forum.opennet.ru

Составление сообщения

Исходное сообщение

"Новые сведения о вредоносном ПО VPNFilter, поражающем домашн..."
Отправлено opennews, 07-Июн-18 12:29

Стали известны (https://blog.talosintelligence.com/2018/06/vpnfilter-update....) дополнительные подробности о вредоносном ПО VPNFilter, поразившем (https://www.opennet.ru/opennews/art.shtml?num=48654) более 500 тысяч домашних маршрутизаторов.  Кроме атак на устройства  производства Linksys, MikroTik, Netgear, TP-Link и QNAP факты компрометации также выявлены для различных моделей маршрутизаторов и беспроводных точек ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE (общий список вовлечённых в атаку моделей увеличился с 16 до 72). По новым данным  образованный вредоносным ПО VPNFilter ботнет может включать на 200 тысяч устройств больше, чем предполагалось изначально.

Помимо модулей для анализа трафика и обращения к управляющему серверу через Tor выявлено два новых модуля-плагина, подгружаемых вредоносным ПО для проведения определённых видов атак:

-  ssler - модуль для проведения MITM-атак по перехвату и модификации незащищённого web-трафика, проходящего через 80 сетевой порт. Модуль может прикреплять к web-страницам JavaScript-код для эксплуатации уязвимостей в браузерах и сохранять фигурирующие в запросах пароли и идентификаторы сеансов, а также отслеживать обращение к сайтам, подобным accounts.google.com.

Модуль непосредственно не поддерживает анализ HTTPS, но заменяет в проходящих через него незашифрованных web-страницах, запросах и HTTP-заголовке Location все ссылки "https://" на " http://", вырезает заголовки CSP, а также вычищает в заголовке Accept-Encoding  данные о поддержке gzip-сжатия. Подмена приводит к тому, что клиент начинает обращаться к https-ресурсам  по http:// без шифрования. Для  сайтов google.com, twitter.com, facebook.com и youtube.com, которые поддерживают только HTTPS, незашифрованные HTTP-запросы клиента транcлируются в исходящие запросы HTTPS;

-  dstr (device destruction) - модуль для перезаписи файлов прошивок, который повреждает прошивку для приведения устройств к невозможности загрузки (для восстановления требуется перепрошивка с использованием специального оборудования). Модуль вначале пытается удалить файлы и процессы, связанные с VPNFilter, после чего инициирует операцию очистки Flash через заполнение файлов-устройств /dev/mtdX значением  0xFF, а затем выполнение команду "rm -rf /*" для удаления данных в оставшихся ФС.

Обновлённый список оборудования, которое поражает VPNFilter:

-  Asus RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U,
RT-N66U;
-  D-Link DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N,
DSR-1000, DSR-1000N;
-  Huawei HG8245;
-  Linksys E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N;
-  Mikrotik CCR1009, CCR1016, CCR1036, CCR1072, CRS109,
CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5;
-  Netgear DG834, DGN1000,
DGN2200,
DGN3500,
FVS318N,
MBRN3000,
R6400,
R7000,
R8000,
WNR1000,
WNR2000,
WNR2200,
WNR4000,
WNDR3700,
WNDR4000,
WNDR4300,
WNDR4300-TN,
UTM50;
-  QNAP TS251, TS439 Pro и другие модели на базе ПО QTS;
-  TP-Link R600VPN, TL-WR741ND, TL-WR841N;
-  Ubiquiti NSM2 и PBE M5;
-  Upvel (конкретные модели не сообщаются)
-  ZTE ZXHN H108N.
Пользователям отмеченных устройств рекомендуется как минимум перезагрузить устройство, но данное действие приведёт лишь к временной деактивации основного компонента вредоносного ПО, так как код загрузчика VPNFilter интегрируется в прошивку и не удаляется после перезагрузки. Правоохранительные органы проделали работу по блокировке серверов для автоматической загрузке основной части VPNFilter, но в загрузчике вредоносного ПО остаётся возможность пассивного отслеживания в трафике специальных пакетов с  данными о новом хосте для подключения.

В некоторых моделях устройств можно избавиться от загрузчика вредоносного ПО через сброс к заводским настройкам (следует удерживать кнопку на задней панели от 5 до 10 секунд). Желательной мерой является  обновление прошивки,  а также установка надёжного пароля, отключение дополнительных протоколов удалённого управления и ограничение внешнего доступа к устройству и его web-интерфейсу.
Проверка наличия вредоносного ПО в устройстве проблематична, так как VPNFilter может находиться в пассивном режиме и никак не проявлять себя. В качестве действенной меры определения VPNFilter упоминается сохранение дампа текущей прошивки и  сравнение контрольной суммы с эталонным вариантом от производителя, но данный метод слишком сложен для рядовых пользователей. Также возможен разбор начинки прошивки: о наличии вредоносного ПО в системе может указывать наличие файлов/каталогов /var/run/vpnfilter, /var/tmp/client.key, /tmp/client.key, /etc/init/security, /etc/loader/init.x3, /etc/devel-login или /etc/loader/.
URL: https://blog.talosintelligence.com/2018/06/vpnfilter-update....
Новость: https://www.opennet.ru/opennews/art.shtml?num=48732

