forum.opennet.ru

Составление сообщения

Исходное сообщение

"Вредоносное ПО VPNFilter поразило более 500 тысяч домашних м..."
Отправлено opennews, 25-Май-18 00:56

Компания Cisco сообщила (https://blog.talosintelligence.com/2018/05/VPNFilter.html) о выявлении вредоносного ПО VPNFilter, поразившего более 500 тысяч домашних и офисных маршрутизаторов, NAS и точек доступа. Благодаря модульной организации вредоносного ПО, оно может поражать различные модели устройств производства Linksys, MikroTik, Netgear, TP-Link и QNAP. После внедрения вредоносное ПО подключает устройство к ботнету, обрабатывает поступающие извне управляющие  команды и может выполнять такие действия как вылавливание параметров аутентификации из транзитного трафика, проведение атак на другие устройства и запуск прокси для запутывания следов при совершении целевых атак.

Связанный с VPNFilter ботнет строился как минимум с 2016 года и находится под наблюдением исследователей безопасности из Cisco несколько месяцев. Последние три недели активность вовлечения новых устройств сильно возросла, что дало повод предупредить пользователей и раскрыть имеющуюся информацию до полного завершения изучения ботнета.
Об аналогичных наблюдениях также сообщила (https://www.symantec.com/blogs/threat-intelligence/vpnfilter...) компания
Symantec, которая дополнительно опубликовала список моделей устройств,  которые поражает VPNFilter:

-     Linksys E1200, E2500, WRVS4400N;
-     Mikrotik RouterOS 1016, 1036,  1072;
-     Netgear DGN2200, R6400, R7000,  R8000, WNR1000,  WNR2000;
-     QNAP TS251, TS439 Pro и другие  NAS на базе ПО QTS;
-     TP-Link R600VPN,
В отличие от большинства вредоносных программ поражающих домашние маршрутизаторы, VPNFilter не пропадает после перезагрузки устройства и достаточно проблематичен для удаления благодаря интеграции в прошивку.  Тем не менее, для удаления VPNFilter срабатывает сброс к заводским настройкам, для инициирования которого в большинстве устройств следует удерживать кнопку на задней панели от 5 до 10 секунд. Явные признаки компрометации устройства отсутствуют, когда вредоносное ПО не проявляет себя со стороны обнаружить его проблематично (всем обладателям вышеотмеченных устройств для профилактики рекомендовано выполнить сброс к заводским настройкам, обновить прошивку, установить надёжный пароль, отключить дополнительные протоколы удалённого управления и ограничить доступ к web-интерфейсу).

Также не ясно используются для атаки только уже известные уязвимости, типовые пароли и оплошности в настройке или производится эксплуатация 0-day уязвимостей (в этом случае обновление прошивки не защищает от повторной атаки). Среди поддерживаемых команд отдельно выделяется функция вывода устройства из строя (порча прошивки, не восстанавливаемая без спецоборудования), с учётом размера ботнета позволяющая в один момент лишить сотен тысяч людей по всему миру без доступа к глобальной сети.

VPNFilter также примечателен разделением процесса внедрения на несколько стадий, возможностью загрузки плагинов с реализацией дополнительной функциональности. После первичной эксплуатации на устройство устанавливается первая стадия вредоносного ПО, которая не удаляется после перезагрузки и применяется для доставки основной части вредоносного ПО. Получение сведений о второй стадии осуществляется через запрос картинки с сервиса Photobucket, в EXIF-метаданных которой содержится IP-адрес для загрузки (IP закодирован в поле координат GPS). Также предусмотрено два запасных варианта - прямое обращение к серверу ToKnowAll.com и создание слушающего соединения для прямой отправки данных о хосте для подключения.

После определения адреса на устройство загружается вторая базовая стадия вредоносного ПО, собранная для конкретных моделей устройств и архитектур CPU. Дополнительно по команде с управляющего сервера могут загружаться модули с расширенной функциональностью или выполняться произвольный код на устройстве. В частности, выявлены модули для анализа и перехвата определённых видов трафика, например, для перехвата учётных записей и разбора протокола Modbus SCADA, а также модуль для обращения к управляющему серверу через Tor.

ФБР удалось по решению суда изъять доменное имя ToKnowAll.com, которое использовалось как запасной метод для доставки второй стадии вредоносного ПО на уже поражённые устройства. На основании выявленной информации в ФБР сделан вывод о причастности к атаке группы Fancy Bear, деятельность которой по мнению некоторых аналитиков находится под покровительством российских спецслужб (достоверных доказательств, судя по всему, нет, только субъективные догадки, такие как использование русского языка и московское время при компиляции).
URL: https://blog.talosintelligence.com/2018/05/VPNFilter.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=48654

Исходное сообщение
"Вредоносное ПО VPNFilter поразило более 500 тысяч домашних м..." Отправлено opennews, 25-Май-18 00:56
Компания Cisco сообщила (https://blog.talosintelligence.com/2018/05/VPNFilter.html) о выявлении вредоносного ПО VPNFilter, поразившего более 500 тысяч домашних и офисных маршрутизаторов, NAS и точек доступа. Благодаря модульной организации вредоносного ПО, оно может поражать различные модели устройств производства Linksys, MikroTik, Netgear, TP-Link и QNAP. После внедрения вредоносное ПО подключает устройство к ботнету, обрабатывает поступающие извне управляющие команды и может выполнять такие действия как вылавливание параметров аутентификации из транзитного трафика, проведение атак на другие устройства и запуск прокси для запутывания следов при совершении целевых атак. Связанный с VPNFilter ботнет строился как минимум с 2016 года и находится под наблюдением исследователей безопасности из Cisco несколько месяцев. Последние три недели активность вовлечения новых устройств сильно возросла, что дало повод предупредить пользователей и раскрыть имеющуюся информацию до полного завершения изучения ботнета. Об аналогичных наблюдениях также сообщила (https://www.symantec.com/blogs/threat-intelligence/vpnfilter...) компания Symantec, которая дополнительно опубликовала список моделей устройств, которые поражает VPNFilter: - Linksys E1200, E2500, WRVS4400N; - Mikrotik RouterOS 1016, 1036, 1072; - Netgear DGN2200, R6400, R7000, R8000, WNR1000, WNR2000; - QNAP TS251, TS439 Pro и другие NAS на базе ПО QTS; - TP-Link R600VPN, В отличие от большинства вредоносных программ поражающих домашние маршрутизаторы, VPNFilter не пропадает после перезагрузки устройства и достаточно проблематичен для удаления благодаря интеграции в прошивку. Тем не менее, для удаления VPNFilter срабатывает сброс к заводским настройкам, для инициирования которого в большинстве устройств следует удерживать кнопку на задней панели от 5 до 10 секунд. Явные признаки компрометации устройства отсутствуют, когда вредоносное ПО не проявляет себя со стороны обнаружить его проблематично (всем обладателям вышеотмеченных устройств для профилактики рекомендовано выполнить сброс к заводским настройкам, обновить прошивку, установить надёжный пароль, отключить дополнительные протоколы удалённого управления и ограничить доступ к web-интерфейсу). Также не ясно используются для атаки только уже известные уязвимости, типовые пароли и оплошности в настройке или производится эксплуатация 0-day уязвимостей (в этом случае обновление прошивки не защищает от повторной атаки). Среди поддерживаемых команд отдельно выделяется функция вывода устройства из строя (порча прошивки, не восстанавливаемая без спецоборудования), с учётом размера ботнета позволяющая в один момент лишить сотен тысяч людей по всему миру без доступа к глобальной сети. VPNFilter также примечателен разделением процесса внедрения на несколько стадий, возможностью загрузки плагинов с реализацией дополнительной функциональности. После первичной эксплуатации на устройство устанавливается первая стадия вредоносного ПО, которая не удаляется после перезагрузки и применяется для доставки основной части вредоносного ПО. Получение сведений о второй стадии осуществляется через запрос картинки с сервиса Photobucket, в EXIF-метаданных которой содержится IP-адрес для загрузки (IP закодирован в поле координат GPS). Также предусмотрено два запасных варианта - прямое обращение к серверу ToKnowAll.com и создание слушающего соединения для прямой отправки данных о хосте для подключения. После определения адреса на устройство загружается вторая базовая стадия вредоносного ПО, собранная для конкретных моделей устройств и архитектур CPU. Дополнительно по команде с управляющего сервера могут загружаться модули с расширенной функциональностью или выполняться произвольный код на устройстве. В частности, выявлены модули для анализа и перехвата определённых видов трафика, например, для перехвата учётных записей и разбора протокола Modbus SCADA, а также модуль для обращения к управляющему серверу через Tor. ФБР удалось по решению суда изъять доменное имя ToKnowAll.com, которое использовалось как запасной метод для доставки второй стадии вредоносного ПО на уже поражённые устройства. На основании выявленной информации в ФБР сделан вывод о причастности к атаке группы Fancy Bear, деятельность которой по мнению некоторых аналитиков находится под покровительством российских спецслужб (достоверных доказательств, судя по всему, нет, только субъективные догадки, такие как использование русского языка и московское время при компиляции). URL: https://blog.talosintelligence.com/2018/05/VPNFilter.html Новость: https://www.opennet.ru/opennews/art.shtml?num=48654

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания Cisco сообщила (https://blog.talosintelligence.com/2018/05/VPNFilter.html) 
> о выявлении вредоносного ПО VPNFilter, поразившего более 500 тысяч домашних и 
> офисных маршрутизаторов, NAS и точек доступа. Благодаря модульной организации вредоносного 
> ПО, оно может поражать различные модели устройств производства Linksys, MikroTik, Netgear, 
> TP-Link и QNAP. После внедрения вредоносное ПО подключает устройство к ботнету, 
> обрабатывает поступающие извне управляющие  команды и может выполнять такие действия 
> как вылавливание параметров аутентификации из транзитного трафика, проведение атак на 
> другие устройства и запуск прокси для запутывания следов при совершении целевых 
> атак.

> Связанный с VPNFilter ботнет строился как минимум с 2016 года и находится 
> под наблюдением исследователей безопасности из Cisco несколько месяцев. Последние три 
> недели активность вовлечения новых устройств сильно возросла, что дало повод предупредить 
> пользователей и раскрыть имеющуюся информацию до полного завершения изучения ботнета. 
 
> Об аналогичных наблюдениях также сообщила (https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware) 
> компания 
> Symantec, которая дополнительно опубликовала список моделей устройств,  которые поражает 
> VPNFilter:

> -     Linksys E1200, E2500, WRVS4400N; 
> -     Mikrotik RouterOS 1016, 1036,  1072; 
> -     Netgear DGN2200, R6400, R7000,  R8000, WNR1000, 
>  WNR2000; 
> -     QNAP TS251, TS439 Pro и другие  
> NAS на базе ПО QTS; 
> -     TP-Link R600VPN,

> В отличие от большинства вредоносных программ поражающих домашние маршрутизаторы, VPNFilter 
> не пропадает после перезагрузки устройства и достаточно проблематичен для удаления благодаря 
> интеграции в прошивку.  Тем не менее, для удаления VPNFilter срабатывает 
> сброс к заводским настройкам, для инициирования которого в большинстве устройств следует 
> удерживать кнопку на задней панели от 5 до 10 секунд. Явные 
> признаки компрометации устройства отсутствуют, когда вредоносное ПО не проявляет себя 
> со стороны обнаружить его проблематично (всем обладателям вышеотмеченных устройств для 
> профилактики рекомендовано выполнить сброс к заводским настройкам, обновить прошивку, 
> установить надёжный пароль, отключить дополнительные протоколы удалённого управления 
> и ограничить доступ к web-интерфейсу).

> Также не ясно используются для атаки только уже известные уязвимости, типовые пароли 
> и оплошности в настройке или производится эксплуатация 0-day уязвимостей (в этом 
> случае обновление прошивки не защищает от повторной атаки). Среди поддерживаемых команд 
> отдельно выделяется функция вывода устройства из строя (порча прошивки, не восстанавливаемая 
> без спецоборудования), с учётом размера ботнета позволяющая в один момент лишить 
> сотен тысяч людей по всему миру без доступа к глобальной сети.

> VPNFilter также примечателен разделением процесса внедрения на несколько стадий, возможностью 
> загрузки плагинов с реализацией дополнительной функциональности. После первичной эксплуатации 
> на устройство устанавливается первая стадия вредоносного ПО, которая не удаляется после 
> перезагрузки и применяется для доставки основной части вредоносного ПО. Получение сведений 
> о второй стадии осуществляется через запрос картинки с сервиса Photobucket, в 
> EXIF-метаданных которой содержится IP-адрес для загрузки (IP закодирован в поле координат 
> GPS). Также предусмотрено два запасных варианта - прямое обращение к серверу 
> ToKnowAll.com и создание слушающего соединения для прямой отправки данных о хосте 
> для подключения.

> После определения адреса на устройство загружается вторая базовая стадия вредоносного 
> ПО, собранная для конкретных моделей устройств и архитектур CPU. Дополнительно по 
> команде с управляющего сервера могут загружаться модули с расширенной функциональностью 
> или выполняться произвольный код на устройстве. В частности, выявлены модули для 
> анализа и перехвата определённых видов трафика, например, для перехвата учётных записей 
> и разбора протокола Modbus SCADA, а также модуль для обращения к 
> управляющему серверу через Tor.

> ФБР удалось по решению суда изъять доменное имя ToKnowAll.com, которое использовалось как 
> запасной метод для доставки второй стадии вредоносного ПО на уже поражённые 
> устройства. На основании выявленной информации в ФБР сделан вывод о причастности 
> к атаке группы Fancy Bear, деятельность которой по мнению некоторых аналитиков 
> находится под покровительством российских спецслужб (достоверных доказательств, судя 
> по всему, нет, только субъективные догадки, такие как использование русского языка 
> и московское время при компиляции).

> URL: https://blog.talosintelligence.com/2018/05/VPNFilter.html 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=48654

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру