Como detectar malware VPNFilter antes que ele destrua seu roteador

Como detectar malware VPNFilter antes que ele destrua seu roteador

Malwares para roteadores, dispositivos de rede e Internet das Coisas são cada vez mais comuns. A maioria se concentra em infectar dispositivos vulneráveis ​​e adicioná-los a botnets poderosos. Roteadores e dispositivos de Internet das Coisas (IoT) estão sempre ligados, sempre online e aguardando instruções. Alimento perfeito para redes de bots, então.





Mas nem todos os malwares são iguais.



VPNFilter é uma ameaça destrutiva de malware para roteadores, dispositivos IoT e até mesmo alguns dispositivos de armazenamento conectado à rede (NAS). Como você verifica se há uma infecção por malware VPNFilter? E como você pode limpar isso? Vamos dar uma olhada mais de perto no VPNFilter.





O que é VPNFilter?

VPNFilter é uma variante de malware modular sofisticada que visa principalmente dispositivos de rede de uma ampla variedade de fabricantes, bem como dispositivos NAS. O VPNFilter foi inicialmente encontrado em dispositivos de rede Linksys, MikroTik, NETGEAR e TP-Link, bem como em dispositivos QNAP NAS, com cerca de 500.000 infecções em 54 países.

o equipe que descobriu VPNFilter , Cisco Talos, detalhes atualizados recentemente em relação ao malware, indicando que equipamentos de rede de fabricantes como ASUS, D-Link, Huawei, Ubiquiti, UPVEL e ZTE estão agora apresentando infecções VPNFilter. No entanto, no momento da escrita, nenhum dispositivo de rede Cisco foi afetado.



O malware é diferente da maioria dos outros malwares focados em IoT porque persiste após a reinicialização do sistema, dificultando sua erradicação. Dispositivos que usam suas credenciais de login padrão ou com vulnerabilidades conhecidas de dia zero que não receberam atualizações de firmware são particularmente vulneráveis.

por que meus jogos continuam travando

O que VPNFilter faz?

Portanto, VPNFilter é uma 'plataforma modular de vários estágios' que pode causar danos destrutivos aos dispositivos. Além disso, também pode servir como uma ameaça de coleta de dados. VPNFilter funciona em várias etapas.



Estágio 1: O VPNFilter Estágio 1 estabelece uma cabeça de ponte no dispositivo, contatando seu servidor de comando e controle (C&C) para baixar módulos adicionais e aguardar instruções. O Estágio 1 também tem várias redundâncias embutidas para localizar os C e Cs do Estágio 2 em caso de mudança de infraestrutura durante a implantação. O malware VPNFilter de estágio 1 também é capaz de sobreviver a uma reinicialização, tornando-se uma ameaça robusta.

Etapa 2: O VPNFilter Estágio 2 não persiste durante uma reinicialização, mas vem com uma gama mais ampla de recursos. O estágio 2 pode coletar dados privados, executar comandos e interferir no gerenciamento de dispositivos. Além disso, existem diferentes versões do Estágio 2 na natureza. Algumas versões são equipadas com um módulo destrutivo que sobrescreve uma partição do firmware do dispositivo e, em seguida, reinicia para tornar o dispositivo inutilizável (o malware bloqueia o roteador, IoT ou dispositivo NAS, basicamente).



Etapa 3: Os módulos VPNFilter Estágio 3 funcionam como plug-ins para o Estágio 2, estendendo a funcionalidade do VPNFilter. Um módulo atua como um farejador de pacotes que coleta o tráfego de entrada no dispositivo e rouba credenciais. Outro permite que o malware do Estágio 2 se comunique com segurança usando o Tor. O Cisco Talos também encontrou um módulo que injeta conteúdo malicioso no tráfego que passa pelo dispositivo, o que significa que o hacker pode fornecer explorações adicionais a outros dispositivos conectados por meio de um roteador, IoT ou dispositivo NAS.

Além disso, os módulos VPNFilter 'permitem o roubo de credenciais do site e o monitoramento de protocolos Modbus SCADA'.

Meta de compartilhamento de fotos

Outro recurso interessante (mas não recentemente descoberto) do malware VPNFilter é o uso de serviços de compartilhamento de fotos online para encontrar o endereço IP de seu servidor C&C. A análise do Talos descobriu que o malware aponta para uma série de URLs do Photobucket. O malware baixa a primeira imagem na galeria que o URL faz referência e extrai um endereço IP do servidor oculto nos metadados da imagem.

O endereço IP 'é extraído de seis valores inteiros para latitude e longitude GPS nas informações EXIF.' Se isso falhar, o malware de Estágio 1 volta para um domínio regular (toknowall.com --- mais sobre isso abaixo) para baixar a imagem e tentar o mesmo processo.

Sniffing de pacotes direcionados

O relatório atualizado do Talos revelou alguns insights interessantes sobre o módulo de detecção de pacotes VPNFilter. Em vez de apenas aspirar tudo, ele tem um conjunto bastante rígido de regras que visam tipos específicos de tráfego. Especificamente, tráfego de sistemas de controle industrial (SCADA) que se conectam usando VPNs TP-Link R600, conexões a uma lista de endereços IP predefinidos (indicando um conhecimento avançado de outras redes e tráfego desejável), bem como pacotes de dados de 150 bytes ou maior.

