venerdì , Ottobre 11 2024
Ultime Notizie
Home / Hacking & Sicurezza / Bloccare Ransomware con Mikrotik

Bloccare Ransomware con Mikrotik

In questo articolo, vi parlo di come utilizzare Mikrotik per bloccare le botnet “portatrici sane” di Ransomware utilizzando un qualsiasi router Mikotik.

I credits dell’articolo sono di Robert Penz in questo caso io ho effettuato alcune personalizzazioni alla parte Mikrotik.

Per poter mantenere costantemente aggiornata la lista di queste botnet è necessario avere un server di appoggio Linux sul quale faremo girare un script in Python.

Per prima cosa salviamo lo script:

Adesso che abbiamo lo script testiamo su un qualsiasi server/pc Linux.

Per prima cosa lo rendiamo eseguibile:

chmod 755 /usr/local/sbin/generateMalwareBlockScripts.py

Si possono editare i percorsi di salvataggio dei file a seconda delle vostre necessità.

L’importante è mettere a crontab questo script così fornirà sempre file aggiornati.

ln -s /usr/local/sbin/generateMalwareBlockScripts.py /etc/cron.daily/generateMalwareBlockScripts.py

Nel mio caso ho scelto di eseguirlo una volta al giorno.

Finita la parte Linux andiamo a vedere le modifiche da fare sulla Mikrotik.

Per prima cosa dobbiamo dire al sistema dove sono i file contenenti gli ip e i domini delle botnet.

/system script
add name=scriptUpdateMalwareIPs owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive source="#Download script IP \
\n/tool fetch url=\"http://linux_server_ip/addMalwareIPs.rsc\" mode=http\
\n:log info \"Downloaded addMalwareIPs.rsc\"\
\n\
\n# remove the old entries\
\n/ip firewall address-list remove [/ip firewall address-list find list=addressListMalware]\
\n\
\n# import the new entries\
\n/import file-name=addMalwareIPs.rsc\
\n:log info \"Removed old IP addresses and added new ones\"\
\n #Download Script Domain
\n/tool fetch url=\"http://linux_server_ip/addMalwareDomains.rsc\" mode=http\
\n:log info \"Downloaded addMalwareDomains.rsc\"\
\n\
\n# remove the old entries\
\n/ip dns static remove [/ip dns static find comment~\"addMalwareDomains\"]\
\n\
\n# import the new entries\
\n/import file-name=addMalwareDomains.rsc\
\n:log info \"Removed old domains and added new ones\"\
\n"

Questo script è complessivo per entrambi i file (quello con gli IP e quello con i Domini) se volete è molto semplice da dividere.

Fatto questo proviamo lo script sulla Mikrotik:

/system script run scriptUpdateMalwareIPs

Se tutto è andato a buon fine, digitando:

/ip firewall address-list print

e

/ip dns static print

Otterremo un bel po’ di risultati.

Se tutto è andato per il meglio, possiamo schedulare lo script così da eseguirlo ogni giorno:

/system scheduler add interval=24h name=schedulerUpdateMalwareIPs on-event=scriptUpdateMalwareIPs start-date=nov/30/2014 start-time=00:05:00

Cosa fare con questi indirizzi?

Semplice li blocchiamo!

/ip firewall filter

add action=reject chain=forward comment="Block malware network" dst-address-list=addressListMalware log=yes log-prefix=malwareIP out-interface=pppoe-out1
add action=reject chain=forward comment="Fake DNS block traffic" dst-address=10.255.255.255 log=yes log-prefix=malwareDNS out-interface=pppoe-out1

Stiamo lavorando ad un sistema di blocco anche per server Linux.

Stay tuned!

 

Info Paolo Daniele

Ingegnere delle Telecomunicazioni, appassionato di informatica fin da piccolo ho trasformato la passione in lavoro. Con il PHP faccio tutto (o quasi...) ma non disprezzo altri linguaggi all'occorrenza. Se vi piace il mio sito, o vi è utile, o vi sto simpatico, offritemi una birra!

Ti potrebbe interessare

Mikrotik Site to Site Wireguard VPN

Ciao Ragazzi, a volte ritornano! Dopo diverso tempo che non posto nulla (per motivi lavorativi!) …

4 Commenti

  1. Ciao, volevo segnalarti che lo script in python non funziona più in quanto
    # Ransomware Tracker has been discontinued on Dec 8th, 2019

    una possibile soluzione sarebbe usare
    https://urlhaus.abuse.ch/api/

    credo che il tracciato record sia diverso da quello della precedente fonte.

    Grazie
    Saluti

    • Paolo Daniele

      Ciao!
      Grazie della dritta, ormai esistono diversi sistemi più aggiornati, magari appena possibile faccio una guida su quelli nuovi!

      • Emanuele Savo Sardaro

        Ciao, di che sistemi più aggiornati parli?

        • Paolo Daniele

          Ci sono sistemi che fanno block a monte, direttamente dal provider o altri che si mettono in mirroring sulle porte del router per ripulire il traffico. Oppure sempre liste scriptabili direttamente da mikrotik, ma magari a pagamento!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *