Notícias recentes sobre cibersegurança, Infoblox Threat Intel descobriu uma rede de bots que comprometeu 13.000 dispositivos MikroTik! A rede de bots explorou vulnerabilidades nas configurações de registos SPF DNS para contornar as defesas de correio eletrónico. Após a exploração, a rede de bots falsificou cerca de 20.000 domínios web para espalhar malware.
Takeaways de chaves
- Um Botnet comprometeu milhares de dispositivos MikroTik para lançar campanhas de malspam.
- A exploração ocorreu em resultado de uma política permissiva de SPF permissivas utilizadas por vários domínios.
- O resultado foi um ataque generalizado de falsificação, com anexos carregados de malware.
- As principais lições aprendidas incluem evitar configurações SPF permissivas, verificar regularmente os registos DNS e utilizar serviços SPF alojados com macros.
Porque é que os Botnets são uma ameaça persistente
As botnets são uma rede de dispositivos comprometidos, manipulados e controlados remotamente por agentes de ameaças. As redes de bots têm sido uma ameaça persistente à cibersegurança desde há muito tempo. Têm uma natureza amplamente distribuída, o que as torna um vetor fácil para a propagação de actividades maliciosas em grande escala.
No passado, as redes de bots foram responsáveis pelos seguintes actos:
- Ataques de negação de serviço distribuído(DDoS)Os ataques DDoS (Distributed Denial Service) têm como objetivo sobrecarregar a rede de um alvo e bloquear serviços ou distrair os defensores.
- Campanhas de spam e phishingO spam e o phishing, inundam as caixas de correio eletrónico com mensagens maliciosas para roubar informações sensíveis ou espalhar malware.
- Recheio de credenciais para automatizar as tentativas de início de sessão com credenciais roubadas.
- Roubo de dados que extrai dados pessoais ou empresariais para fins lucrativos ou outros ataques.
- Cryptojackingé o sequestro de recursos do dispositivo para minerar criptomoeda.
- Redes proxy e fraude de cliquesA fraude de cliques é o ato de ocultar a localização dos atacantes e defraudar os anunciantes.
Na recente campanha de spam malware descoberta pela Infoblox, os botnets utilizaram mais de 13.000 routers MikroTik comprometidos. Esta é uma preocupação crescente para o sector da cibersegurança.
Anatomia da campanha de malware
Spam de facturas de transporte de mercadorias
No final de novembro de 2024, o início da campanha começou quando a Infoblox descobriu uma campanha de spam de facturas. Foram enviados e-mails de spam, fazendo-se passar por facturas de transporte da DHL, com ficheiros ZIP contendo payloads JavaScript maliciosos. Os ficheiros anexos ZIP tinham convenções de nomenclatura consistentes como:
- Fatura (número de 2-3 dígitos).zip
- Rastreio (número de 2-3 dígitos).zip
Análise da carga útil
Os ficheiros ZIP, também conhecidos como ficheiros JavaScript, executavam scripts Powershell. Estes estavam ligados a um servidor de comando e controlo (C2) de malware que estava alojado num endereço IP suspeito. O endereço IP tinha um histórico de actividades maliciosas anteriores na Web. O botnet criou assim uma rede que iniciou uma cadeia de distribuição de malware trojan.
Como é que os routers MikroTik foram comprometidos?
De acordo com a investigação da Infoblox, mais de 13.000 routers MikroTik foram desviados pela rede de bots. Estes routers foram configurados como proxies SOCKS. Isto mascarou a sua origem, tornando-os não identificáveis.
Os routers MikroTik eram um alvo fácil para a botnet devido às suas vulnerabilidades críticas inerentes:
- Os routers têm uma falha de execução remota de código que é facilmente explorável com acesso autenticado.
- A utilização de proxies SOCK permitiu que os agentes da ameaça ocultassem as suas identidades originais.
- Vários dispositivos foram fornecidos com contas "admin" predefinidas, contendo palavras-passe em branco.
O papel das configurações incorrectas do SPF na ativação da campanha de Malspam
Os servidores de correio receptores autenticam a legitimidade dos remetentes de correio eletrónico através dos registos TXT do DNS. O registo SPF ou Sender Policy Framework é um exemplo disso. No entanto, os registos SPF permissivos em milhares de domínios de envio proporcionaram a brecha que os atacantes precisavam para contornar as verificações de autenticação.
Exemplo de registos SPF mal configurados
Um exemplo de um registo SPF não permissivo é o seguinte:
v=spf1 include:example.domain.com -all
Este exemplo acima permite que apenas os servidores especificados enviem emails em nome de um domínio. Os domínios que não forem explicitamente autorizados falharão no SPF.
Um exemplo de um registo SPF permissivo é o seguinte:
v=spf1 include:example.domain.com +all
O exemplo acima permite que qualquer servidor envie e-mails em nome de um domínio, possibilitando a falsificação e a representação. A Infloblox identificou a utilização de configurações SPF permissivas como estas para lançar as campanhas maliciosas.
Verificar as configurações de SPF para evitar a exploração
Pode verificar as configurações SPF do seu domínio utilizando um dos seguintes métodos:
Pesquisas manuais
Os proprietários de domínios podem consultar os registos SPF utilizando os comandos NSlookup ou Dig:
- Em Linux/MacOS: dig +short txt exemplo.com | grep spf
- No Windows: nslookup -type=txt example.com | Select-String -Pattern "spf"
Pesquisas automáticas
Uma forma mais simples de verificar as suas configurações de SPF DNS é utilizar a ferramenta de verificação de SPF do PowerDMARC ferramenta de verificação de SPF.
- Introduza o seu nome de domínio na caixa de ferramentas (por exemplo, domínio.com)
- Acionar o botão "Lookup
- Rever os seus resultados
É assim tão fácil! Esta é uma forma instantânea e sem complicações de verificar o SPF sem executar um script ou comando Powershell e não requer conhecimentos técnicos.
Nota final: Lições aprendidas
A capacidade da rede de bots para explorar as vulnerabilidades do DNS, lançando sofisticados ataques de falsificação, realça a necessidade de seguir as melhores práticas de segurança do correio eletrónico:
- Os proprietários de domínios têm de auditar regularmente os registos DNS para garantir que os registos SPF, DKIM e DMARC corretas.
- Os proprietários de domínios devem abster-se de utilizar políticas SPF ou políticas DMARC durante longos períodos de tempo.
- Remova ou proteja as contas de administrador predefinidas nos dispositivos.
- Ativar Relatório DMARC para monitorizar o tráfego de correio eletrónico e detetar acessos não autorizados.
- Mais importante ainda, utilize serviços de otimização de macros SPF como o Hosted SPF para corrigir erros e pontos fracos do SPF e cumprir facilmente as limitações de pesquisa de DNS do SPF.
A descoberta de explorações de botnet MikroTik é um testemunho da crescente preocupação com ataques cibernéticos sofisticados. Para se manterem protegidas, as empresas devem atualizar a sua pilha de segurança para abrir caminho a tecnologias de cibersegurança modernas e apoiadas por IA. Isto permitir-lhes-á navegar no cenário de ameaças sem problemas, mantendo-se ilesas.
- Yahoo Japan recomenda a adoção de DMARC para os utilizadores em 2025 - 17 de janeiro de 2025
- Botnet MikroTik explora erros de configuração de SPF para espalhar malware - 17 de janeiro de 2025
- DMARC Correio Não Autenticado é Proibido [SOLVED] - January 14, 2025