Como detectar BOTNET Torpig en una Red desde Mikrotik

Torpig o también conocido como Sinowal o Anserin es un tipo de botnet (variedad de troyano que pueden afectar a los equipos que utilizan Microsoft Windows). Torpig evita aplicaciones anti-virus a través del uso de rootkits y busca en el sistema infectado para robar credenciales, las cuentas y contraseñas de home banking, así como potencialmente permite a un atacante el acceso total al equipo. También es supuestamente capaz de modificar los datos en la computadora, e infectar el sector MBR.

Entendiendo como bloquearlo mediante Mikrotik

Lo que haremos a continuación es loggear (crear una lista dinámica automática) con la IP de origen (del cliente infectado) de todo trafico TCP en cualquier puerto con destino 91.19.0.0/16 y 91.20.0.0/16.

/ip firewall filter
add action=add-src-to-address-list address-list=MebRootVictim address-list-timeout=1d chain=forward comment=\
    "Detectamos clientes comprometidos con Torpig" disabled=no dst-address-list=MebRoot

NOTA: Se da por hecho que cualquier trafico saliente que apunte a estas 2 redes «91.19.0.0/16 y 91.20.0.0/16″, proviene de un cliente comprometido.

Luego eliminamos todo el trafico con destino a estas redes en el input, forward y output.

add action=drop chain=forward disabled=no dst-address-list=MebRoot
add action=drop chain=input disabled=no dst-address-list=MebRoot
add action=drop chain=output disabled=no dst-address-list=MebRoot

También eliminamos todo el trafico del cliente infectado «distinto al puerto 80 TCP» y «distinto al puerto 53 UDP». Esto deja sin navegación al cliente y solo le permite DNS y HTTP. Entonces queda el cliente filtrado (sin servicio) y lo único que puede ver es la pagina que dice que su equipo esta comprometido y necesita llamar a un técnico.

add action=drop chain=forward disabled=no dst-port=110,25,995,465,1863,20,21,22,23 protocol=tcp src-address-list=MebRootVictim
add action=drop chain=forward disabled=no dst-port=!53 protocol=udp src-address-list=MebRootVictim

En resumen nos quedaria asi:

/ip firewall filter
add action=add-src-to-address-list address-list=MebRootVictim address-list-timeout=1d chain=forward comment=\
    "Drop Mebroot y Torpig y logueo el cliente de origen." disabled=no dst-address-list=MebRoot
add action=drop chain=forward disabled=no dst-address-list=MebRoot
add action=drop chain=input disabled=no dst-address-list=MebRoot
add action=drop chain=output disabled=no dst-address-list=MebRoot
add action=drop chain=forward disabled=no dst-port=!80 protocol=tcp src-address-list=MebRootVictim
add action=drop chain=forward disabled=no dst-port=!53 protocol=udp src-address-list=MebRootVictim

Agregamos las redes de destino a las que apunta el virus:

/ip firewall address-list
add address=91.19.0.0/16 comment=BOTNET disabled=no list=MebRoot
add address=91.20.0.0/16 comment=BOTNET disabled=no list=MebRoot

En la parte de NAT hacemos el direccionamiento a la pagina de error. (en caso de tenerla). Es una buena manera de que el cliente bloqueado se de cuenta que tiene un virus.

add action=dst-nat chain=dstnat comment="REDIRECT VIRUS TORPIG" disabled=no dst-port=80 protocol=tcp \
    src-address-list=MebRootVictim to-addresses=###IP_TU_APACHE### to-ports=#83#

Reemplazamos ###IP_TU_APACHE### por la IP correspondiente a tu linux. Por ejemplo, pueden probar con la de google: 173.194.42.50 y puerto en este caso reemplazamos #83# por 80. En mi caso tengo en el puerto 81 el cartel del virus confiker y en el 83 el mensaje del virus Torpig.

Eso es todo. Espero que les sirva de ayuda como a mi.
Esta es mi versión modificada de la que aparece en el Wiki oficial de Mikrotik

________________________
Nicolas tech-nico.com

5 comentarios

  1. Grande Nico, lo probe y realmente funciona muy bien.
    Gracias por la ayuda de implementar la pagina de aviso en el apache.

    Saludos !

  2. Estimado no me funciona, la IP de origen (del cliente infectado) no se genera en la lista de direcciones MebRootVictim, agradecere cualquier comentario.

  3. A mi me anduvo perfecto en esos años!. Tene en cuenta que el ejemplo es del 2012.. (pasaron 5 años). Tendrás que debuggear para ver por donde viene el problema.

  4. Hola, funciona perfecto, salvo que el cliente, tiene como pagina de inicio google ( con https) no lo redirecciona.

Deja un comentario