Cómo detectar el malware VPNFilter antes de que destruya su enrutador
El malware de los enrutadores, dispositivos de red e Internet de las cosas es cada vez más común. La mayoría se enfoca en infectar dispositivos vulnerables y agregarlos a potentes botnets. Los enrutadores y los dispositivos de Internet de las cosas (IoT) están siempre encendidos, en línea y esperando instrucciones. Perfecto forraje de botnets, entonces.
Pero no todo el malware es el mismo..
VPNFilter es una amenaza de malware destructivo para enrutadores, dispositivos IoT e incluso algunos dispositivos de almacenamiento conectado a la red (NAS). ¿Cómo se comprueba si hay una infección de malware VPNFilter? ¿Y cómo puedes limpiarlo? Echemos un vistazo más de cerca a VPNFilter.
¿Qué es VPNFilter??
VPNFilter es una variante sofisticada de malware modular que se dirige principalmente a dispositivos de red de una amplia gama de fabricantes, así como a dispositivos NAS. VPNFilter se encontró inicialmente en los dispositivos de red Linksys, MikroTik, NETGEAR y TP-Link, así como en los dispositivos NAS de QNAP, con alrededor de 500,000 infecciones en 54 países..
El equipo que descubrió VPNFilter, Cisco Talos, actualizó recientemente los detalles sobre el malware, lo que indica que los equipos de redes de fabricantes como ASUS, D-Link, Huawei, Ubiquiti, UPVEL y ZTE ahora muestran infecciones de VPNFilter. Sin embargo, en el momento de la escritura, no se ven afectados los dispositivos de red de Cisco.
El malware es diferente a la mayoría de los demás programas maliciosos enfocados en IoT porque persiste después de reiniciar el sistema, lo que dificulta su erradicación. Los dispositivos que usan sus credenciales de inicio de sesión predeterminadas o con vulnerabilidades conocidas de día cero que no han recibido actualizaciones de firmware son particularmente vulnerables.
¿Qué hace VPNFilter??
Entonces, VPNFilter es un “Plataforma modular multietapa.” Eso puede causar daños destructivos a los dispositivos. Además, también puede servir como una amenaza de recopilación de datos. VPNFilter trabaja en varias etapas..
Nivel 1: VPNFilter Stage 1 establece una cabeza de playa en el dispositivo, contactando a su servidor de comando y control (C&C) para descargar módulos adicionales y esperar instrucciones. La Etapa 1 también tiene múltiples redundancias incorporadas para ubicar los C y C de la Etapa 2 en caso de un cambio de infraestructura durante la implementación. El malware VPNFilter de la Etapa 1 también puede sobrevivir a un reinicio, lo que lo convierte en una amenaza sólida.
Etapa 2: VPNFilter Stage 2 no persiste a través de un reinicio, pero sí viene con una gama más amplia de capacidades. La etapa 2 puede recopilar datos privados, ejecutar comandos e interferir con la administración del dispositivo. Además, hay diferentes versiones de la Etapa 2 en la naturaleza. Algunas versiones están equipadas con un módulo destructivo que sobrescribe una partición del firmware del dispositivo, y luego se reinicia para hacer que el dispositivo sea inutilizable (el malware bloquea el enrutador, IoT o dispositivo NAS, básicamente).
Etapa 3: Los módulos VPNFilter Stage 3 funcionan como complementos para la Etapa 2, extendiendo la funcionalidad de VPNFilter. Un módulo actúa como un detector de paquetes que recopila el tráfico entrante en el dispositivo y roba las credenciales. Otra permite que el malware de la Etapa 2 se comunique de forma segura utilizando Tor. Cisco Talos también encontró un módulo que inyecta contenido malicioso en el tráfico que pasa a través del dispositivo, lo que significa que el pirata informático puede ofrecer más ataques a otros dispositivos conectados a través de un enrutador, IoT o dispositivo NAS.
Además, los módulos VPNFilter “permitir el robo de credenciales del sitio web y el monitoreo de los protocolos Modbus SCADA.”
Compartir fotos Meta
Otra característica interesante (pero no recién descubierta) del malware VPNFilter es su uso de los servicios en línea para compartir fotos para encontrar la dirección IP de su servidor de C&C. El análisis de Talos encontró que el malware apunta a una serie de URL de Photobucket. El malware descarga la primera imagen de la galería a la que hace referencia la URL y extrae una dirección IP del servidor oculta en los metadatos de la imagen..
La direccion IP “se extrae de seis valores enteros para la latitud y longitud del GPS en la información EXIF.” Si eso falla, el malware de la Etapa 1 recurre a un dominio regular (toknowall.com-más sobre esto más adelante) para descargar la imagen e intentar el mismo proceso.
Detección de paquetes dirigidos
El informe actualizado de Talos reveló algunas ideas interesantes sobre el módulo de rastreo de paquetes VPNFilter. En lugar de simplemente apoderarse de todo, tiene un conjunto bastante estricto de reglas que se dirigen a tipos específicos de tráfico. Específicamente, el tráfico de los sistemas de control industrial (SCADA) que se conectan mediante VPN TP-Link R600, las conexiones a una lista de direcciones IP predefinidas (lo que indica un conocimiento avanzado de otras redes y el tráfico deseable), así como paquetes de datos de 150 bytes. o mas grande.
Craig William, líder sénior en tecnología y gerente de alcance global en Talos, le dijo a Ars, “Están buscando cosas muy específicas. No están tratando de juntar tanto tráfico como pueden. Están detrás de ciertas cosas muy pequeñas como credenciales y contraseñas. No tenemos mucha información sobre eso, aparte de lo que parece increíblemente dirigido e increíblemente sofisticado. Todavía estamos tratando de averiguar quiénes estaban usando eso en.”
¿De dónde vino VPNFilter??
Se cree que VPNFilter es el trabajo de un grupo de piratería patrocinado por el estado. Que el aumento inicial de la infección VPNFilter se sintió predominantemente en Ucrania, los dedos iniciales apuntaron a las huellas dactilares respaldadas por Rusia y al grupo de piratería, Fancy Bear.
Sin embargo, tal es la sofisticación del malware que no existe una clara génesis y ningún grupo de piratería, estado-nación o de otro tipo, se ha adelantado para reclamar el malware. Dadas las reglas detalladas de malware y la segmentación de SCADA y otros protocolos de sistemas industriales, parece más probable que un actor nacional-estatal.
Independientemente de lo que pienso, el FBI cree que VPNFilter es una creación de Fancy Bear. En mayo de 2018, el FBI se apoderó de un dominio ToKnowAll.com, que se pensaba que se había utilizado para instalar y comandar malware de VPNFilter de Etapa 2 y Etapa 3. El dominio incautado ciertamente ayudó a detener la propagación inmediata de VPNFilter, pero no cortó la arteria principal; La SBU ucraniana derribó un ataque de filtro VPN en una planta de procesamiento químico en julio de 2018, por una parte..
VPNFilter también tiene similitudes con el malware BlackEnergy, un troyano APT en uso contra una amplia gama de objetivos ucranianos. Una vez más, aunque esto dista mucho de ser una evidencia completa, la focalización sistémica de Ucrania proviene principalmente de grupos de piratería con vínculos rusos..
Estoy infectado con VPNFilter?
Es probable que su enrutador no contenga el malware VPNFilter. Pero siempre es mejor prevenir que lamentar:
- Revise esta lista para su enrutador. Si no estás en la lista, todo está bien..
- Puede dirigirse al sitio de Symantec VPNFilter Check. Marque la casilla de términos y condiciones, luego presione el Ejecutar VPNFilter Check botón en el medio. La prueba se completa en segundos..
Estoy infectado con VPNFilter: ¿Qué hago??
Si Symantec VPNFilter Check confirma que su enrutador está infectado, tiene un curso de acción claro.
- Reinicie su enrutador, luego ejecute el VPNFilter Check nuevamente.
- Restablece tu enrutador a la configuración de fábrica.
- Descargue el firmware más reciente para su enrutador y complete una instalación de firmware limpia, preferiblemente sin que el enrutador realice una conexión en línea durante el proceso.
Además de esto, debe realizar un análisis completo del sistema en cada dispositivo conectado al enrutador infectado.
Siempre debe cambiar las credenciales de inicio de sesión predeterminadas de su enrutador, así como cualquier dispositivo IoT o NAS (los dispositivos IoT no facilitan esta tarea por qué Internet de las cosas es la mayor pesadilla de seguridad por qué Internet de las cosas es la mayor pesadilla de seguridad Un día, llega a su casa del trabajo para descubrir que su sistema de seguridad residencial habilitado para la nube ha sido violado. ¿Cómo pudo suceder esto? Con Internet of Things (IoT), podría descubrirlo de la mejor manera. Lea más) si es posible. . Además, si bien hay evidencia de que VPNFilter puede evadir algunos firewalls, tiene uno instalado y configurado correctamente. 7 Consejos sencillos para proteger su enrutador y la red Wi-Fi en minutos 7 Consejos simples para asegurar su enrutador y la red Wi-Fi en minutos Es alguien que está olfateando ¿Escuchas tu tráfico de Wi-Fi, robas tus contraseñas y números de tarjetas de crédito? ¿Sabrías si alguien fuera? Probablemente no, así que asegure su red inalámbrica con estos 7 simples pasos. Leer más ayudará a mantener un montón de otras cosas desagradables fuera de su red.
Cuidado con el malware de enrutador!
El malware de enrutador es cada vez más común. El malware y las vulnerabilidades de IoT están en todas partes, y con la cantidad de dispositivos que están en línea, solo empeorará. Su enrutador es el punto focal para los datos en su hogar. Sin embargo, no recibe tanta atención de seguridad como otros dispositivos.
En pocas palabras, su enrutador no es seguro como piensa 10 maneras en que su enrutador no es tan seguro como piensa 10 maneras en que su enrutador no es tan seguro como cree Aquí hay 10 maneras en que su enrutador podría ser explotado por piratas informáticos y unidades. por secuestradores inalámbricos. Lee mas .
Explore más sobre: Internet de las cosas, malware, seguridad en línea, enrutador.