Recentemente recebi o e-mail abaixo da Cert.BR – Obviamente editei o endereço IP da mensagem por questões de segurança:
Caro responsavel,
CERT.br
A Microsoft fez parte de uma forca tarefa para desativar a botnet
Sirefef/ZeroAccess. Os logs abaixo mostram uma lista de enderecos IPs
de sua rede que participavam desta botnet e que parecem estar ainda
infectados. Essa e’ a unica informacao que nos foi provida.
Os logs fornecidos pela Microsoft estao formatados em colunas
separadas por tabulacoes seguindo o formato (horario em GMT-8:00):
————————————————————————
Coluna 1: data e hora da primeira vez que o endereco IP se conectou a botnet
Coluna 2: data e hora da ultima vez que o endereco IP se conectou a botnet
Coluna 3: numero total de conexoes vistas
Coluna 4: endereco IP
Coluna 5: pais em que a maquina esta’ localizada
Coluna 6: empresa responsavel pela maquina
Coluna 7: nome de dominio da maquina
Coluna 8: ASN
Coluna 9: porta origem da maquina
Coluna 10: metodo HTTP inicializado pelo malware
Coluna 11: requisicao HTTP inicializada pelo malware
Coluna 12: dominio requisitado pelo malware
Coluna 13: useragent
Coluna 14: classificacao da botnet Sirefef/ZeroAccess
Coluna 15: indicacao da conexao: N – via NAT; SN – maquina diretamente conectada
————————————————————————
FirstSeen LastSeen Count IP Country Company Domain ASN SrcPt Action Request Host UserAgent Node NodeID Threat
2014-07-16 12:19:47.000 2014-07-16 16:44:56.000 99 xxx.xxx.xxx.xxx BR 28142 49156 N 09:84:AE:AC B68-2-32
————————————————————————
Caso o IP presente nos logs fornecidos seja de seu NAT ou Firewall,
solicitamos que realizem uma correlacao entre os logs fornecidos e os
de seu NAT ou Firewall para que a maquina infectada seja encontrada.
Pedimos sua colaboracao na investigacao deste incidente e desinfeccao
das maquinas sob sua responsabilidade. Se voce nao for a pessoa
correta para corrigir o problema por favor envie essa mensagem para
alguem que possa faze-lo.
Mais detalhes sobre o porque do envio desta mensagem, quem e’ o
CERT.br e como resolver este problema seguem abaixo.
Cordialmente,
http://www.cert.br/
Como o equipamento em questão tratava-se de Mikrotik, adicionei algumas regras ao Firewall para contornar o problema e deixo-as logo abaixo para que possam ser de serventia para quem mais precisar, basta copiar e colá-las em um novo terminal na interface do Mikrotik.
/ip firewall filter
add action=drop chain=forward comment="Botnet Sirefef/ZeroAccess" dst-port=21810,22292,34354,34355 protocol=tcp ;
add action=drop chain=forward comment="Botnet Sirefef/ZeroAccess" dst-port=21810,22292,34354,34355 protocol=udp ;
add action=drop chain=forward comment="Botnet Sirefef/ZeroAccess" dst-port=16460-16480 protocol=tcp ;
add action=drop chain=forward comment="Botnet Sirefef/ZeroAccess" dst-port=16460-16480 protocol=udp ;