Исходное сообщение
"Новые сведения о вредоносном ПО VPNFilter, поражающем домашн..." Отправлено opennews, 07-Июн-18 12:29
Стали известны (https://blog.talosintelligence.com/2018/06/vpnfilter-update....) дополнительные подробности о вредоносном ПО VPNFilter, поразившем (https://www.opennet.ru/opennews/art.shtml?num=48654) более 500 тысяч домашних маршрутизаторов. Кроме атак на устройства производства Linksys, MikroTik, Netgear, TP-Link и QNAP факты компрометации также выявлены для различных моделей маршрутизаторов и беспроводных точек ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE (общий список вовлечённых в атаку моделей увеличился с 16 до 72). По новым данным образованный вредоносным ПО VPNFilter ботнет может включать на 200 тысяч устройств больше, чем предполагалось изначально. Помимо модулей для анализа трафика и обращения к управляющему серверу через Tor выявлено два новых модуля-плагина, подгружаемых вредоносным ПО для проведения определённых видов атак: - ssler - модуль для проведения MITM-атак по перехвату и модификации незащищённого web-трафика, проходящего через 80 сетевой порт. Модуль может прикреплять к web-страницам JavaScript-код для эксплуатации уязвимостей в браузерах и сохранять фигурирующие в запросах пароли и идентификаторы сеансов, а также отслеживать обращение к сайтам, подобным accounts.google.com. Модуль непосредственно не поддерживает анализ HTTPS, но заменяет в проходящих через него незашифрованных web-страницах, запросах и HTTP-заголовке Location все ссылки "https://" на " http://", вырезает заголовки CSP, а также вычищает в заголовке Accept-Encoding данные о поддержке gzip-сжатия. Подмена приводит к тому, что клиент начинает обращаться к https-ресурсам по http:// без шифрования. Для сайтов google.com, twitter.com, facebook.com и youtube.com, которые поддерживают только HTTPS, незашифрованные HTTP-запросы клиента транcлируются в исходящие запросы HTTPS; - dstr (device destruction) - модуль для перезаписи файлов прошивок, который повреждает прошивку для приведения устройств к невозможности загрузки (для восстановления требуется перепрошивка с использованием специального оборудования). Модуль вначале пытается удалить файлы и процессы, связанные с VPNFilter, после чего инициирует операцию очистки Flash через заполнение файлов-устройств /dev/mtdX значением 0xFF, а затем выполнение команду "rm -rf /*" для удаления данных в оставшихся ФС. Обновлённый список оборудования, которое поражает VPNFilter: - Asus RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U; - D-Link DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N; - Huawei HG8245; - Linksys E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N; - Mikrotik CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5; - Netgear DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50; - QNAP TS251, TS439 Pro и другие модели на базе ПО QTS; - TP-Link R600VPN, TL-WR741ND, TL-WR841N; - Ubiquiti NSM2 и PBE M5; - Upvel (конкретные модели не сообщаются) - ZTE ZXHN H108N. Пользователям отмеченных устройств рекомендуется как минимум перезагрузить устройство, но данное действие приведёт лишь к временной деактивации основного компонента вредоносного ПО, так как код загрузчика VPNFilter интегрируется в прошивку и не удаляется после перезагрузки. Правоохранительные органы проделали работу по блокировке серверов для автоматической загрузке основной части VPNFilter, но в загрузчике вредоносного ПО остаётся возможность пассивного отслеживания в трафике специальных пакетов с данными о новом хосте для подключения. В некоторых моделях устройств можно избавиться от загрузчика вредоносного ПО через сброс к заводским настройкам (следует удерживать кнопку на задней панели от 5 до 10 секунд). Желательной мерой является обновление прошивки, а также установка надёжного пароля, отключение дополнительных протоколов удалённого управления и ограничение внешнего доступа к устройству и его web-интерфейсу. Проверка наличия вредоносного ПО в устройстве проблематична, так как VPNFilter может находиться в пассивном режиме и никак не проявлять себя. В качестве действенной меры определения VPNFilter упоминается сохранение дампа текущей прошивки и сравнение контрольной суммы с эталонным вариантом от производителя, но данный метод слишком сложен для рядовых пользователей. Также возможен разбор начинки прошивки: о наличии вредоносного ПО в системе может указывать наличие файлов/каталогов /var/run/vpnfilter, /var/tmp/client.key, /tmp/client.key, /etc/init/security, /etc/loader/init.x3, /etc/devel-login или /etc/loader/. URL: https://blog.talosintelligence.com/2018/06/vpnfilter-update.... Новость: https://www.opennet.ru/opennews/art.shtml?num=48732

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Стали известны (https://blog.talosintelligence.com/2018/06/vpnfilter-update.html) 
> дополнительные подробности о вредоносном ПО VPNFilter, поразившем (https://www.opennet.ru/opennews/art.shtml?num=48654) 
> более 500 тысяч домашних маршрутизаторов.  Кроме атак на устройства  
> производства Linksys, MikroTik, Netgear, TP-Link и QNAP факты компрометации также выявлены 
> для различных моделей маршрутизаторов и беспроводных точек ASUS, D-Link, Huawei, Ubiquiti, 
> UPVEL и ZTE (общий список вовлечённых в атаку моделей увеличился с 
> 16 до 72). По новым данным  образованный вредоносным ПО VPNFilter 
> ботнет может включать на 200 тысяч устройств больше, чем предполагалось изначально.

