Comment repérer les logiciels malveillants VPNFilter avant qu'ils ne détruisent votre routeur
Added 2018-09-18
Les logiciels malveillants de routeurs, de périphériques réseau et d’Internet of Things sont de plus en plus courants. La plupart se concentrent sur l'infection des périphériques vulnérables et leur ajout à de puissants réseaux de zombies. Les routeurs et les périphériques Internet des objets (IoT) sont toujours alimentés, toujours en ligne et attendent des instructions. Parfait fourrage botnet, alors.
Mais tous les logiciels malveillants ne sont pas pareils.
VPNFilter constitue une menace malveillante destructrice pour les routeurs, les périphériques IoT et même certains périphériques de stockage connecté au réseau (NAS). Comment vérifiez-vous une infection de malware VPNFilter? Et comment pouvez-vous le nettoyer? Examinons de plus près VPNFilter.
Qu'est-ce que VPNFilter?
VPNFilter est une variante de logiciel malveillant modulaire sophistiquée qui cible principalement les périphériques réseau d'un grand nombre de fabricants, ainsi que les périphériques NAS. VPNFilter a été initialement détecté sur les périphériques réseau Linksys, MikroTik, NETGEAR et TP-Link, ainsi que sur les périphériques NAS QNAP, avec environ 500 000 infections dans 54 pays.
le équipe qui a découvert VPNFilter , Cisco Talos, détails récemment mis à jour concernant les logiciels malveillants, indiquant que les équipements réseau de fabricants tels que ASUS, D-Link, Huawei, Ubiquiti, UPVEL et ZTE présentent désormais des infections par VPNFilter. Cependant, au moment de la rédaction de cet article, aucun périphérique réseau Cisco n'est affecté.
Le logiciel malveillant diffère de la plupart des autres logiciels malveillants axés sur l'IdO, car il persiste après le redémarrage du système, ce qui rend son éradication difficile. Les périphériques qui utilisent leurs informations d'identification de connexion par défaut ou des vulnérabilités jour zéro connues et qui n'ont pas reçu de mises à jour de microprogramme sont particulièrement vulnérables.
Que fait VPNFilter?
VPNFilter est donc une «plate-forme modulaire à plusieurs étages» pouvant endommager les périphériques de manière destructive. . En outre, cela peut également constituer une menace pour la collecte de données. VPNFilter fonctionne en plusieurs étapes.
Étape 1: VPNFilter Stage 1 établit une tête de pont sur le périphérique et contacte son serveur de commande et de contrôle (C & C) pour télécharger des modules supplémentaires et attendre des instructions. L'étape 1 comporte également plusieurs redondances intégrées pour localiser les contrôleurs de domaine de l'étape 2 en cas de changement d'infrastructure pendant le déploiement. Le logiciel malveillant Étape 1 VPNFilter peut également survivre à un redémarrage, ce qui en fait une menace redoutable.
Étape 2: VPNFilter Stage 2 ne persiste pas après un redémarrage, mais il propose une gamme de fonctionnalités plus étendue. L'étape 2 peut collecter des données privées, exécuter des commandes et interférer avec la gestion des périphériques. En outre, il existe différentes versions de Stage 2 dans la nature. Certaines versions sont équipées d'un module destructeur qui écrase une partition du microprogramme du périphérique, puis redémarre pour le rendre inutilisable (le programme malveillant brique le routeur, l'IoT ou le périphérique NAS, en gros).
Étape 3: Les modules VPNFilter Stage 3 fonctionnent comme des plugins pour Stage 2, étendant les fonctionnalités de VPNFilter. Un module agit comme un renifleur de paquet qui collecte le trafic entrant sur le périphérique et vole les informations d'identification. Une autre permet au programme malveillant de la phase 2 de communiquer en toute sécurité à l’aide de Tor. Cisco Talos a également découvert un module qui injecte un contenu malveillant dans le trafic transitant par le périphérique, ce qui signifie que le pirate informatique peut fournir d'autres exploits aux autres périphériques connectés via un routeur, un périphérique IoT ou NAS.
En outre, les modules VPNFilter «permettent le vol des identifiants de site Web et la surveillance des protocoles Modbus SCADA».
Partage de photos méta
Une autre caractéristique intéressante (mais pas nouvellement découverte) du programme malveillant VPNFilter est son utilisation des services de partage de photos en ligne pour rechercher l'adresse IP de son serveur C & C. L'analyse Talos a révélé que le programme malveillant pointait vers une série d'URL Photobucket. Le logiciel malveillant télécharge sur la première image de la galerie les références URL et extrait une adresse IP de serveur masquée dans les métadonnées de l'image.
