Com detectar el programari malició de VPNFilter abans que destrueixi el vostre router

Com detectar el programari malició de VPNFilter abans que destrueixi el vostre router

El programari maliciós per a encaminadors, dispositius de xarxa i Internet de les coses és cada vegada més comú. La majoria se centren en infectar dispositius vulnerables i afegir-los a botnets potents. Els encaminadors i els dispositius Internet de les coses (IoT) sempre estan engegats, sempre en línia i esperen instruccions. Farratge de botnet perfecte, doncs.





Però no tot el malware és igual.



VPNFilter és una amenaça destructiva de programari maliciós per a routers, dispositius IoT i fins i tot alguns dispositius d’emmagatzematge connectat a la xarxa (NAS). Com es comprova si hi ha una infecció de malware VPNFilter? I com es pot netejar? Vegem més de prop VPNFilter.





Què és VPNFilter?

VPNFilter és una sofisticada variant modular de programari maliciós que s’orienta principalment a dispositius de xarxa d’una àmplia gamma de fabricants, així com a dispositius NAS. VPNFilter es va trobar inicialment en dispositius de xarxa Linksys, MikroTik, NETGEAR i TP-Link, així com en dispositius NAS QNAP, amb prop de 500.000 infeccions a 54 països.

El equip que va descobrir VPNFilter , Cisco Talos, detalls actualitzats recentment pel que fa al programari maliciós, cosa que indica que els equips de xarxa de fabricants com ASUS, D-Link, Huawei, Ubiquiti, UPVEL i ZTE mostren ara infeccions VPNFilter. No obstant això, en el moment d’escriure-ho, no hi ha cap dispositiu de xarxa Cisco afectat.



El programari maliciós no s’assembla a la majoria dels programes maliciosos centrats en l’IoT, ja que persisteix després del reinici del sistema, cosa que dificulta l’eradicació. Els dispositius que utilitzen les seves credencials d’inici de sessió per defecte o amb vulnerabilitats conegudes de dia zero que no han rebut actualitzacions de firmware són particularment vulnerables.

com aconseguir canals locals a roku

Què fa VPNFilter?

Per tant, VPNFilter és una 'plataforma modular de diverses etapes' que pot causar danys destructius als dispositius. A més, també pot servir com una amenaça de recollida de dades. VPNFilter funciona en diverses etapes.



Etapa 1: VPNFilter Stage 1 estableix un cap de platja al dispositiu, posant-se en contacte amb el servidor de comandament i control (C&C) per descarregar mòduls addicionals i esperar instruccions. L'Etapa 1 també té redundàncies incorporades múltiples per localitzar els C & C de l'Etapa 2 en cas de canvi d'infraestructura durant el desplegament. El malware de Stage 1 VPNFilter també pot sobreviure a un reinici, cosa que el converteix en una amenaça sòlida.

Etapa 2: VPNFilter Stage 2 no persisteix mitjançant un reinici, però sí amb un ampli ventall de funcions. La fase 2 pot recopilar dades privades, executar ordres i interferir en la gestió de dispositius. A més, hi ha diferents versions de la fase 2 en llibertat. Algunes versions estan equipades amb un mòdul destructiu que sobreescriu una partició del microprogramari del dispositiu i, a continuació, es reinicia perquè el dispositiu sigui inutilitzable (el maquinari maliciós del router, IoT o dispositiu NAS, bàsicament).



Etapa 3: Els mòduls VPNFilter Stage 3 funcionen com a connectors per a la fase 2, ampliant la funcionalitat de VPNFilter. Un mòdul actua com un sniffer de paquets que recopila el trànsit entrant al dispositiu i roba les credencials. Un altre permet que el malware de la fase 2 es comuniqui de manera segura mitjançant Tor. Cisco Talos també va trobar un mòdul que injecta contingut maliciós al trànsit que passa pel dispositiu, és a dir, que el pirata informàtic pot subministrar altres explotacions a altres dispositius connectats mitjançant un router, un IoT o un dispositiu NAS.

A més, els mòduls VPNFilter 'permeten el robatori de credencials de llocs web i el control dels protocols Modbus SCADA'.

Meta per compartir fotos

Una altra característica interessant (però no recentment descoberta) del malware VPNFilter és l’ús de serveis d’intercanvi de fotos en línia per trobar l’adreça IP del seu servidor C&C. L'anàlisi de Talos va trobar que el programari maliciós apunta a una sèrie d'URL de Photobucket. El programari maliciós descarrega la primera imatge de la galeria de les referències d'URL i extreu una adreça IP del servidor amagada a les metadades de la imatge.

L'adreça IP 's'extreu de sis valors enters de latitud i longitud del GPS a la informació EXIF'. Si això falla, el programari maliciós de l'etapa 1 torna a ser un domini normal (toknowall.com --- més informació a continuació) per descarregar la imatge i provar el mateix procés.

Ensumar paquets orientats

L’informe actualitzat de Talos va revelar algunes idees interessants sobre el mòdul d’ensumació de paquets VPNFilter. En lloc de simplificar-ho tot, té un conjunt de regles bastant estricte dirigit a tipus específics de trànsit. Concretament, el trànsit de sistemes de control industrial (SCADA) que es connecten mitjançant VPN TP-Link R600, connexions a una llista d’adreces IP predefinides (que indiquen un coneixement avançat d’altres xarxes i trànsit desitjable), així com paquets de dades de 150 bytes o més gran.