Craig William, líder sênior de tecnologia e gerente de alcance global da Talos, disse a Ars , 'Eles estão procurando coisas muito específicas. Eles não estão tentando reunir tanto tráfego quanto podem. Eles estão atrás de certas coisas muito pequenas, como credenciais e senhas. Não temos muitas informações sobre isso, exceto que parece incrivelmente direcionado e incrivelmente sofisticado. Ainda estamos tentando descobrir com quem eles estavam usando isso.

De onde veio o VPNFilter?

O VPNFilter é considerado o trabalho de um grupo de hackers patrocinado pelo estado. Que a onda inicial de infecção VPNFilter foi sentida predominantemente em toda a Ucrânia, os dedos iniciais apontaram para impressões digitais russas e para o grupo de hackers, Fancy Bear.

No entanto, tal é a sofisticação do malware que não há uma gênese clara e nenhum grupo de hackers, de estado-nação ou outro, se apresentou para reivindicar o malware. Dadas as regras detalhadas de malware e direcionamento de SCADA e outros protocolos de sistema industrial, um ator de estado-nação parece mais provável.

Independentemente do que eu pense, o FBI acredita que o VPNFilter é uma criação do Fancy Bear. Em maio de 2018, o FBI apreendeu um domínio --- ToKnowAll.com --- que foi pensado para ter sido usado para instalar e comandar malware VPNFilter estágio 2 e estágio 3. A apreensão do domínio certamente ajudou a impedir a disseminação imediata do VPNFilter, mas não cortou a artéria principal; a SBU ucraniana derrubou um ataque VPNFilter em uma planta de processamento químico em julho de 2018, por exemplo.

como ter uma sequência no snapchat

O VPNFilter também tem semelhanças com o malware BlackEnergy, um cavalo de Tróia APT em uso contra uma ampla gama de alvos ucranianos. Novamente, embora isso esteja longe de ser uma evidência completa, a segmentação sistêmica da Ucrânia origina-se predominantemente de grupos de hackers com laços russos.

Estou infectado com VPNFilter?

Provavelmente, seu roteador não está abrigando o malware VPNFilter. Mas é sempre melhor prevenir do que remediar:

  1. Verifique esta lista para o seu roteador. Se você não estiver na lista, está tudo bem.
  2. Você pode acessar o site Symantec VPNFilter Check. Verifique a caixa de termos e condições e, em seguida, clique no Execute VPNFilter Check botão no meio. O teste é concluído em segundos.

Estou infectado com VPNFilter: o que eu faço?

Se o Symantec VPNFilter Check confirmar que o roteador está infectado, você tem um curso de ação claro.

  1. Reinicie o roteador e execute o VPNFilter Check novamente.
  2. Redefina o roteador para as configurações de fábrica.
  3. Baixe o firmware mais recente para o seu roteador e conclua uma instalação limpa do firmware, de preferência sem que o roteador faça uma conexão online durante o processo.

Além disso, você precisa concluir verificações completas do sistema em cada dispositivo conectado ao roteador infectado.

Você deve sempre alterar as credenciais de login padrão do seu roteador, bem como quaisquer dispositivos IoT ou NAS (os dispositivos IoT não facilitam essa tarefa), se possível. Além disso, embora haja evidências de que VPNFilter pode escapar de alguns firewalls, ter um instalado e configurado corretamente ajudará a manter muitas outras coisas desagradáveis ​​fora de sua rede.

Cuidado com o malware do roteador!

O malware de roteador é cada vez mais comum. O malware e as vulnerabilidades da IoT estão por toda parte e, com o número de dispositivos que ficam online, só vai piorar. Seu roteador é o ponto focal para dados em sua casa. No entanto, ele não recebe tanta atenção de segurança quanto outros dispositivos.

Simplificando, seu roteador não é seguro como você pensa.

Compartilhado Compartilhado Tweet O email Um guia para iniciantes em animação de discurso

Animar a fala pode ser um desafio. Se você estiver pronto para começar a adicionar diálogo ao seu projeto, vamos dividir o processo para você.

Leia a seguir Tópicos relacionados
  • Segurança
  • Roteador
  • Segurança Online
  • Internet das Coisas
  • Malware
Sobre o autor Gavin Phillips(945 artigos publicados)

Gavin é o Editor Júnior do Windows and Technology Explained, um colaborador regular do Podcast Really Useful e um revisor regular do produto. Ele tem um BA (Hons) em Redação Contemporânea com Práticas de Arte Digital pilhadas nas colinas de Devon, bem como mais de uma década de experiência profissional em redação. Ele gosta de grandes quantidades de chá, jogos de tabuleiro e futebol.

onde posso ir para imprimir algo do meu telefone
Mais de Gavin Phillips

Assine a nossa newsletter

Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!

Clique aqui para se inscrever