L'adresse IP "est extraite de six valeurs entières pour la latitude et la longitude GPS dans les informations EXIF". En cas d'échec, le programme malveillant de la phase 1 revient à un domaine normal (toknowall.com, à propos de ce qui suit) pour télécharger l'image et essayez le même processus.
Reniflage de paquets ciblé
Le rapport actualisé de Talos a révélé des informations intéressantes sur le module de détection de paquets VPNFilter. Plutôt que de simplement tout passer, vous avez un ensemble de règles assez strictes qui ciblent des types de trafic spécifiques. Plus précisément, le trafic des systèmes de contrôle industriels (SCADA) qui se connectent à l'aide de VP-VP R600 TP-Link, les connexions à une liste d'adresses IP prédéfinies (indiquant une connaissance avancée d'autres réseaux et du trafic souhaité), ainsi que des paquets de données de 150 octets. ou plus grand.
Craig William, leader en technologie et responsable international de la sensibilisation chez Talos, dit à Ars , «Ils recherchent des choses très spécifiques. Ils ne cherchent pas à rassembler autant de trafic que possible. Ils recherchent de très petites choses comme les identifiants et les mots de passe. Nous n’avons pas beaucoup d’informations à ce sujet, à moins que cela ne semble incroyablement ciblé et sophistiqué. Nous essayons toujours de savoir pour qui ils utilisaient cela. "
D'où vient VPNFilter?
On pense que VPNFilter est l'œuvre d'un groupe de piratage parrainé par l'État . Le virus de l'infection initiale de VPNFilter a principalement été ressenti dans l'ensemble de l'Ukraine; il a en effet indiqué des empreintes digitales à dos russe et le groupe de piratage informatique, Fancy Bear.
Cependant, la sophistication du logiciel malveillant est telle qu’il n’ya pas de genèse claire et qu’aucun groupe de piratage informatique, national ou autre, ne s’est avancé pour le revendiquer. Compte tenu des règles détaillées relatives aux programmes malveillants et du ciblage du SCADA et d’autres protocoles de systèmes industriels, un acteur État-nation semble le plus probable.
Indépendamment de ce que je pense, le FBI pense que VPNFilter est une création de Fancy Bear. En mai 2018, le FBI saisi un domaine —ToKnowAll.com — que l'on pensait avoir été utilisé pour installer et commander les programmes malveillants de niveau 2 et 3 de VPNFilter. La saisie de domaine a certes permis d’empêcher la propagation immédiate de VPNFilter, mais elle n’a pas sectionné l’artère principale; l'UKU ukrainien a mis un terme à l'attaque par un VPNFilter d'une usine de traitement de produits chimiques en juillet 2018.
VPNFilter présente également des similitudes avec le programme malveillant BlackEnergy, un cheval de Troie APT utilisé contre un large éventail de cibles ukrainiennes. Là encore, bien que cela soit loin d’être une preuve irréfutable, le ciblage systémique de l’Ukraine découle principalement de groupes de piratage ayant des liens avec la Russie.
Suis-je infecté par VPNFilter?
Les chances sont, votre routeur n'héberge pas le malware VPNFilter. Mais il vaut toujours mieux prévenir que guérir:
- Vérifiez cette liste pour votre routeur. Si vous n'êtes pas sur la liste, tout va bien.
- Vous pouvez vous diriger vers le Site Symantec VPNFilter Check . Cochez la case des termes et conditions, puis cliquez sur le bouton Exécuter le contrôle VPNFilter bouton au milieu. Le test se termine en quelques secondes.
Je suis infecté par VPNFilter: que dois-je faire?
Si Symantec VPNFilter Check confirme que votre routeur est infecté, vous avez un plan d'action clair.
- Réinitialisez votre routeur, puis exécutez à nouveau le VPNFilter Check.
- Réinitialisez votre routeur aux paramètres d'usine.
- Téléchargez le dernier micrologiciel de votre routeur et effectuez une nouvelle installation, de préférence sans que le routeur établisse une connexion en ligne au cours du processus.
De plus, vous devez effectuer des analyses complètes du système sur chaque périphérique connecté au routeur infecté.
Méfiez-vous des routeurs Malware!
Les logiciels malveillants de routeur sont de plus en plus courants. Les logiciels malveillants et les vulnérabilités liés à l'Internet des objets sont omniprésents et avec le nombre de périphériques mis en ligne, la situation ne fera que s'aggraver. Votre routeur est le point central des données de votre domicile. Pourtant, il ne reçoit presque pas autant d’attention en matière de sécurité que les autres appareils.