Comment repérer les logiciels malveillants VPNFilter avant qu'ils ne détruisent votre routeur
Les logiciels malveillants de routeurs, de périphériques réseau et d’Internet of Things sont de plus en plus courants. La plupart se concentrent sur l'infection des périphériques vulnérables et leur ajout à de puissants réseaux de zombies. Les routeurs et les périphériques Internet des objets (IoT) sont toujours sous tension, toujours en ligne et attendent des instructions. Parfait fourrage botnet, puis.
Mais tous les logiciels malveillants ne sont pas identiques.
VPNFilter constitue une menace malveillante destructrice pour les routeurs, les périphériques IoT et même certains périphériques de stockage connecté au réseau (NAS). Comment vérifiez-vous une infection de malware VPNFilter? Et comment pouvez-vous le nettoyer? Regardons de plus près VPNFilter.
Qu'est-ce que VPNFilter?
VPNFilter est une variante de logiciel malveillant modulaire sophistiquée qui cible principalement les périphériques réseau d'un grand nombre de fabricants, ainsi que les périphériques NAS. VPNFilter a été initialement détecté sur les périphériques réseau Linksys, MikroTik, NETGEAR et TP-Link, ainsi que sur les périphériques QNAP NAS, avec environ 500 000 infections dans 54 pays..
Cisco Talos, l’équipe qui a découvert VPNFilter, a récemment mis à jour les détails relatifs au malware, indiquant que les équipements réseau de fabricants tels que ASUS, D-Link, Huawei, Ubiquiti, UPVEL et ZTE présentaient désormais des infections par VPNFilter. Cependant, au moment de la rédaction de cet article, aucun périphérique réseau Cisco n'est affecté..
Le logiciel malveillant diffère de la plupart des autres logiciels malveillants axés sur l'IdO, car il persiste après le redémarrage du système, ce qui rend l'éradication difficile. Les périphériques utilisant leurs identifiants de connexion par défaut ou des vulnérabilités jour zéro connues qui n'ont pas reçu de mises à jour de microprogramme sont particulièrement vulnérables.
Que fait VPNFilter??
Donc, VPNFilter est un “plate-forme modulaire à plusieurs étages” pouvant causer des dommages destructeurs aux appareils. En outre, cela peut également constituer une menace pour la collecte de données. VPNFilter fonctionne en plusieurs étapes.
Étape 1: VPNFilter Stage 1 établit une tête de pont sur le périphérique et contacte son serveur de commande et de contrôle (C & C) pour télécharger des modules supplémentaires et attendre des instructions. L'étape 1 comporte également plusieurs redondances intégrées pour localiser les contrôleurs de domaine de l'étape 2 en cas de changement d'infrastructure pendant le déploiement. Le logiciel malveillant Étape 1 VPNFilter peut également survivre à un redémarrage, ce qui en fait une menace redoutable..
Étape 2: VPNFilter Stage 2 ne persiste pas après un redémarrage, mais il propose une gamme de fonctionnalités plus étendue. L'étape 2 peut collecter des données privées, exécuter des commandes et interférer avec la gestion des périphériques. En outre, il existe différentes versions de Stage 2 dans la nature. Certaines versions sont équipées d'un module destructeur qui écrase une partition du microprogramme du périphérique, puis redémarre pour rendre le périphérique inutilisable (le programme malveillant brique le routeur, l'IdO ou le périphérique NAS, en gros)..
Étape 3: Les modules VPNFilter Stage 3 fonctionnent comme des plugins pour Stage 2, étendant les fonctionnalités de VPNFilter. Un module agit comme un renifleur de paquet qui collecte le trafic entrant sur le périphérique et vole les informations d'identification. Une autre permet au malware de l'étape 2 de communiquer en toute sécurité à l'aide de Tor. Cisco Talos a également découvert un module qui injecte un contenu malveillant dans le trafic transitant par le périphérique, ce qui signifie que le pirate informatique peut fournir d'autres exploits à d'autres périphériques connectés via un routeur, un périphérique IoT ou NAS..
De plus, les modules VPNFilter “permettre le vol des identifiants de site Web et la surveillance des protocoles Modbus SCADA.”
Partage de photos méta
Une autre caractéristique intéressante (mais pas récemment découverte) du programme malveillant VPNFilter est son utilisation des services de partage de photos en ligne pour rechercher l'adresse IP de son serveur C & C. L'analyse Talos a révélé que le programme malveillant pointait vers une série d'URL Photobucket. Le logiciel malveillant télécharge sur la première image de la galerie les références d'URL et extrait une adresse IP de serveur masquée dans les métadonnées de l'image..
L'adresse IP “est extrait de six valeurs entières pour la latitude et la longitude GPS dans les informations EXIF.” Si cela échoue, le programme malveillant de la phase 1 revient à un domaine normal (toknowall.com-more ci-dessous) pour télécharger l'image et tenter le même processus..
Reniflage de paquets ciblé
Le rapport actualisé de Talos a révélé des informations intéressantes sur le module de détection de paquets VPNFilter. Plutôt que de simplement tout passer, nous avons un ensemble de règles assez strictes qui ciblent des types de trafic spécifiques. Plus précisément, le trafic des systèmes de contrôle industriels (SCADA) qui se connectent à l'aide de VP-VP R600 TP-Link, les connexions à une liste d'adresses IP prédéfinies (indiquant une connaissance avancée d'autres réseaux et le trafic souhaité), ainsi que des paquets de données de 150 octets ou plus grand.
Craig William, haut responsable des technologies et responsable international de la sensibilisation chez Talos, a déclaré à Ars, “Ils recherchent des choses très spécifiques. Ils n'essayent pas de générer autant de trafic que possible. Ils recherchent de très petites choses comme les identifiants et les mots de passe. Nous n'avons pas beaucoup d'informations à ce sujet, sauf que cela semble incroyablement ciblé et incroyablement sophistiqué. Nous essayons toujours de savoir qui ils utilisaient cela.”
D'où vient VPNFilter??
VPNFilter serait l’œuvre d’un groupe de piratage informatique parrainé par l’État. La vague d'infection initiale de VPNFilter a principalement été ressentie sur l'ensemble du territoire ukrainien, les doigts initiaux indiquant les empreintes digitales du dossier russe et le groupe de piratage informatique, Fancy Bear..
Cependant, la sophistication du logiciel malveillant n’existe pas clairement et aucun groupe de piratage informatique, national ou autre, n’a pris la résolution de revendiquer le logiciel malveillant. Compte tenu des règles détaillées en matière de programmes malveillants et du ciblage du SCADA et d’autres protocoles de systèmes industriels, un acteur État-nation semble le plus probable..
Indépendamment de ce que je pense, le FBI pense que VPNFilter est une création de Fancy Bear. En mai 2018, le FBI a saisi un domaine, ToKnowAll.com, qui aurait servi à installer et à commander le programme malveillant Étape 2 et Étape 3, VPNFilter. La saisie de domaine a certes permis d’empêcher la propagation immédiate de VPNFilter, mais n’a pas sectionné l’artère principale; la SBU ukrainienne a mis un terme à l'attaque de VPNFilter contre une usine de traitement de produits chimiques en juillet 2018, pour une.
VPNFilter présente également des similitudes avec le programme malveillant BlackEnergy, un cheval de Troie APT utilisé contre un large éventail de cibles ukrainiennes. Encore une fois, bien que cela soit loin d’être une preuve irréfutable, le ciblage systémique de l’Ukraine découle principalement de groupes de piratage ayant des liens avec la Russie..
Suis-je infecté par VPNFilter?
Les chances sont, votre routeur n'héberge pas le malware VPNFilter. Mais il vaut toujours mieux prévenir que guérir:
- Vérifiez cette liste pour votre routeur. Si vous n'êtes pas sur la liste, tout va bien.
- Vous pouvez vous rendre sur le site Symantec VPNFilter Check. Cochez la case des termes et conditions, puis cliquez sur le bouton Exécuter le contrôle VPNFilter bouton au milieu. Le test se termine en quelques secondes.
Je suis infecté par VPNFilter: que dois-je faire??
Si Symantec VPNFilter Check confirme que votre routeur est infecté, vous avez un plan d'action clair..
- Réinitialisez votre routeur, puis exécutez à nouveau le VPNFilter Check.
- Réinitialiser votre routeur aux paramètres d'usine.
- Téléchargez le dernier micrologiciel de votre routeur et effectuez une nouvelle installation, de préférence sans que le routeur établisse une connexion en ligne au cours du processus..
De plus, vous devez effectuer des analyses complètes du système sur chaque périphérique connecté au routeur infecté..
Vous devez toujours modifier les identifiants de connexion par défaut de votre routeur, ainsi que de tout périphérique IoT ou NAS (les périphériques IoT ne facilitent pas cette tâche. Pourquoi l'Internet des objets est-il le plus grand cauchemar en matière de sécurité? Pourquoi l'Internet des objets est le plus grand cauchemar en matière de sécurité Un jour, vous arrivez chez vous après le travail pour découvrir que votre système de sécurité domestique basé sur le cloud a été violé. Comment cela pourrait-il se produire? Avec l'Internet des objets (IoT), vous pourriez trouver la solution la plus difficile. Lire la suite) si possible. . De plus, bien qu'il soit prouvé que VPNFilter peut échapper à certains pare-feu, son installation est correctement configurée. 7 Conseils simples pour sécuriser votre routeur et votre réseau Wi-Fi en quelques minutes 7 Conseils simples pour sécuriser votre routeur et votre réseau Wi-Fi en quelques minutes et écouter votre trafic Wi-Fi, voler vos mots de passe et vos numéros de carte de crédit? Voulez-vous même savoir si quelqu'un était? Probablement pas, alors sécurisez votre réseau sans fil avec ces 7 étapes simples. Lire plus vous aidera à garder beaucoup d'autres choses désagréables hors de votre réseau.
Attention aux logiciels malveillants du routeur!
Les logiciels malveillants de routeur sont de plus en plus courants. Les logiciels malveillants et les vulnérabilités liés à l'Internet des objets sont omniprésents et avec le nombre d'appareils mis en ligne, la situation ne fera que s'aggraver. Votre routeur est le point central des données de votre domicile. Pourtant, il ne reçoit pas autant d'attention de sécurité que d'autres appareils.
En termes simples, votre routeur n’est pas sécurisé, car vous pensez que 10 façons de le faire ne sont pas aussi sûres que vous ne le pensez 10 raisons que votre routeur ne sont pas aussi sûres que vous le pensez Voici 10 façons dont votre routeur peut être exploité par des pirates informatiques et des lecteurs malveillants par les pirates de l'air sans fil. Lire la suite .
En savoir plus sur: Internet des objets, Malware, Sécurité en ligne, Routeur.