Com identificar i solucionar el programari maliciós VPNFilter ara (04.23.24)

No tots els programes maliciosos es creen iguals. Una prova d’això és l’existència de Programari maliciós VPNFilter , una nova gamma de programari maliciós per a encaminadors que té propietats destructives. Una característica diferent que té és que pot sobreviure al reinici, a diferència de la majoria de les amenaces d'Internet de les coses (IoT).

Deixeu que aquest article us guii a través de la identificació del malware VPNFilter i de la llista d'objectius. També us ensenyarem com evitar que faci estralls al vostre sistema.

Què és VPNFilter Malware?

Penseu en VPNFilter com a programari maliciós destructiu que amenaça els routers, els dispositius IoT i fins i tot els connectats a la xarxa. dispositius d’emmagatzematge (NAS). Es considera una sofisticada variant modular de programari maliciós que s’orienta principalment a dispositius de xarxa de diferents fabricants.

Inicialment, el programari maliciós es detectava als dispositius de xarxa Linksys, NETGEAR, MikroTik i TP-Link. També es va descobrir en dispositius NAS QNAP. Fins ara, hi ha prop de 500.000 infeccions en 54 països, que demostren el seu abast i presència massiva.

Cisco Talos, l’equip que va exposar VPNFilter, proporciona una extensa publicació al bloc sobre el malware i els detalls tècnics que l’envolten. Pel que sembla, els equips de xarxa d’ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti i ZTE presenten signes d’infecció.

A diferència de la majoria d’altres programes maliciosos orientats a IoT, VPNFilter és difícil d’eliminar, ja que persisteix fins i tot després d'un reinici del sistema. Es mostren vulnerables als seus atacs els dispositius que utilitzen les seves credencials d’inici de sessió per defecte o aquells amb vulnerabilitats conegudes de dia zero que encara no han tingut actualitzacions de microprogramari.

Dispositius coneguts per ser afectats pel programari maliciós de VPN

Se sap que els encaminadors d'empreses i petites oficines o oficines domèstiques són l'objectiu d'aquest programari maliciós. Preneu nota de les següents marques i models d’encaminadors:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Dispositius Upvel: models desconeguts
  • Dispositius ZTE ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Altres QNAP Dispositius NAS que executen programari QTS

Un denominador comú entre la majoria dels dispositius orientats és el seu ús de credencials predeterminades. També tenen avantatges coneguts, especialment per a versions anteriors.

Què fa VPNFilter Malware als dispositius infectats?

VPNFilter funciona per causar danys debilitants als dispositius afectats i també servir de mètode de recopilació de dades. Funciona en tres etapes:

Etapa 1

Això marca la instal·lació i el manteniment d'una presència persistent en un dispositiu de destinació. El programari maliciós es posarà en contacte amb un servidor d’ordres i control (C & amp; C) per descarregar mòduls addicionals i esperar instruccions. En aquesta fase, hi ha múltiples redundàncies integrades per localitzar els C & amp; C de la fase 2 en cas que es produeixi un canvi d’infraestructura mentre es desplega l’amenaça. Etapa 1 VPNFilter pot suportar un reinici.

Etapa 2

Això inclou la càrrega útil principal. Tot i que no pot persistir mitjançant un reinici, té més funcions. És capaç de recopilar fitxers, executar ordres i realitzar l'exfiltració de dades i la gestió de dispositius. Continuant amb els seus efectes destructius, el programari maliciós pot "tapar" el dispositiu una vegada que rep una ordre dels atacants. Això s'executa sobreescrivint una part del firmware del dispositiu i reiniciant-lo posteriorment. Els fets delictius fan que el dispositiu sigui inutilitzable.

Etapa 3

Existeixen diversos mòduls coneguts que actuen com a connectors per a la fase 2. Aquests inclouen un sniffer de paquets per espiar el trànsit encaminat a través del dispositiu, que permet el robatori de credencials del lloc web i seguiment dels protocols Modbus SCADA. Un altre mòdul permet que Stage 2 es comuniqui de manera segura a través de Tor. Basat en la investigació de Cisco Talos, un mòdul proporciona contingut maliciós al trànsit que passa pel dispositiu. D'aquesta manera, els atacants poden afectar encara més els dispositius connectats.

El 6 de juny es van exposar dos mòduls més de la fase 3. El primer es diu "ssler" i pot interceptar tot el trànsit que passa pel dispositiu mitjançant el port 80. Permet als atacants veure el trànsit web i interceptar-lo per executar els atacs man al mig. Pot, per exemple, canviar les sol·licituds HTTPS a HTTP, enviant dades suposadament encriptades de manera insegura. El segon es denomina "dstr", que incorpora una ordre kill a qualsevol mòdul de la fase 2 que no tingui aquesta característica. Un cop executat, eliminarà totes les traces del programari maliciós abans de bloquejar el dispositiu.

Aquí hi ha set mòduls més de la fase 3 revelats el 26 de setembre:
  • htpx : funciona Igual que ssler, redirigeix ​​i inspecciona tot el trànsit HTTP que travessa el dispositiu infectat per identificar i registrar qualsevol executable de Windows. Pot executar executables Trojan mentre passa per encaminadors infectats, cosa que permet als atacants instal·lar programari maliciós a diverses màquines connectades a la mateixa xarxa.
  • ndbr : es considera una eina SSH multifunció.
  • nm : aquest mòdul és una arma de mapatge de xarxa per escanejar la subxarxa local .
  • netfilter : aquesta utilitat de denegació de servei pot bloquejar l’accés a algunes aplicacions encriptades.
  • reenviament de portes : reenvia el trànsit de xarxa a la infraestructura determinada pels atacants.
  • socks5proxy : permet establir un servidor intermediari SOCKS5 en dispositius vulnerables.
Orígens de VPNFilter revelat

el programari maliciós és probablement el treball d’una entitat de pirateria patrocinada per l’estat. Les infeccions inicials es van sentir principalment a Ucraïna, cosa que es va atribuir fàcilment al grup de pirateria Fancy Bear i als grups amb suport rus.

Això, però, il·lustra la naturalesa sofisticada de VPNFilter. No es pot associar amb un origen clar i un grup de pirateria específic, i algú encara no ha fet cap pas endavant per reclamar-ne la responsabilitat. S'està especulant amb un patrocinador d'un estat nacional, ja que SCADA, juntament amb altres protocols de sistemes industrials, tenen regles i orientació completes sobre programes maliciosos.

Tot i això, si volíeu preguntar-li a l'FBI, VPNFilter és una idea de Fancy Bear. Al maig del 2018, l’agència es va apoderar del domini ToKnowAll.com, que es creia que era fonamental per instal·lar i comandar el VPNFilter de la fase 2 i 3. La confiscació va ajudar a aturar la propagació del programari maliciós, però no va poder fer front a la imatge principal.

En el seu anunci del 25 de maig, l'FBI fa una sol·licitud urgent perquè els usuaris reinicien els seus routers Wi-Fi a casa per aturar un gran atac de programari maliciós basat en l'estranger. En aquell moment, l'agència va identificar els ciberdelinqüents estrangers perquè comprometien els centenars de milers d'encaminadors Wi-Fi domèstics i domèstics, juntament amb altres dispositius de xarxa. Jo?

La bona notícia és que és probable que el vostre encaminador no tingui problemes maliciosos si comproveu la llista d'encaminadors VPNFilter que us hem proporcionat anteriorment. Però sempre és millor equivocar-se per prudència. Symantec, per exemple, executa el VPNFilter Check perquè pugueu provar si esteu afectat o no. Només es triguen uns quants segons a executar la comprovació.

Ara, aquí teniu la qüestió. Què passa si realment està infectat? Exploreu aquests passos:
  • Restableix el router. A continuació, torneu a executar VPNFilter Check.
  • Restableix el router a la configuració de fàbrica.
  • Penseu en la possibilitat de desactivar qualsevol configuració de gestió remota del vostre dispositiu.
  • Baixeu el firmware més actualitzat del vostre encaminador. Realitzeu una instal·lació de microprogramari neta, idealment sense que l’encaminador realitzi una connexió en línia mentre el procés estigui en curs.
  • Realitzeu un escaneig complet del sistema a l’ordinador o dispositiu que s’hagi connectat a l’encaminador infectat. No us oblideu d’utilitzar una eina d’optimització de PC fiable per treballar conjuntament amb el vostre escàner de programari maliciós de confiança.
  • Protegiu les vostres connexions. Protegiu-vos amb una VPN de pagament d’alta qualitat amb un historial de privadesa i seguretat en línia de primer ordre.
  • Acostumeu a canviar les credencials d’inici de sessió predeterminades del vostre enrutador, així com altres dispositius IoT o NAS .
  • Teniu un tallafoc instal·lat i configurat correctament per evitar que la informació errònia quedi fora de la vostra xarxa.
  • Protegiu els vostres dispositius amb contrasenyes úniques i fortes.
  • Activeu el xifratge .

Si el vostre encaminador està potencialment afectat, pot ser una bona idea consultar al lloc web del fabricant la informació i els passos a seguir per protegir els vostres dispositius. Aquest és un pas immediat a fer, ja que tota la informació passa pel router. Quan es posa en perill un enrutador, la seguretat i la privadesa dels vostres dispositius estan en joc.

Resum

El programari maliciós VPNFilter també pot ser una de les amenaces més fortes i indestructibles per afectar els encaminadors empresarials i de petites oficines o domèstics dels darrers història. Inicialment es va detectar en dispositius de xarxa Linksys, NETGEAR, MikroTik i TP-Link i dispositius NAS QNAP. Podeu trobar la llista d'encaminadors afectats anteriorment.

VPNFilter no es pot ignorar després d'iniciar unes 500.000 infeccions a 54 països. Funciona en tres etapes i fa que els enrutadors siguin inoperables, recopili informació que passa pels enrutadors i fins i tot bloquegi el trànsit de la xarxa. Detectar i analitzar la seva activitat a la xarxa continua sent una empresa difícil.

En aquest article, hem explicat maneres d'ajudar-vos a defensar-vos del programari maliciós i els passos que podeu fer si el vostre encaminador s'ha vist compromès. Les conseqüències són greus, de manera que no us heu de dedicar mai a la tasca important de comprovar els vostres dispositius.

Vídeo de YouTube: Com identificar i solucionar el programari maliciós VPNFilter ara

04, 2024