui a requisição esta partindo da própria firmware de forma automática e constante em intervalos de tempo variável. Nenhuma CPE, Rádio ou modem ou qualquer outro equipamento, dispositivo poderia fazer isso em hipótese alguma ainda mais com um endereço estrangeiro. Isso serve de exemplo para ficarmos mais atentos quanto ao que estamos a instalar em nossos clientes é preciso mais cautela e mais cuidado e monitoramento constante das comunicações na rede.
Sabe qual é o meu medo e o da empresa em que trabalho? a de sermos chamados atenção mais tarde por causa da propagação de informações violando a privacidade de nossos clientes.
Mas se isso acontecer alguém tera que se responsabilizar e responder por isso.
Minha parte como administrador de rede eu já fiz, informei primeiramente a direção da empresa ao qual trabalho e tambem o fabricante que sempre me atendeu muito bem pelo telefone pelo suporte.
Até gostaria de aproveitar a oportunidade e pedir desculpas ao vilmar e o william da oiw pelas inúmeras ligações com que venho realizando, enchendo a paciência deles cobrando uma solução para o problema..mas segundo informações em breve estará disponível uma solução desse problema.
Só espero que dessa vez eles disponibilizem o código fonte do firmware para todos terem acesso e saber o que estão instalando em seus rádios, ja que o firmware é baseado em sistema linux GNU RTL8186. Só assim teremos transparência e mais segurança em nossas redes.
Para quem quiser ler mais afim de se iterar sobre botnet existe na internet um grande volume de informações eis aqui um bom conteúdo do que ainda poderá acontecer no futuro ou já esta acontecendo.
Link: Botnet entenda o que é e como funciona!

se o conteudo lhe foi de proveito não se esqueça de agradecer...

[1929]

Rafael, fiz o teste com um cliente com OIW. Me certifiquei que ele não estava navegando.

VEja as telas. Sempre vai para o mesmo IP.

Seria isso que voce detectou?

[rafaelhol]

Rafael, fiz o teste com um cliente com OIW. Me certifiquei que ele não estava navegando.

Veja as telas. Sempre vai para o mesmo IP.

Seria isso que voce detectou?

Exatamente isso meu caro Moderador 1929, você acertou na mosca..
A segunda e terceira screen demonstra claramente a requisição para o DNS e logo após o retorno da resolução do endereço de destino IP e porta de comunicação do Server Botnet que de acordo com rastreio IP fica na china.
As vezes ela transmite dados mas na maioria da vezes ela fica como se estivesse escutando alguma informação do servidor remoto, pedindo alguma instrução ao endereço remoto...como a espera de algum comando.. Muito estranho..
Conversando com um amigo engenheiro ele me disse que ..
Pelos sintomas tudo leva a acreditar que seja um cliente botnet mesmo instalado no kernel da firmware. Ele mesmo já pegou casos semelhantes em modens com sistema embarcado fabricados na china..
Aqui na minha rede eu tenho 70 Antenas da oiw fazendo isso em intervalos variaveis de 10 em 10 segundos... isso mesmo com os clientes navegando ou não ela continua fazendo a mesma coisa e acaba passando despercebido em alguns momentos.
Mas pela parte da noite é bem clara a ação, pois a maioria dos usuários deixam as cpe ligadas e os computadores desligados..foi ai que notei e confirmei a irregularidade... Fiquei me perguntando como poderia um computador desligado requisitar para o DNS um endereço de IP da china.. Foi ai que lembrei que as firmware é em linux. E se é linux não deixam de ser como computador... e não deu outra Bingo era mesmo a CPE que estava requisitando e tomando processamento do coitado do processador RTL8186. Por si próprio o chipset já é ruim e ainda os chineses fazendo ele de escravo com código malicioso piorou..
Agora imaginas quantos aparelhos estão operando nesse momento com esse codigo client botnet???. Conseguiu ter uma noção!
Talvez medidas precisão ser adotadas para bloquear urgentemente esse endereço de ip.
Uma dica seria bloquear...
Se a maioria não tem certeza. mesmo assim adicione a regra em seus firewall dando um drop no IP: 58.250.87.177 se haver contagem na regra pode ter certeza que algo de estranho tambem esta acontecendo em sua rede.
Aqui na rede da empresa em que trabalho dei um drop em toda rede 58.250.87.0/24 e até agora já foi mais de 90 Mbytes de informações bloqueadas. Acha pouco..? Isso para quem conhece bem um firewall como o do mikrotik sabe que é muito...
E pelo visto me parece que não são só as CPE da OIW que estão com esse problema..Os router "rádios" que usa essa mesma firmware tambem.
Vi relatos no google que as cpe da globaltronic 5821AI tambem estava tendo essa mesma anormalidade, pelo visto a coisa esta ficando mais seria do que imaginava mesmo. Aconselho a todos por precaução fazer uma varredura total em busca de mais informações que possa nos ajudar a proteger melhor nossas redes.
Tudo tem seu preço.. E comprar da china já esta se tornando caro demais se for dessa forma...
Só espero que a industria nacional acorde antes que seja tarde demais..Se não ficaremos dependentes das mãos alheias.
Gostaria de contar com o apoio de todos os presados do under para descobrir mais a respeito sobre as informações trafegadas sob esse endereço de ip. Precisamos fazer um monitoramento em cima desse endereço, reunir o maior numero de informações possivel.
Tudo que consegui foi algumas informações com a ajuda de sniffer mas a que me parece esta criptografada, é preciso descobrir o algoritmo chave mas não tenho muito conhecimento aprofundado nessa areá, sei somente o básico se tratando de criptografia.
O codigo malicioso pode estar a monitorar tudo que é trafegado através da Nat ou Bridge do sistema da CPE, coletando informações como e-mail, senhas, numero de cartões de credito etc se tratando de um client botnet tudo é possivel. E como a maioria sabe botnet não são facilmente detectáveis por antivirus.. ainda mais quando se esta instalada no kernel de um firmware embarcado numa placa separada do PC fora do sistema de proteção anti-virus que fica dentro de uma memoria flash a 10 metros de altura.

IP: 58.250.87.117

[sergio]

Caro Rafael, acredito que seja a hora de reportar o acontecido no CGI.br, pois isto é muito sério.

Sem querer ser conspiracionista, mas isso poderia ser enquadrado como espionagem. Primeira coisa, se for uma botnet, provavelmente toda a comunicação provavelmente é encriptada, e se estão monitorando requisições do cliente, terão acesso a tudo que o mesmo faz através de sua conexão.

Se pude fazer um Packet Sniffer e me enviar o arquivo eu posso tentar encontrar mais algum "dado interessante" destas conexões.

[1929]

Realmente Rafael, não é só com OIW. Outras procedencias também fazem isso. Não pesquisei mas na próxima madrugada vou fazer isso.

Eu algum tempo atrás levantei a questão no forum de porque alguns clientes simplesmente não caia a conexão, já que o idle time out estava configurado para 10minutos.

Tem vários clientes que desligam o PC sem desligar o rádio. E entre estes tem aqueles que amanhecem conectados sem terem utilizado a internet.
Na época alguém me disse que isso era normal. Mas como seria normal se para uns derruba nos 10minutos e para outros não?
Cheguei a desativar o acesso a servidor NTP para que não ficasse atualizando o horário, mas continuam sem derrubar a conexão.

Daí parei de me preocupar com isso.
Agora vejo uma explicação plausível.

Editando: neste cliente do print , já teve Bullet e Nano2. Agora OIW e sempre foi assim, ele nunca cai a conexão nos 10minutos.
Então é de pensar se os Ubiquiti também não fazer isso.