Come identificare e correggere il malware VPNFilter ora (04.25.24)

Non tutti i malware sono uguali. Una prova di ciò è l'esistenza del malware VPNFilter, una nuova generazione di malware per router con proprietà distruttive. Una caratteristica distintiva che ha è che può sopravvivere al riavvio, a differenza della maggior parte delle altre minacce di Internet of Things (IoT).

Lascia che questo articolo ti guidi attraverso l'identificazione del malware VPNFilter e del suo elenco di obiettivi. Ti insegneremo anche come evitare che distrugga il tuo sistema in primo luogo.

Che cos'è VPNFilter Malware? dispositivi di archiviazione (NAS). È considerata una sofisticata variante di malware modulare che prende di mira principalmente dispositivi di rete di diversi produttori.

Inizialmente, il malware è stato rilevato sui dispositivi di rete Linksys, NETGEAR, MikroTik e TP-Link. È stato scoperto anche nei dispositivi QNAP NAS. Ad oggi, ci sono circa 500.000 infezioni in 54 nazioni, a dimostrazione della sua enorme portata e presenza.

Cisco Talos, il team che ha esposto VPNFilter, fornisce un ampio post sul blog sul malware e sui dettagli tecnici ad esso correlati. A quanto pare, le apparecchiature di rete di ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti e ZTE presentano segni di infezione.

A differenza della maggior parte degli altri malware mirati all'IoT, VPNFilter è difficile da eliminare poiché persiste anche dopo un riavvio del sistema. A dimostrarsi vulnerabili ai suoi attacchi sono i dispositivi che utilizzano le credenziali di accesso predefinite o quelli con vulnerabilità note zero-day che non hanno ancora ricevuto aggiornamenti del firmware.

Dispositivi noti per essere interessati da VPNFilter Malware

I router delle aziende, dei piccoli uffici o degli uffici domestici sono noti per essere un bersaglio di questo malware. Prendi nota delle seguenti marche e modelli di router:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB scanalatura
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Dispositivi Upvel -modelli sconosciuti
  • Dispositivi ZTE ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Altri QNAP Dispositivi NAS che eseguono il software QTS

Un denominatore comune tra la maggior parte dei dispositivi presi di mira è l'uso delle credenziali predefinite. Hanno anche exploit noti, specialmente per le versioni precedenti.

Cosa fa VPNFilter Malware sui dispositivi infetti?

VPNFilter funziona per causare danni debilitanti ai dispositivi interessati e funge anche da metodo di raccolta dati. Funziona in tre fasi:

Fase 1

Questo contrassegna l'installazione e il mantenimento di una presenza persistente su un dispositivo di destinazione. Il malware contatterà un server di comando e controllo (C&C) per scaricare moduli aggiuntivi e attendere istruzioni. In questa fase, sono presenti più ridondanze integrate per individuare i C&C di Fase 2 nel caso in cui si verifichi una modifica dell'infrastruttura durante l'implementazione della minaccia. Fase 1 VPNFilter può resistere a un riavvio.

Fase 2tage

Questo include il carico utile principale. Sebbene non sia in grado di persistere durante un riavvio, ha più capacità. È in grado di raccogliere file, eseguire comandi ed eseguire l'esfiltrazione dei dati e la gestione dei dispositivi. Continuando con i suoi effetti distruttivi, il malware può "bruciare" il dispositivo una volta ricevuto un comando dagli aggressori. Questo viene eseguito sovrascrivendo una parte del firmware del dispositivo e il successivo riavvio. Gli atti criminali rendono il dispositivo inutilizzabile.

Fase 3

Diversi moduli noti di questo esistono e fungono da plugin per la Fase 2. Questi comprendono uno sniffer di pacchetti per spiare il traffico instradato attraverso il dispositivo, consentendo il furto di credenziali del sito Web e monitoraggio dei protocolli Modbus SCADA. Un altro modulo consente allo Stage 2 di comunicare in modo sicuro tramite Tor. Sulla base dell'indagine di Cisco Talos, un modulo fornisce contenuti dannosi al traffico che passa attraverso il dispositivo. In questo modo, gli aggressori possono influenzare ulteriormente i dispositivi connessi.

Il 6 giugno sono stati esposti altri due moduli Stage 3. Il primo si chiama "ssler" e può intercettare tutto il traffico che passa attraverso il dispositivo utilizzando la porta 80. Consente agli aggressori di visualizzare il traffico web e intercettarlo per eseguire attacchi man in the middle. Può, ad esempio, cambiare le richieste HTTPS in quelle HTTP, inviando dati presumibilmente crittografati in modo non sicuro. Il secondo è soprannominato "dstr", che incorpora un comando kill a qualsiasi modulo Stage 2 privo di questa funzione. Una volta eseguito, eliminerà tutte le tracce del malware prima che blocchi il dispositivo.

Ecco altri sette moduli Stage 3 rivelati il ​​26 settembre:
  • htpx– Funziona proprio come ssler, reindirizzando e ispezionando tutto il traffico HTTP che passa attraverso il dispositivo infetto per identificare e registrare qualsiasi eseguibile di Windows. Può convertire i file eseguibili di Troia mentre attraversano router infetti, consentendo agli aggressori di installare malware su vari computer collegati alla stessa rete.
  • ndbr – Questo è considerato uno strumento SSH multifunzione.
  • nm – Questo modulo è un'arma di mappatura della rete per la scansione della sottorete locale .
  • netfilter – Questa utilità di negazione del servizio può bloccare l'accesso ad alcune app crittografate.
  • portforwarding – Inoltra il traffico di rete all'infrastruttura determinata dagli aggressori.
  • socks5proxy – Consente di stabilire un proxy SOCKS5 su dispositivi vulnerabili.
Rivelate le origini di VPNFilter

Questo il malware è probabilmente opera di un'entità di hacking sponsorizzata dallo stato. Le infezioni iniziali sono state avvertite principalmente in Ucraina, attribuendo facilmente l'atto al gruppo di hacker Fancy Bear e ai gruppi sostenuti dalla Russia.

Questo, tuttavia, illustra la natura sofisticata di VPNFilter. Non può essere associato a un'origine chiara e a un gruppo di hacker specifico e qualcuno deve ancora farsi avanti per rivendicarne la responsabilità. Si ipotizza uno stato-nazione sponsor poiché SCADA insieme ad altri protocolli di sistema industriale ha regole e targeting completi per il malware.

Se dovessi chiedere all'FBI, tuttavia, VPNFilter è il frutto di Fancy Bear. Nel maggio 2018, l'agenzia ha sequestrato il dominio ToKnowAll.com, ritenuto determinante per l'installazione e il comando di VPNFilter Stage 2 e 3. Il sequestro ha contribuito a fermare la diffusione del malware, ma non è riuscito a contrastare l'img principale.

Nel suo annuncio del 25 maggio, l'FBI ha richiesto urgentemente agli utenti di riavviare i loro router Wi-Fi a casa per fermare un grande attacco di malware con sede all'estero. A quel tempo, l'agenzia ha individuato i criminali informatici stranieri per aver compromesso i router Wi-Fi di piccoli uffici e domestici - insieme ad altri dispositivi di rete - per centinaia di migliaia.

Sono solo un utente ordinario: cosa significa l'attacco VPNFilter Io?

La buona notizia è che è improbabile che il tuo router stia ospitando il malware fastidioso se hai controllato l'elenco dei router VPNFilter che abbiamo fornito sopra. Ma è sempre meglio peccare per eccesso di cautela. Symantec, per esempio, esegue VPNFilter Check in modo da poter verificare se sei interessato o meno. Ci vogliono solo pochi secondi per eseguire il controllo.

Ora, ecco il punto. E se fossi effettivamente infetto? Esplora questi passaggi:
  • Ripristina il router. Quindi, esegui nuovamente VPNFilter Check.
  • Ripristina le impostazioni di fabbrica del router.
  • Considera la possibilità di disabilitare tutte le impostazioni di gestione remota sul tuo dispositivo.
  • Scarica il firmware più aggiornato per il tuo router. Completa un'installazione pulita del firmware, idealmente senza che il router esegua una connessione online mentre il processo è in corso.
  • Completa una scansione completa del sistema sul tuo computer o dispositivo che è stato connesso al router infetto. Non dimenticare di utilizzare uno strumento di ottimizzazione del PC affidabile per lavorare insieme al tuo scanner di malware affidabile.
  • Proteggi le tue connessioni. Proteggiti con una VPN a pagamento di alta qualità con un track record di privacy e sicurezza online di prim'ordine.
  • Abituati a modificare le credenziali di accesso predefinite del tuo router, così come di altri dispositivi IoT o NAS .
  • Avere un firewall installato e configurato correttamente per tenere le cose dannose fuori dalla tua rete.
  • Proteggi i tuoi dispositivi con password forti e univoche.
  • Abilita la crittografia .

Se il tuo router è potenzialmente interessato, potrebbe essere una buona idea consultare il sito web del produttore per eventuali nuove informazioni e misure da adottare per proteggere i tuoi dispositivi. Questo è un passo immediato da compiere, poiché tutte le tue informazioni passano attraverso il tuo router. Quando un router viene compromesso, la privacy e la sicurezza dei tuoi dispositivi sono in gioco.

Riepilogo

Il malware VPNFilter potrebbe anche essere una delle minacce più potenti e indistruttibili per colpire i router aziendali, di piccoli uffici o domestici negli ultimi storia. Inizialmente è stato rilevato sui dispositivi di rete Linksys, NETGEAR, MikroTik e TP-Link e sui dispositivi QNAP NAS. Puoi trovare l'elenco dei router interessati sopra.

VPNFilter non può essere ignorato dopo aver avviato circa 500.000 infezioni in 54 paesi. Funziona in tre fasi e rende inutilizzabili i router, raccoglie le informazioni che passano attraverso i router e blocca persino il traffico di rete. Rilevare e analizzare la sua attività di rete rimane un'impresa difficile.

In questo articolo, abbiamo delineato i modi per difenderti dal malware e i passaggi che puoi intraprendere se il tuo router è stato compromesso. Le conseguenze sono disastrose, quindi non dovresti mai occuparti dell'importante compito di controllare i tuoi dispositivi.

Video Youtube: Come identificare e correggere il malware VPNFilter ora

04, 2024