Necurs Malware

[cassiodsn]

Boa tarde a todos, espero que estejam bem...

Recebi uma mensagem da Cert sobre esse malware na rede, mais não seu como posso bloquear isso ou neutralizar essa ameaça, fiz uma regra aqui no mikrotik mais não deu certo, alguém pode dar uma dica de como posso bloquear?


Segue a mensagem;

Caro responsável,

Recebemos através do CERT-Bund um conjunto de informações que descrevem
IPs de seu sistema autônomo possivelmente infectados por malwares.

Algumas das famílias de malwares listadas aqui incluem funções para
roubo de identidade (coleta de nomes de usuários e senhas) e/ou fraudes
relacionadas a Internet banking.

Os campos "dst_ip" (endereço IP de destino), "dst_port" (porta de
destino) e "dst_host" (hostname do destino), quando existirem,
referem-se à conexões acionadas pelo malware para um servidor de
Comando-e-Controle.

Todos os timestamps estão em UTC (GMT+0).

======================================================================
Formato: "asn","ip","timestamp","malware","src_port","dst_ip","dst_port","dst_host","proto"

"asn","x.x.x.227","2019-06-26 22:21:12","necurs","18950","188.68.43.28","80","","tcp"

[darkih]

Recebi a mesma mensagem aqui no provedor e em mais 2 clientes que atendo por consultoria.
Fiz uma regra básica para dropar o forward para esse IP e essa porta em específico.

/ip firewall filter
add chain=forward dst-address=188.68.43.28 protocol=tcp dst-port=80

[cassiodsn]

Bom dia, tudo bem?

Obrigado por responder ao tópico meu parceiro, ouvir dizer que esse problema decorre das Tv box iptv e ainda da onu da china... o que acha?

[fmcjunior]

Bom dia, assim que ativei a segundo operadora como rata secundaria com bgp redando comecei a sobre uma enchurrada de tentativas de conexões por telnet e ssh na minha rede, uns 3 dias comecei a receber mensagens do cert.br, minha solução foi informar os clientes para rodar antvirus em seus pcs e celulares pois eles não tinham IPtv, depois criei regras no firewall bloquando por 7 dias todo o trafego para as portas 22, 21,23, vindo de fora pra dentro do router de borda, já tem mais de 20 mil ips bloqueados. um erro comum que cometemos assim que tiramos ASN e lidar com ela como lidávamos com o ip da operadora, operadora tem equipe de firewal, veja não é um cara é uma equipe 24/7 de olho em tudo que rola de ataque no mundo, e a gente deixa sem firewall nenhum.

[darkih]

Não cheguei a ver nada sobre essa vulnerabilidade ainda.
Conforme os emails do cert.br chegam, vou bloqueando e colocando pra logar, assim consigo descobrir quem é o cliente e aviso que o mesmo está infectado. Após um tempo sem tentativas de acesso, removo a regra de bloqueio.

Já sobre o firewall, é uma boa prática ir efetuando os bloqueios, mesmo que você não possua ASN, pois isso irá evitar que esse tráfego saia da sua rede.