Mikrotik: Como bloquear botnet Sirefef/ZeroAccess

Recentemente recebi o e-mail abaixo da Cert.BR – Obviamente editei o endereço IP da mensagem por questões de segurança:

Caro responsavel,

A Microsoft fez parte de uma forca tarefa para desativar a botnet Sirefef/ZeroAccess. Os logs abaixo mostram uma lista de enderecos IPs de sua rede que participavam desta botnet e que parecem estar ainda infectados. Essa e’ a unica informacao que nos foi provida.

Os logs fornecidos pela Microsoft estao formatados em colunas separadas por tabulacoes seguindo o formato (horario em GMT-8:00):

———————————————————————— Coluna 1: data e hora da primeira vez que o endereco IP se conectou a botnet Coluna 2: data e hora da ultima vez que o endereco IP se conectou a botnet Coluna 3: numero total de conexoes vistas Coluna 4: endereco IP Coluna 5: pais em que a maquina esta’ localizada Coluna 6: empresa responsavel pela maquina Coluna 7: nome de dominio da maquina Coluna 8: ASN Coluna 9: porta origem da maquina Coluna 10: metodo HTTP inicializado pelo malware Coluna 11: requisicao HTTP inicializada pelo malware Coluna 12: dominio requisitado pelo malware Coluna 13: useragent Coluna 14: classificacao da botnet Sirefef/ZeroAccess Coluna 15: indicacao da conexao: N – via NAT; SN – maquina diretamente conectada ————————————————————————

FirstSeen LastSeen Count IP Country Company Domain ASN SrcPt Action Request Host UserAgent Node NodeID Threat 2014-07-16 12:19:47.000 2014-07-16 16:44:56.000 99 xxx.xxx.xxx.xxx BR 28142 49156 N 09:84:AE:AC B68-2-32 ————————————————————————

Caso o IP presente nos logs fornecidos seja de seu NAT ou Firewall, solicitamos que realizem uma correlacao entre os logs fornecidos e os de seu NAT ou Firewall para que a maquina infectada seja encontrada.

Pedimos sua colaboracao na investigacao deste incidente e desinfeccao das maquinas sob sua responsabilidade. Se voce nao for a pessoa correta para corrigir o problema por favor envie essa mensagem para alguem que possa faze-lo.

Mais detalhes sobre o porque do envio desta mensagem, quem e’ o CERT.br e como resolver este problema seguem abaixo.

Cordialmente, — CERT.br

http://www.cert.br/

Como o equipamento em questão tratava-se de Mikrotik, adicionei algumas regras ao Firewall para contornar o problema e deixo-as logo abaixo para que possam ser de serventia para quem mais precisar, basta copiar e colá-las em um novo terminal na interface do Mikrotik.

/ip firewall filter
add action=drop chain=forward comment="Botnet Sirefef/ZeroAccess" dst-port=21810,22292,34354,34355 protocol=tcp ;
add action=drop chain=forward comment="Botnet Sirefef/ZeroAccess" dst-port=21810,22292,34354,34355 protocol=udp ;
add action=drop chain=forward comment="Botnet Sirefef/ZeroAccess" dst-port=16460-16480 protocol=tcp ;
add action=drop chain=forward comment="Botnet Sirefef/ZeroAccess" dst-port=16460-16480 protocol=udp ;
comments powered by Disqus