Como identificar e corrigir malware VPNFilter agora (04.26.24)

Nem todos os malwares são criados iguais. Uma prova disso é a existência do malware VPNFilter , uma nova geração de malware de roteador com propriedades destrutivas. Uma característica distinta é que pode sobreviver à reinicialização, ao contrário da maioria das outras ameaças da Internet das Coisas (IoT).

Deixe este artigo guiá-lo na identificação do malware VPNFilter, bem como sua lista de alvos. Também ensinaremos como evitar que ele cause estragos em seu sistema.

O que é malware VPNFilter?

Pense no VPNFilter como um malware destrutivo que ameaça roteadores, dispositivos IoT e até mesmo conectados à rede dispositivos de armazenamento (NAS). É considerado uma variante de malware modular sofisticada que visa principalmente dispositivos de rede de diferentes fabricantes.

Inicialmente, o malware foi detectado nos dispositivos de rede Linksys, NETGEAR, MikroTik e TP-Link. Também foi descoberto em dispositivos NAS da QNAP. Até o momento, existem cerca de 500.000 infecções em 54 países, demonstrando seu enorme alcance e presença.

Cisco Talos, a equipe que expôs o VPNFilter, fornece uma extensa postagem no blog sobre malware e detalhes técnicos relacionados a ele. Ao que parece, os equipamentos de rede da ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti e ZTE apresentam sinais de infecção.

Ao contrário da maioria dos outros malwares direcionados à IoT, o VPNFilter é difícil de eliminar, pois persiste mesmo após a reinicialização do sistema. Provavelmente vulneráveis ​​a seus ataques estão os dispositivos que usam suas credenciais de login padrão ou aqueles com vulnerabilidades conhecidas de dia zero que ainda não tiveram atualizações de firmware.

Dispositivos que são afetados pelo malware VPNFilter

Sabe-se que os roteadores de empresas e pequenos escritórios ou residências são alvos desse malware. Observe as seguintes marcas e modelos de roteadores:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Dispositivos Upvel -modelos desconhecidos
  • Dispositivos ZTE ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Outros QNAP Dispositivos NAS executando software QTS

Um denominador comum entre a maioria dos dispositivos alvo é o uso de credenciais padrão. Eles também têm explorações conhecidas, especialmente para versões mais antigas.

O que VPNFilter Malware faz aos dispositivos infectados?

O VPNFilter funciona para causar danos debilitantes aos dispositivos afetados, além de servir como um método de coleta de dados. Funciona em três estágios:

Estágio 1

Isso marca a instalação e a manutenção de uma presença persistente em um dispositivo de destino. O malware entrará em contato com um servidor de comando e controle (C & amp; C) para baixar módulos adicionais e aguardar instruções. Nesta fase, há várias redundâncias integradas para localizar os C e Cs do Estágio 2, caso ocorra uma mudança de infraestrutura enquanto a ameaça é implantada. Estágio 1 VPNFilter pode resistir a uma reinicialização.

Estágio 2

Apresenta a carga útil principal. Embora seja incapaz de persistir durante uma reinicialização, ele tem mais recursos. É capaz de coletar arquivos, executar comandos e realizar exfiltração de dados e gerenciamento de dispositivos. Continuando com seus efeitos destrutivos, o malware pode “bloquear” o dispositivo assim que receber um comando dos invasores. Isso é executado através da substituição de uma parte do firmware do dispositivo e reinicialização subsequente. Os atos criminosos tornam o dispositivo inutilizável.

Estágio 3

Vários módulos conhecidos deste existem e agem como plug-ins para o Estágio 2. Eles compreendem um farejador de pacotes para espionar o tráfego roteado através do dispositivo, permitindo o roubo de credenciais de sites rastreamento de protocolos Modbus SCADA. Outro módulo permite que o Estágio 2 se comunique com segurança via Tor. Com base na investigação do Cisco Talos, um módulo fornece conteúdo malicioso para o tráfego que passa pelo dispositivo. Dessa forma, os invasores podem afetar ainda mais os dispositivos conectados.

Em 6 de junho, mais dois módulos do Estágio 3 foram expostos. O primeiro é chamado de “ssler” e pode interceptar todo o tráfego que passa pelo dispositivo usando a porta 80. Ela permite que os invasores visualizem o tráfego da web e o interceptem para executar ataques man in the middle. Ele pode, por exemplo, alterar solicitações HTTPS para HTTP queridos, enviando dados supostamente criptografados de forma insegura. O segundo é chamado de “dstr”, que incorpora um comando kill para qualquer Etapa 2 módulo falta esse recurso. Uma vez executado, ele irá eliminar todos os vestígios do malware antes que ele tijolos o dispositivo

