Roteadores com Troca de DNS Automático

INFOMAC · 24 de abril

Olá, podem me chamar de Levi. Trabalho como suporte avançado em uma ISP, recentemente me deparei com um caso onde alguns clientes relatam estar sem internet, ou não conseguindo acessar certos sites. Quando verificamos, percebemos que o DNS não estava setado como os da empresa, ou até mesmo outros DNS famosos (Como google ou Cloudfire).
Para tentar solucionar, trocamos o DNS. Isso resolvia o problema durante um tempo, porém o mesmo retornava a acontecer. Inicialmente isso acontecia apenas com Roteadores Multilaser ZTE, porém recentemente peguei casos em Mercusys AC12G, TP-LINK.
Os DNS que aparecem, aparentam ser Russos ou de outros países. Em casos de multilaser ZTE, atualizamos o Firmware do Roteador e normalizou, porém dos outros roteadores, ou normalizaram sozinho, ou solicitamos trocar o roteador do Cliente.
A questão mais importante, todos os clientes com esse problema, possuem IP Público Válido.
Criei este tópico pois quero ajuda de pessoas experientes que possam me explicar o que pode estar acontecendo.

Agradeço desde já pela atenção. No anexo, colocarei uma pequena foto de uma planilha que estou montando para investigar isso.

dwatashi · 25 de abril

Muitos roteadores possuem acessos administrativos ocultos, o pessoal utiliza eles para efetuar essas mudanças.

1. A mudança pode ser realizada de modo "scriptado" quando se abre uma página e injeta credenciais + mudança de DNS.

2. Utiliza-se o sistema de administração remoto, como eles tem IP Público, a mudança é 100% transparente.

Problema antigo, mas agora tem mais ferramentas de busca e automatização.

A solução pode variar de acordo com cada aparelho.

Adamastor Abrolio Silve · 2 de maio

@dwatashi

Em 25/04/2024 às 10:36, dwatashi disse:

Muitos roteadores possuem acessos administrativos ocultos, o pessoal utiliza eles para efetuar essas mudanças.

Como eu faço para detectar se meu roteador tem esse acesso adimistrativo oculto? Se eu escanear suas portas com programa de scan de portas eu acho tipo nmap?

Ter IPV6 vai agravar mais ainda esse problema?

dwatashi · 2 de maio

9 horas atrás, Adamastor Abrolio Silve disse:

Como eu faço para detectar se meu roteador tem esse acesso adimistrativo oculto? Se eu escanear suas portas com programa de scan de portas eu acho tipo nmap?

Pode realizar para verificar se existe o TR-069 por exemplo, mas nem todos utilizam porta padrão. Muitos dos acessos são feitos via web mesmo, logo precisaria identificar usuário/senha.

9 horas atrás, Adamastor Abrolio Silve disse:

Ter IPV6 vai agravar mais ainda esse problema?

No âmbito geral não agrava, como no IPv6 passa a ter muitos IPs o pessoal acaba não fazendo varredura neles. A não ser que já tenha um bloco alvo para ser procurado, pode-se utilizar bots para conseguir concluir a tarefa em menor tempo.

INFOMAC · 9 de maio

Em 25/04/2024 às 07:36, dwatashi disse:

Muitos roteadores possuem acessos administrativos ocultos, o pessoal utiliza eles para efetuar essas mudanças.

1. A mudança pode ser realizada de modo "scriptado" quando se abre uma página e injeta credenciais + mudança de DNS.

2. Utiliza-se o sistema de administração remoto, como eles tem IP Público, a mudança é 100% transparente.

Problema antigo, mas agora tem mais ferramentas de busca e automatização.

A solução pode variar de acordo com cada aparelho.

Então você acredita que de fato são "hackers" de fora da rede fazendo essas alterações? O que eles ganhariam com isso? Aumentar o nível do Firewall no roteador resolveria? E por quê atualizar o Firmware do Roteador encerra o acontecido?

arfneto · 10 de maio

4 horas atrás, INFOMAC disse:

são "hackers" de fora da rede fazendo essas alterações? O que eles ganhariam com isso? Aumentar o nível do Firewall no roteador resolveria? E por quê atualizar o Firmware do Roteador encerra o acontecido?

A razão mais comum de mudar endereços de DNS --- no modo crime --- é interceptar acesso a certos sites em que o criminoso tenha interesse, e desviar o tráfego para um servidor que ele controle, para por exemplo capturar dados de usuários.

O firewall não resolveria quase nada. Pode bloquear (no firewall) o acesso a algum desses servidores estranhos, mas dá para imaginar que eles fiquem online por pouco tempo e voltem com novos endereços. E se for mesmo um caso de spoofing voltado a certos sites o usuário acaba acessando o resto. E se bloquear ele não vai acessar nada. Imagine que alguém "captura" acessos a um certo banco ou loja, por exemplo. E passe o resto para outros servidores DNS e a vida segue, Apenas acessos a esses sites-alvo seriam afetados.

Atualizar o firmware do roteador pode interferir no mecanismo de injeção que o pessoal usa.

De onde vem o DNS que seus roteadores usam? É gravado na instalação? Sei provedor não tem acesso mais ao aparelho uma vez instalado? Não usa DHCP para endereçar os roteadores? Pode usar um tempo de lease pequeno... Ou comissionar um firmware com uma backdoor para seu uso. TR-069 seria uma mão na roda, afinal existe para isso. DOCSIS também permite ao menos redefinir a imagem do roteador.

INFOMAC · 10 de maio

@arfneto Obrigado pela resposta, sinceramente não sei se seria algo criminoso, pois até onde me lembro, os clientes não eram direcionados a outros sites específicos, e sim apenas ficavam sem conexão. Os DNS que usamos como padrão são os Nossos mesmo, e os da Google e Cloudfire, Temos DHCP na rede e TR-069. Mais alguma dica?

arfneto · 10 de maio

28 minutos atrás, INFOMAC disse:

até onde me lembro, os clientes não eram direcionados a outros sites específicos, e sim apenas ficavam sem conexão

muito do que eu disse é, claro, altamente especulativo. Entenda que "sem conexão" é diferente de "sem DNS". Sobre o "crime", apenas interceptar e alterar DNS já pode ser crime. E ao fazer isso o cara tem acesso a todo o tráfego de DNS desses clientes. E depois pode simplesmente encaminhar o tráfego e responder. Mas pode não ter capacidade de responder em tempo para os clientes e ocorrer timeout em alguns ou todos.

32 minutos atrás, INFOMAC disse:

Os DNS que usamos como padrão são os Nossos mesmo, e os da Google e Cloudfire, Temos DHCP na rede e TR-069

Você pode usar intervalos de lease pequenos em alguma região em que detectou esse comportamento. Isso diminui o alcance de uma redefinição para o valor máximo desse intervalo. Fizeram algum mapeamento geográfico desses problemas?

Com TR-069 pode gerar um grupo de teste casado com algum serviço DHCP e acompanhar as coisas

INFOMAC · 11 de maio

@arfneto Valeu pela resposta e dica. De fato não foi feito nenhum mapeamento pois apenas eu decidi "investigar" isso. Mas vou passar essas dicas para nossos analistas, obrigado.