Craig William, líder tecnològic sènior i gerent de divulgació mundial a Talos, va dir a Ars , 'Busquen coses molt específiques. No intenten reunir el màxim de trànsit possible. Busquen certes coses molt petites, com ara credencials i contrasenyes. No tenim molta informació sobre això, tret que sembli increïblement dirigida i sofisticada. Encara intentem esbrinar en qui feien servir això.

D'on va sortir VPNFilter?

Es creu que VPNFilter és la feina d’un grup de pirateria patrocinat per l’estat. Que l’augment inicial de la infecció per VPNFilter es va sentir predominantment a tota Ucraïna, els dits inicials van assenyalar les empremtes digitals amb suport rus i el grup de pirateria, Fancy Bear.

No obstant això, tal és la sofisticació del programari maliciós; no hi ha cap gènesi clara i cap grup de pirateria, estat nacional o no, hagi avançat per reclamar el programari maliciós. Tenint en compte les regles detallades de programari maliciós i l’orientació de SCADA i altres protocols de sistemes industrials, sembla que és probable que hi hagi un actor d’un estat nacional.

Independentment del que crec, l’FBI creu que VPNFilter és una creació de Fancy Bear. Al maig del 2018, l’FBI es va apoderar d’un domini --- ToKnowAll.com --- es creia que s'utilitzava per instal·lar i comandar malware malware de la fase 2 i de la fase 3 VPNFilter. La confiscació del domini sens dubte va ajudar a aturar la propagació immediata de VPNFilter, però no va tallar l'artèria principal; el SBU ucraïnès va retirar un atac VPNFilter a una planta de processament de productes químics el juliol de 2018, per una.

com tanques la sessió de netflix

VPNFilter també té similituds amb el malware BlackEnergy, un troià APT que s’utilitza contra una àmplia gamma d’objectius ucraïnesos. Una vegada més, tot i que això no és una evidència completa, l’orientació sistèmica d’Ucraïna prové principalment de pirateria de grups amb llaços russos.

Estic infectat amb VPNFilter?

El més probable és que el vostre encaminador no tingui programari maliciós VPNFilter. Però sempre és millor estar segur que lamentar:

  1. Consulteu aquesta llista per al vostre encaminador. Si no esteu a la llista, tot està bé.
  2. Podeu anar al lloc Symantec VPNFilter Check. Marqueu els termes i condicions i premeu el botó Executeu VPNFilter Check botó al mig. La prova es completa en qüestió de segons.

Estic infectat amb VPNFilter: què faig?

Si Symantec VPNFilter Check confirma que el vostre encaminador està infectat, teniu una clara acció.

  1. Restableix el router i, a continuació, torna a executar el VPNFilter Check.
  2. Restableix el router a la configuració de fàbrica.
  3. Baixeu-vos el microprogramari més recent del vostre encaminador i completeu una instal·lació de microprogramari neta, preferiblement sense que el router realitzi una connexió en línia durant el procés.

A més, haureu de completar les anàlisis del sistema a cada dispositiu connectat al router infectat.

Sempre heu de canviar les credencials d'inici de sessió predeterminades del vostre enrutador, així com qualsevol dispositiu IoT o NAS (els dispositius IoT no faciliten aquesta tasca) si és possible. A més, si bé hi ha proves que VPNFilter pot eludir alguns tallafocs, tenint-ne un d’instal·lat i configurat correctament ajudarà a mantenir moltes altres coses desagradables fora de la vostra xarxa.

Compte amb el programari maliciós del router.

El programari maliciós del router és cada vegada més comú. El malware i les vulnerabilitats de l'IoT són a tot arreu i, amb el nombre de dispositius que es connecten, només empitjoraran. El vostre encaminador és el punt central de les dades de casa vostra. Tot i això, no rep tanta atenció de seguretat com altres dispositius.

En poques paraules, l’encaminador no és segur com creieu.

Compartir Compartir Tweet Correu electrònic Una guia per a principiants d’animació de la parla

Animar la parla pot ser un repte. Si esteu preparat per començar a afegir diàlegs al vostre projecte, us desglossarem el procés.

Llegiu a continuació Temes relacionats
  • Seguretat
  • Encaminador
  • Seguretat en línia
  • Internet de les coses
  • Programari maliciós
Sobre l'autor Gavin Phillips(945 articles publicats)

Gavin és l'editor júnior de Windows and Technology Explained, col·laborador habitual del Podcast Really Useful i revisor de productes habitual. Té un BA (Hons) Contemporary Writing with Digital Art Practices saquejat des dels turons de Devon, així com més d’una dècada d’experiència en escriptura professional. Li agrada una gran quantitat de te, jocs de taula i futbol.

connectant el controlador Xbox One a Windows 10
Més de Gavin Phillips

Subscriu-te al nostre butlletí

Uniu-vos al nostre butlletí per obtenir consells tècnics, ressenyes, llibres electrònics gratuïts i ofertes exclusives.

Feu clic aquí per subscriure-us