> Помимо модулей для анализа трафика и обращения к управляющему серверу через Tor 
> выявлено два новых модуля-плагина, подгружаемых вредоносным ПО для проведения определённых 
> видов атак:

> -  ssler - модуль для проведения MITM-атак по перехвату и модификации 
> незащищённого web-трафика, проходящего через 80 сетевой порт. Модуль может прикреплять 
> к web-страницам JavaScript-код для эксплуатации уязвимостей в браузерах и сохранять фигурирующие 
> в запросах пароли и идентификаторы сеансов, а также отслеживать обращение к 
> сайтам, подобным accounts.google.com.

> Модуль непосредственно не поддерживает анализ HTTPS, но заменяет в проходящих через него 
> незашифрованных web-страницах, запросах и HTTP-заголовке Location все ссылки "https://" 
> на " http://", вырезает заголовки CSP, а также вычищает в заголовке 
> Accept-Encoding  данные о поддержке gzip-сжатия. Подмена приводит к тому, что 
> клиент начинает обращаться к https-ресурсам  по http:// без шифрования. Для 
>  сайтов google.com, twitter.com, facebook.com и youtube.com, которые поддерживают только 
> HTTPS, незашифрованные HTTP-запросы клиента транcлируются в исходящие запросы HTTPS;

> -  dstr (device destruction) - модуль для перезаписи файлов прошивок, который 
> повреждает прошивку для приведения устройств к невозможности загрузки (для восстановления 
> требуется перепрошивка с использованием специального оборудования). Модуль вначале пытается 
> удалить файлы и процессы, связанные с VPNFilter, после чего инициирует операцию 
> очистки Flash через заполнение файлов-устройств /dev/mtdX значением  0xFF, а затем 
> выполнение команду "rm -rf /*" для удаления данных в оставшихся ФС.

> Обновлённый список оборудования, которое поражает VPNFilter:

> -  Asus RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, 
> RT-N66U; 
> -  D-Link DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, 
> DSR-1000, DSR-1000N; 
> -  Huawei HG8245; 
> -  Linksys E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N; 
> -  Mikrotik CCR1009, CCR1016, CCR1036, CCR1072, CRS109, 
> CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, 
> RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5; 
> -  Netgear DG834, DGN1000, 
> DGN2200, 
> DGN3500, 
> FVS318N, 
> MBRN3000, 
> R6400, 
> R7000, 
> R8000, 
> WNR1000, 
> WNR2000, 
> WNR2200, 
> WNR4000, 
> WNDR3700, 
> WNDR4000, 
> WNDR4300, 
> WNDR4300-TN, 
> UTM50;

> -  QNAP TS251, TS439 Pro и другие модели на базе ПО 
> QTS;

> -  TP-Link R600VPN, TL-WR741ND, TL-WR841N; 
> -  Ubiquiti NSM2 и PBE M5; 
> -  Upvel (конкретные модели не сообщаются) 
> -  ZTE ZXHN H108N.

> Пользователям отмеченных устройств рекомендуется как минимум перезагрузить устройство, 
> но данное действие приведёт лишь к временной деактивации основного компонента вредоносного 
> ПО, так как код загрузчика VPNFilter интегрируется в прошивку и не 
> удаляется после перезагрузки. Правоохранительные органы проделали работу по блокировке 
> серверов для автоматической загрузке основной части VPNFilter, но в загрузчике вредоносного 
> ПО остаётся возможность пассивного отслеживания в трафике специальных пакетов с  
> данными о новом хосте для подключения.

> В некоторых моделях устройств можно избавиться от загрузчика вредоносного ПО через сброс 
> к заводским настройкам (следует удерживать кнопку на задней панели от 5 
> до 10 секунд). Желательной мерой является  обновление прошивки,  а 
> также установка надёжного пароля, отключение дополнительных протоколов удалённого управления 
> и ограничение внешнего доступа к устройству и его web-интерфейсу.

> Проверка наличия вредоносного ПО в устройстве проблематична, так как VPNFilter может находиться 
> в пассивном режиме и никак не проявлять себя. В качестве действенной 
> меры определения VPNFilter упоминается сохранение дампа текущей прошивки и  сравнение 
> контрольной суммы с эталонным вариантом от производителя, но данный метод слишком 
> сложен для рядовых пользователей. Также возможен разбор начинки прошивки: о наличии 
> вредоносного ПО в системе может указывать наличие файлов/каталогов /var/run/vpnfilter, 
> /var/tmp/client.key, /tmp/client.key, /etc/init/security, /etc/loader/init.x3, /etc/devel-login 
> или /etc/loader/.

> URL: https://blog.talosintelligence.com/2018/06/vpnfilter-update.html 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=48732

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру