Cómo detectar VPNFilter Malware antes de que destruya su enrutador

Cómo detectar VPNFilter Malware antes de que destruya su enrutador

El malware de enrutadores, dispositivos de red e Internet de las cosas es cada vez más común. La mayoría se enfoca en infectar dispositivos vulnerables y agregarlos a poderosas botnets. Los enrutadores y los dispositivos de Internet de las cosas (IoT) siempre están encendidos, siempre en línea y esperando instrucciones. El forraje perfecto de la botnet, entonces.





Pero no todo el malware es igual.



VPNFilter es una amenaza de malware destructiva para enrutadores, dispositivos IoT e incluso algunos dispositivos de almacenamiento conectados a la red (NAS). ¿Cómo se comprueba si hay una infección de malware VPNFilter? ¿Y cómo puedes limpiarlo? Echemos un vistazo más de cerca a VPNFilter.





¿Qué es VPNFilter?

VPNFilter es una variante de malware modular sofisticada que se dirige principalmente a dispositivos de red de una amplia gama de fabricantes, así como a dispositivos NAS. VPNFilter se encontró inicialmente en dispositivos de red Linksys, MikroTik, NETGEAR y TP-Link, así como en dispositivos NAS de QNAP, con alrededor de 500.000 infecciones en 54 países.

los equipo que descubrió VPNFilter , Cisco Talos, detalles actualizados recientemente con respecto al malware, lo que indica que los equipos de red de fabricantes como ASUS, D-Link, Huawei, Ubiquiti, UPVEL y ZTE ahora muestran infecciones de VPNFilter. Sin embargo, en el momento de redactar este documento, ningún dispositivo de red de Cisco se ve afectado.



El malware es diferente a la mayoría de los demás malware centrados en IoT porque persiste después de reiniciar el sistema, lo que dificulta su erradicación. Los dispositivos que utilizan sus credenciales de inicio de sesión predeterminadas o con vulnerabilidades conocidas de día cero que no han recibido actualizaciones de firmware son particularmente vulnerables.

averigua qué era un video de youtube eliminado

¿Qué hace VPNFilter?

Por lo tanto, VPNFilter es una 'plataforma modular de múltiples etapas' que puede causar daños destructivos a los dispositivos. Además, también puede servir como una amenaza para la recopilación de datos. VPNFilter funciona en varias etapas.



Nivel 1: VPNFilter Stage 1 establece una cabeza de playa en el dispositivo, contactando a su servidor de comando y control (C&C) para descargar módulos adicionales y esperar instrucciones. La etapa 1 también tiene múltiples redundancias incorporadas para ubicar los C & C de la etapa 2 en caso de cambio de infraestructura durante la implementación. El malware Stage 1 VPNFilter también puede sobrevivir a un reinicio, lo que lo convierte en una amenaza sólida.

Etapa 2: VPNFilter Stage 2 no persiste a través de un reinicio, pero viene con una gama más amplia de capacidades. La etapa 2 puede recopilar datos privados, ejecutar comandos e interferir con la administración de dispositivos. Además, existen diferentes versiones de Stage 2 en la naturaleza. Algunas versiones están equipadas con un módulo destructivo que sobrescribe una partición del firmware del dispositivo y luego se reinicia para inutilizar el dispositivo (el malware bloquea el enrutador, el IoT o el dispositivo NAS, básicamente).



Etapa 3: Los módulos de VPNFilter Stage 3 funcionan como complementos para Stage 2, extendiendo la funcionalidad de VPNFilter. Un módulo actúa como un rastreador de paquetes que recopila el tráfico entrante en el dispositivo y roba las credenciales. Otro permite que el malware Stage 2 se comunique de forma segura usando Tor. Cisco Talos también encontró un módulo que inyecta contenido malicioso en el tráfico que pasa a través del dispositivo, lo que significa que el pirata informático puede entregar más exploits a otros dispositivos conectados a través de un enrutador, IoT o dispositivo NAS.

Además, los módulos VPNFilter 'permiten el robo de credenciales de sitios web y el monitoreo de protocolos Modbus SCADA'.

Meta para compartir fotos

Otra característica interesante (pero no descubierta recientemente) del malware VPNFilter es el uso de servicios para compartir fotos en línea para encontrar la dirección IP de su servidor C&C. El análisis de Talos encontró que el malware apunta a una serie de URL de Photobucket. El malware descarga la primera imagen de la galería a la que hace referencia la URL y extrae una dirección IP de servidor oculta dentro de los metadatos de la imagen.

La dirección IP 'se extrae de seis valores enteros para la latitud y longitud del GPS en la información EXIF'. Si eso falla, el malware de la Etapa 1 recurre a un dominio normal (toknowall.com, más sobre esto a continuación) para descargar la imagen e intentar el mismo proceso.

Detección de paquetes dirigida

El informe actualizado de Talos reveló algunas ideas interesantes sobre el módulo de rastreo de paquetes VPNFilter. En lugar de simplemente aspirar todo, tiene un conjunto bastante estricto de reglas que se dirigen a tipos específicos de tráfico. Específicamente, tráfico de sistemas de control industrial (SCADA) que se conectan usando TP-Link R600 VPN, conexiones a una lista de direcciones IP predefinidas (que indican un conocimiento avanzado de otras redes y tráfico deseable), así como paquetes de datos de 150 bytes. o más grande.