Aqui estão mais sete módulos Stage 3 revelado em 26 de Setembro:.
  • htpx - Ele funciona assim como o ssler, redireciona e inspeciona todo o tráfego HTTP que passa pelo dispositivo infectado para identificar e registrar quaisquer executáveis ​​do Windows. Ele pode executar o Trojan em executáveis ​​ao passar por roteadores infectados, o que permite que os invasores instalem malware em várias máquinas conectadas à mesma rede.
  • ndbr - Esta é considerada uma ferramenta SSH multifuncional.
  • nm - Este módulo é uma arma de mapeamento de rede para verificar a sub-rede local .
  • netfilter - Este utilitário de negação de serviço pode bloquear o acesso a alguns aplicativos criptografados.
  • redirecionamento de porta - Ele encaminha o tráfego de rede à infraestrutura determinada por invasores.
  • socks5proxy - permite que um proxy SOCKS5 seja estabelecido em dispositivos vulneráveis.
Origens do VPNFilter reveladas

Isso malware é provavelmente o trabalho de uma entidade de hackers patrocinada pelo estado. As infecções iniciais foram sentidas principalmente na Ucrânia, facilmente atribuindo o ato ao grupo de hackers Fancy Bear e a grupos apoiados pela Rússia.

Isso, no entanto, ilustra a natureza sofisticada do VPNFilter. Ele não pode ser associado a uma origem clara e a um grupo de hackers específico, e alguém ainda precisa se apresentar para assumir a responsabilidade por ele. Um patrocinador estadual está sendo especulado, já que o SCADA, juntamente com outros protocolos de sistema industrial, têm regras abrangentes de malware e direcionamento.

Se você perguntasse ao FBI, porém, o VPNFilter foi ideia do Fancy Bear. Em maio de 2018, a agência confiscou o domínio ToKnowAll.com, considerado fundamental para instalar e comandar os Estágios 2 e 3 do VPNFilter. A apreensão ajudou a interromper a disseminação do malware, mas não conseguiu lidar com a imagem principal.

Em seu anúncio de 25 de maio, o FBI emite um pedido urgente para que os usuários reiniciem seus roteadores Wi-Fi em casa para impedir um grande ataque de malware baseado no exterior. Naquela época, a agência identificou criminosos cibernéticos estrangeiros por comprometerem roteadores Wi-Fi domésticos e de pequenos escritórios - junto com outros dispositivos de rede - aos cem mil. Eu?

A boa notícia é que provavelmente seu roteador não estará abrigando o malware incômodo se você verificar a lista de roteadores VPNFilter fornecida acima. Mas é sempre melhor errar do lado da cautela. A Symantec, por exemplo, executa o VPNFilter Check para que você possa testar se foi afetado ou não. Leva apenas alguns segundos para executar a verificação.

Agora, é o seguinte. E se você estiver realmente infectado? Explore estas etapas:
  • Reinicialize seu roteador. Em seguida, execute o VPNFilter Check mais uma vez.
  • Redefina o roteador para as configurações de fábrica.
  • Considere desativar todas as configurações de gerenciamento remoto em seu dispositivo.
  • Baixe o firmware mais atualizado para seu roteador. Conclua uma instalação limpa do firmware, de preferência sem que o roteador faça uma conexão online enquanto o processo está em andamento.
  • Conclua uma verificação completa do sistema em seu computador ou dispositivo que foi conectado ao roteador infectado. Não se esqueça de usar uma ferramenta otimizador de PC confiável para trabalhar em conjunto com seu scanner de malware confiável.
  • Proteja suas conexões. Proteja-se com uma VPN paga de alta qualidade com um histórico de privacidade e segurança online de primeira linha.
  • Crie o hábito de alterar as credenciais de login padrão do seu roteador, bem como de outros dispositivos IoT ou NAS .
  • Tenha um firewall instalado e configurado corretamente para manter o conteúdo ruim fora de sua rede.
  • Proteja seus dispositivos com senhas fortes e exclusivas.
  • Ative a criptografia .

Se o seu roteador for potencialmente afetado, pode ser uma boa ideia verificar no site do fabricante se há novas informações e medidas a serem tomadas para proteger seus dispositivos. Esta é uma etapa imediata, pois todas as suas informações passam pelo roteador. Quando um roteador é comprometido, a privacidade e a segurança de seus dispositivos estão em jogo.

Resumo

O malware VPNFilter pode muito bem ser uma das ameaças mais fortes e indestrutíveis para atingir roteadores de empresas e pequenos escritórios ou residências recentemente história. Foi inicialmente detectado em dispositivos de rede Linksys, NETGEAR, MikroTik e TP-Link e dispositivos QNAP NAS. Você pode encontrar a lista de roteadores afetados acima.

O VPNFilter não pode ser ignorado depois de iniciar cerca de 500.000 infecções em 54 países. Ele funciona em três estágios e torna os roteadores inoperantes, coleta informações que passam pelos roteadores e até mesmo bloqueia o tráfego de rede. Detectar e analisar sua atividade de rede continua sendo uma tarefa difícil.

Neste artigo, descrevemos maneiras de ajudar a se defender do malware e as etapas que você pode seguir se seu roteador tiver sido comprometido. As consequências são terríveis, então você nunca deve se sentar na importante tarefa de verificar seus dispositivos.

Vídeo do youtube: Como identificar e corrigir malware VPNFilter agora

04, 2024