Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

[Lisovic]

Почитав трохи форум мікротіка, доповню написане вище

Дирку закрили в версії 6.38.5 Current и 6.37.5 для Bugfix only. Експлойт атакує тільки WWW (80) порт, 8291 використовується тільки для ідентифікації пристрою, тобто якщо веб морда на зовні не торчить то можна спати спокійно.

Крім цього експлойта є ще один більш свіжий, який націлений на SMB, цю дирку закрили тільки в 6.41.3 (Current) для Bugfix оновлень ще нема. Ну і знов таки якщо SMB вимкнутий чи закритий фаєрволом то можна спати спокійно.

Зрозуміти чи заражений пристрій можна по тому чи є вихідні з'єднання по Telnet

[Ukrainec]

2 годин тому, Lisovic сказано:

Почитав трохи форум мікротіка, доповню написане вище

Дирку закрили в версії 6.38.5 Current и 6.37.5 для Bugfix only. Експлойт атакує тільки WWW (80) порт, 8291 використовується тільки для ідентифікації пристрою, тобто якщо веб морда на зовні не торчить то можна спати спокійно.

Крім цього експлойта є ще один більш свіжий, який націлений на SMB, цю дирку закрили тільки в 6.41.3 (Current) для Bugfix оновлень ще нема. Ну і знов таки якщо SMB вимкнутий чи закритий фаєрволом то можна спати спокійно.

Зрозуміти чи заражений пристрій можна по тому чи є вихідні з'єднання по Telnet

Обновився на свою голову до 6.41.3. Роутер постійно ребутиться. Тепер ламаю голову, що з цим робити? 

Ініціалізація одним звуковим сигналом, діод загорається гасне  і все. 

[Lisovic]

@Ukrainec спробуй скинути йому налаштування. через кнопку ресет

Якщо не допоможе спробуй перешити через Netinstall

http://www.technotrade.com.ua/Articles/mikrotik-netinstall-recovery.php

[Ukrainec]

На резет завмирає 0 реакції! Зелений діодик постійно горить при цьому

Якийнетінстал, якщо він навіть до ініціалізації не доходить?

[Lisovic]

6 хвилин тому, Ukrainec сказано:

Якийнетінстал, якщо він навіть до ініціалізації не доходить?

Ініціалізація йому і не треба, в мікротіка є дві прошивки Firmware, і відповідно сама ROS, Netinstall працює з Firmware і якраз рятує при невдалій прошивці.

 

п.с. може бути шо Netinstall непобачить мікротік, тоді варто спробувати версію таку як була в старій прошивці.

[Ukrainec]

ВІн постійно ребутиться. 

в який момент це робити?

[Lisovic]

Отключите питание от устройства MikroTik.

Нажмите и держите нажатой кнопку Reset.

Подайте питание на MikroTik.

Продолжайте держать нажатой кнопку Reset (около 30 секунд), пока устройство не появится в программе Netinstall. После этого можно отпустить кнопку Reset.

[Factory]

On 13.03.2018 at 12:55, MACCEN сказано:

багато ума не треба взломати чужий вайфай, а вже через його компа ломати ще щось, у багатьох файли з паролями лежать відкрито на робочому столі (бо так зручо).

 

Доречі хто хоче стати досвідченим по кібер захисту, можете арендувати собі сервачка за 5 баксів в місяць навісити туди сайтика якогось, створити пару сайтів з легкими пароляи і понаблюдати як вас ломають, проаналізувати логи, ну і так можна атакуючому теж щось цікавеньке відправити "отвєточку" він думає що поламам вас, а на справді ви його ломанули  

 

Так робить більшість спеців з банків

цікаво

[Lisovic]

@Ukrainec є якісь здвиги?

[Ukrainec]

1 година тому, Lisovic сказано:

@Ukrainec є якісь здвиги?

Чуть розумом не з"їхав! Ти "зробив" мій день! 

 

Все ж таки поставив 6.41.3 через нетінстал, але запустити роутер на 6.4х серії прошивок так і не вийшло на старому конфізі. 

+виявилося нетінстал ще та штучка, не на кожному компі працює. Та й на тому що запрацювало, виявляється йому треба зробити ребут після типу його "встановлення".

 

6.4х. справді має певні розбіжності з 6.38 версією. 

 

 

Про вірус хоч правда? можеш завтра дати відповідь

 

 

 

[Lisovic]

3 годин тому, Ukrainec сказано:

Про вірус хоч правда? можеш завтра дати відповідь

Про вірус правда, там в попередніх повідомленнях є посилання на форум мікротіка, там попередження від 28 березня, також вчора на почту прийшов лист від мікротіка з попередженням, хоча раніше ніколи не присилали такого, значить штука серйозна.

 

На рахунок невдалої прошивки, таке, нажаль трапляється зі всіма, я в п'ятницю джуніпера так завалив при прошивці, правда там більш продумано, якщо не зміг загрузитись із основного розділу то після перезавантаження загружається з резервного на старій ОС

 

3 годин тому, Ukrainec сказано:

але запустити роутер на 6.4х серії прошивок так і не вийшло на старому конфізі

Є така штука на мікротіках, про що я і попереджував постом вище, там досить часто буває що новіша прошивка не хоче загружати старий конфіг, або загружає а працює не так як треба. Ми із за таких приколів, відмовились від ідеї переходити на мікротіки, а вирішили брати більш серйозніше обладнання, да таких приколів в рази менше.

[Zheny@]

1 хвилина тому, Lisovic сказано:

вирішили брати більш серйозніше обладнання, да таких приколів в рази менше.

Cisco?

[Lisovic]

Щойно, Zheny@ сказано:

Cisco?

Нє, циско нинче зажрались, дорогі стали, на кожен чих ліцензію хочуть. Хоча зараз майже вся мережа на них, але з ростом трафіка старі 880 вже не справляються, того потроху переводим на їх конкурентів.

[Ukrainec]

що то з приколом по налаштуванню DHCP на новій прошивці? 30хв махався, так і не зміг підв"язати статичну таблицю клієнтської бази.

[Lisovic]

5 хвилин тому, Ukrainec сказано:

що то з приколом по налаштуванню DHCP на новій прошивці? 30хв махався, так і не зміг підв"язати статичну таблицю клієнтської бази.

Тут хз, не стикався із резервуванням на мікротіках.

Ща на свому домашньому протестив, там є прикол, якщо клієнт вже отримав адрес і запис про це є в таблиці а потім добавити статичний адрес, то поки цей запис не видалити то клієнт не отримає статичний.

[Ukrainec]

8 хвилин тому, Lisovic сказано:

Тут хз, не стикався із резервуванням на мікротіках.

Ща на свому домашньому протестив, там є прикол, якщо клієнт вже отримав адрес і запис про це є в таблиці а потім добавити статичний адрес, то поки цей запис не видалити то клієнт не отримає статичний.

Ну це і в старому так... 

Буде час і не св"ято спробую ще раз 6.41.3

[Lisovic]

38 хвилин тому, Ukrainec сказано:

Ну це і в старому так... 

Буде час і не св"ято спробую ще раз 6.41.3

Тут ще може бути глюк, якщо базу копіпастиш через консоль із строї конфи, в мікротіків є бага коли на новому ПО команди зі старої конфи він відпрацьовує некоректно. Я так колись всю мережу в в себе положив, одной командою.

[Lisovic]

Ну шо хлопаки поїхали далі? Хоч і не пєтя, але все одно мало приємного:

 

Попереджаємо про можливу масштабну кібератаку в Україні з використанням ШПЗ VPNFilter.

Шкідливе програмне забезпечення VPNFilter - це багатоступенева модульна платформа, що має універсальні можливості для підтримки інтелектуального збирання та руйнівних операцій з використанням кібер-атак.

Список пристроїв, на яких впливає VPNFilter, включає мережеве обладнання Linksys, MikroTik, NETGEAR та TP-Link, а також пристрої для зберігання даних на базі мережі QNAP (NAS). Пристрої, скомпрометовані VPNFilter, можуть бути вразливими до збору мережевого трафіку (включаючи облікові дані веб-вузла), а також моніторингу протоколів управління та обробки даних (Module SCADA).

VPNFilter може заблокувати пристрій і зробити його непридатним для використання. Через те, що зловмисне програмне забезпечення може спрацьовувати відразу для окремих або декількох пристроїв, VPNFilter може відключити доступ до Інтернету для сотень тисяч користувачів.

Відомі постраждалі пристрої:

Спойлер

LINKSYS DEVICES:

E1200
E2500
WRVS4400N

ВІРТУАЛЬНІ МАРШРУТИЗАТОРИ MIKROTIK ROUTEROS ДЛЯ CLOUD CORE МАРШРУТИЗАТОРІВ:

1016
1036
1072

ПРИСТРОЇ NETGEAR:

DGN2200
R6400
R7000
R8000
WNR1000
WNR2000

ПРИСТРОЇ QNAP:

TS251
TS439 Pro

Інші пристрої QNAP NAS, що працюють на програмному забезпеченні QTS

ПРИСТРОЇ TP-LINK:

R600VPN

Більше за посиланням https://cert.gov.ua/news/37

 

Шо за звір і чим може грозити поки не розбирався, якщо хтось щось знає більше діліться.

 

upd. cisco каже що заражено більше 500000 девайсів в 54 країнах.

Оригінал статті: https://blog.talosintelligence.com/2018/05/VPNFilter.html

[mis05]

Сьогодні якраз річниця подій з назви теми.
Ніхто не чув, чи з’явився алгоритм для розшифровки файлів?

[Zheny@]

9 хвилин тому, mis05 сказано:

Ніхто не чув, чи з’явився алгоритм для розшифровки файлів?

Ні. Бо файли не шифрувалися а псувалися.

Затирався перший байт.

[Coding]

18 годин тому, Zheny@ сказано:

Затирався перший байт.

якщо тільки перший байт, то не велика проблема його підібрати

[Zheny@]

@Coding  суть якраз у псуванні ,а не шифруванні. Мета втрачається.

 

 

[AgentSmith13]

Ну що ж, "страшна кібератака", про яку так активно попереджали всі,Ю не відбулася (навіть серваки під віндою - ОК), з чим усіх адмінів і вітаю!

[Volyniaka]

2 годин тому, AgentSmith13 сказано:

Ну що ж, "страшна кібератака", про яку так активно попереджали всі,Ю не відбулася (навіть серваки під віндою - ОК), з чим усіх адмінів і вітаю!

Москалі прокололись! Сьогодні у всіх держустановах вихідний. Ніхто компів і не вмикав... ))

[Coding]

9 годин тому, Volyniaka сказано:

Москалі прокололись! Сьогодні у всіх держустановах вихідний. Ніхто компів і не вмикав... ))

Минулого року це нам не допомогло...