Craig William, líder senior de tecnología y gerente de alcance global de Talos, le dijo a Ars , 'Están buscando cosas muy específicas. No están tratando de acumular tanto tráfico como pueden. Buscan ciertas cosas muy pequeñas como credenciales y contraseñas. No tenemos mucha información sobre eso, aparte de que parece increíblemente específico e increíblemente sofisticado. Todavía estamos tratando de averiguar en quién estaban usando eso '.

¿De dónde vino VPNFilter?

Se cree que VPNFilter es el trabajo de un grupo de piratería patrocinado por el estado. Que el aumento inicial de la infección de VPNFilter se sintió predominantemente en toda Ucrania, los dedos iniciales señalaron las huellas dactilares respaldadas por rusos y el grupo de piratas informáticos, Fancy Bear.

Sin embargo, tal es la sofisticación del malware que no hay una génesis clara y ningún grupo de piratería, estado nacional o de otro tipo, ha dado un paso adelante para reclamar el malware. Dadas las reglas detalladas de malware y la orientación de SCADA y otros protocolos de sistemas industriales, lo más probable es que un actor de estado-nación parezca más probable.

Independientemente de lo que piense, el FBI cree que VPNFilter es una creación de Fancy Bear. En mayo de 2018, el FBI se apoderó de un dominio --- ToKnowAll.com --- que se pensó que se había utilizado para instalar y controlar el malware Stage 2 y Stage 3 VPNFilter. La incautación del dominio ciertamente ayudó a detener la propagación inmediata de VPNFilter, pero no cortó la arteria principal; La SBU ucraniana derribó un ataque VPNFilter en una planta de procesamiento químico en julio de 2018, por ejemplo.

Raspberry pi ejecutar el script de Python en el inicio

VPNFilter también tiene similitudes con el malware BlackEnergy, un troyano APT en uso contra una amplia gama de objetivos ucranianos. Una vez más, si bien esto está lejos de ser una prueba completa, el objetivo sistémico de Ucrania proviene principalmente de grupos de piratería con vínculos con Rusia.

¿Estoy infectado con VPNFilter?

Lo más probable es que su enrutador no esté albergando el malware VPNFilter. Pero siempre es mejor prevenir que curar:

  1. Revisa esta lista para su enrutador. Si no está en la lista, todo está bien.
  2. Puede dirigirse al sitio Symantec VPNFilter Check. Marque la casilla de términos y condiciones, luego presione el Ejecute VPNFilter Check botón en el medio. La prueba se completa en segundos.

Estoy infectado con VPNFilter: ¿qué debo hacer?

Si Symantec VPNFilter Check confirma que su enrutador está infectado, tiene un curso de acción claro.

  1. Reinicie su enrutador, luego ejecute VPNFilter Check nuevamente.
  2. Restablece tu enrutador a la configuración de fábrica.
  3. Descargue el firmware más reciente para su enrutador y complete una instalación limpia del firmware, preferiblemente sin que el enrutador realice una conexión en línea durante el proceso.

Además de esto, debe completar análisis completos del sistema en cada dispositivo conectado al enrutador infectado.

Siempre debe cambiar las credenciales de inicio de sesión predeterminadas de su enrutador, así como cualquier dispositivo IoT o NAS (los dispositivos IoT no facilitan esta tarea) si es posible. Además, aunque existe evidencia de que VPNFilter puede evadir algunos firewalls, tener uno instalado y configurado correctamente ayudará a mantener muchas otras cosas desagradables fuera de su red.

¡Cuidado con el malware del enrutador!

El malware de enrutador es cada vez más común. El malware y las vulnerabilidades de IoT están en todas partes, y con la cantidad de dispositivos que se conectan, solo empeorarán. Su enrutador es el punto focal de datos en su hogar. Sin embargo, no recibe tanta atención de seguridad como otros dispositivos.

En pocas palabras, su enrutador no es seguro como cree.

Cuota Cuota Pío Correo electrónico Una guía para principiantes para animar el habla

Animar el habla puede ser un desafío. Si está listo para comenzar a agregar diálogos a su proyecto, analizaremos el proceso por usted.

Leer siguiente Temas relacionados
  • Seguridad
  • Enrutador
  • Seguridad en línea
  • Internet de las Cosas
  • Software malicioso
Sobre el Autor Gavin Phillips(945 Artículos publicados)

Gavin es el editor junior de Windows and Technology Explained, colaborador habitual del Really Useful Podcast y crítico de productos habitual. Tiene una licenciatura (con honores) en escritura contemporánea con prácticas de arte digital saqueadas de las colinas de Devon, así como más de una década de experiencia profesional en escritura. Disfruta de grandes cantidades de té, juegos de mesa y fútbol.

Windows 10 no se despierta
Más de Gavin Phillips

Suscríbete a nuestro boletín

¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!

Haga clic aquí para suscribirse