Page d'accueil Sécurité Comment repérer les logiciels malveillants VPNFilter avant qu'ils ne détruisent votre routeur

Comment repérer les logiciels malveillants VPNFilter avant qu'ils ne détruisent votre routeur

  • Michael Cain
  • 0
  • 3855
  • 869
Publicité

Les logiciels malveillants de routeurs, de périphériques réseau et d’Internet of Things sont de plus en plus courants. La plupart se concentrent sur l'infection des périphériques vulnérables et leur ajout à de puissants réseaux de zombies. Les routeurs et les périphériques Internet des objets (IoT) sont toujours alimentés, toujours en ligne et attendent des instructions. Parfait fourrage botnet, puis.

Mais tous les logiciels malveillants ne sont pas identiques.

VPNFilter constitue une menace malveillante destructrice pour les routeurs, les périphériques IoT et même certains périphériques de stockage connecté au réseau (NAS). Comment vérifiez-vous une infection de malware VPNFilter? Et comment pouvez-vous le nettoyer? Regardons de plus près VPNFilter.

Qu'est-ce que VPNFilter?

VPNFilter est une variante de logiciel malveillant modulaire sophistiquée qui cible principalement les périphériques réseau d'un grand nombre de fabricants, ainsi que les périphériques NAS. VPNFilter a été initialement détecté sur les périphériques réseau Linksys, MikroTik, NETGEAR et TP-Link, ainsi que sur les périphériques QNAP NAS, avec environ 500 000 infections dans 54 pays..

Cisco Talos, l’équipe qui a découvert VPNFilter, a récemment mis à jour les détails relatifs au malware, indiquant que les équipements réseau de fabricants tels que ASUS, D-Link, Huawei, Ubiquiti, UPVEL et ZTE présentaient désormais des infections par VPNFilter. Cependant, au moment de la rédaction de cet article, aucun périphérique réseau Cisco n'est affecté..

Le logiciel malveillant diffère de la plupart des autres logiciels malveillants axés sur l'IdO, car il persiste après le redémarrage du système, ce qui rend son éradication difficile. Les périphériques utilisant leurs informations d'identification de connexion par défaut ou des vulnérabilités jour zéro connues qui n'ont pas reçu de mises à jour de microprogramme sont particulièrement vulnérables.

Que fait VPNFilter??

Donc, VPNFilter est un “plate-forme modulaire à plusieurs étages” pouvant causer des dommages destructeurs aux appareils. En outre, cela peut également constituer une menace pour la collecte de données. VPNFilter fonctionne en plusieurs étapes.

Étape 1: VPNFilter Stage 1 établit une tête de pont sur le périphérique et contacte son serveur de commande et de contrôle (C & C) pour télécharger des modules supplémentaires et attendre des instructions. L'étape 1 comporte également plusieurs redondances intégrées pour localiser les contrôleurs de domaine de l'étape 2 en cas de changement d'infrastructure pendant le déploiement. Le logiciel malveillant Étape 1 VPNFilter peut également survivre à un redémarrage, ce qui en fait une menace redoutable..

Étape 2: VPNFilter Stage 2 ne persiste pas après un redémarrage, mais il propose une gamme de fonctionnalités plus étendue. L'étape 2 peut collecter des données privées, exécuter des commandes et interférer avec la gestion des périphériques. En outre, il existe différentes versions de Stage 2 dans la nature. Certaines versions sont équipées d'un module destructif qui écrase une partition du microprogramme du périphérique, puis redémarre pour rendre le périphérique inutilisable (le programme malveillant brique le routeur, l'IdO ou le périphérique NAS, en gros)..

Étape 3: Les modules VPNFilter Stage 3 fonctionnent comme des plugins pour Stage 2, étendant les fonctionnalités de VPNFilter. Un module agit comme un renifleur de paquet qui collecte le trafic entrant sur le périphérique et vole les informations d'identification. Une autre permet au programme malveillant de la phase 2 de communiquer en toute sécurité à l’aide de Tor. Cisco Talos a également découvert un module qui injecte un contenu malveillant dans le trafic transitant par le périphérique, ce qui signifie que le pirate informatique peut fournir d'autres exploits aux autres périphériques connectés via un routeur, un périphérique IoT ou NAS..

De plus, les modules VPNFilter “permettre le vol des identifiants de site Web et la surveillance des protocoles Modbus SCADA.”

Partage de photos méta

Une autre caractéristique intéressante (mais pas nouvellement découverte) du programme malveillant VPNFilter est son utilisation des services de partage de photos en ligne pour rechercher l'adresse IP de son serveur C & C. L'analyse Talos a révélé que le programme malveillant pointait vers une série d'URL Photobucket. Le logiciel malveillant télécharge sur la première image de la galerie les références URL et extrait une adresse IP de serveur masquée dans les métadonnées de l'image..

L'adresse IP “est extrait de six valeurs entières pour la latitude et la longitude GPS dans les informations EXIF.” Si cela échoue, le programme malveillant de la phase 1 revient à un domaine normal (toknowall.com-more ci-dessous) pour télécharger l'image et tenter le même processus..

Reniflage de paquets ciblé

Le rapport actualisé de Talos a révélé des informations intéressantes sur le module de détection de paquets VPNFilter. Plutôt que de simplement tout passer, vous avez un ensemble de règles assez strictes qui ciblent des types de trafic spécifiques. Plus précisément, le trafic des systèmes de contrôle industriels (SCADA) qui se connectent à l'aide de VP-VP R600 TP-Link, les connexions à une liste d'adresses IP prédéfinies (indiquant une connaissance avancée d'autres réseaux et du trafic souhaité), ainsi que des paquets de données de 150 octets. ou plus grand.

Craig William, haut responsable des technologies et responsable international de la sensibilisation chez Talos, a déclaré à Ars, “Ils recherchent des choses très spécifiques. Ils n'essayent pas de générer autant de trafic que possible. Ils recherchent de très petites choses comme les identifiants et les mots de passe. Nous n'avons pas beaucoup d'informations à ce sujet, à part que cela semble incroyablement ciblé et incroyablement sophistiqué. Nous essayons toujours de savoir qui ils utilisaient cela.”

D'où vient VPNFilter??

VPNFilter serait l’œuvre d’un groupe de piratage informatique parrainé par l’État. Le virus de l'infection initiale de VPNFilter a principalement été ressenti dans l'ensemble de l'Ukraine; ses premiers doigts ont été dirigés vers les empreintes digitales à dos russe et le groupe de piratage informatique, Fancy Bear.

Cependant, la sophistication du logiciel malveillant est telle qu’il n’ya pas de genèse claire et qu’aucun groupe de piratage informatique, national ou autre, ne s’est avancé pour le revendiquer. Étant donné les règles détaillées relatives aux programmes malveillants et le ciblage du SCADA et d’autres protocoles de systèmes industriels, un acteur État-nation semble le plus probable..

Indépendamment de ce que je pense, le FBI pense que VPNFilter est une création de Fancy Bear. En mai 2018, le FBI a saisi un domaine, ToKnowAll.com, qui aurait servi à installer et à commander les programmes malveillants Étape 2 et Étape 3 VPNFilter. La saisie de domaine a certes permis d’empêcher la propagation immédiate de VPNFilter, mais n’a pas sectionné l’artère principale; la SBU ukrainienne a mis un terme à l'attaque de VPNFilter contre une usine de traitement de produits chimiques en juillet 2018, pour une.

VPNFilter présente également des similitudes avec le programme malveillant BlackEnergy, un cheval de Troie APT utilisé contre un large éventail de cibles ukrainiennes. Encore une fois, bien que cela soit loin d’être une preuve irréfutable, le ciblage systémique de l’Ukraine découle principalement de groupes de piratage ayant des liens avec la Russie..

Suis-je infecté par VPNFilter?

Les chances sont, votre routeur n'héberge pas le malware VPNFilter. Mais il vaut toujours mieux prévenir que guérir:

  1. Vérifiez cette liste pour votre routeur. Si vous n'êtes pas sur la liste, tout va bien.
  2. Vous pouvez vous rendre sur le site Symantec VPNFilter Check. Cochez la case des termes et conditions, puis cliquez sur le bouton Exécuter le contrôle VPNFilter bouton au milieu. Le test se termine en quelques secondes.

Je suis infecté par VPNFilter: que dois-je faire??

Si Symantec VPNFilter Check confirme que votre routeur est infecté, vous avez un plan d'action clair..

  1. Réinitialisez votre routeur, puis exécutez à nouveau le VPNFilter Check.
  2. Réinitialiser votre routeur aux paramètres d'usine.
  3. Téléchargez le dernier micrologiciel de votre routeur et effectuez une nouvelle installation, de préférence sans que le routeur établisse une connexion en ligne au cours du processus..

De plus, vous devez effectuer des analyses complètes du système sur chaque périphérique connecté au routeur infecté..

Vous devez toujours modifier les identifiants de connexion par défaut de votre routeur, ainsi que ceux de tout périphérique IoT ou NAS (les périphériques IoT ne facilitent pas cette tâche. Pourquoi l'Internet des objets est-il le plus grand cauchemar de sécurité? Pourquoi l'internet des objets est-il le plus grand cauchemar de sécurité Un jour, vous arrivez chez vous après le travail pour découvrir que votre système de sécurité domestique basé sur le cloud a été violé. Comment cela pourrait-il se produire? Avec Internet of Things (IoT), vous pourriez le découvrir à la dure.) Dans la mesure du possible. En outre, bien qu'il soit prouvé que VPNFilter peut échapper à certains pare-feu, son installation en est correctement configurée. 7 Conseils simples pour sécuriser votre routeur et votre réseau Wi-Fi en quelques minutes 7 Conseils simples pour sécuriser votre routeur et votre réseau Wi-Fi en quelques minutes et écouter votre trafic Wi-Fi, voler vos mots de passe et vos numéros de carte de crédit? Voulez-vous même savoir si quelqu'un était? Probablement pas, alors sécurisez votre réseau sans fil avec ces 7 étapes simples. aidera à garder beaucoup d'autres choses désagréables hors de votre réseau.

Attention aux logiciels malveillants du routeur!

Les logiciels malveillants de routeur sont de plus en plus courants. Les logiciels malveillants et les vulnérabilités liés à l'Internet des objets sont omniprésents et avec le nombre de périphériques mis en ligne, la situation ne fera que s'aggraver. Votre routeur est le point central des données de votre domicile. Pourtant, il ne reçoit pas autant d'attention de sécurité que d'autres appareils.

En termes simples, votre routeur n’est pas sécurisé car vous pensez que 10 façons de le faire ne sont pas aussi sûres que vous ne le pensez 10 raisons que votre routeur n’est pas aussi sûres que vous le pensez Voici 10 façons dont votre routeur peut être exploité par des pirates informatiques et des lecteurs malveillants par les pirates de l'air sans fil. .




Personne n'a encore commenté ce post.

Minecraft éduque vos enfants, Apple augmente ses prix… [Tech News Digest]
Nouvelles techniques
25 mots de passe à éviter, utilisez WhatsApp gratuitement… [Tech News Digest]
Nouvelles techniques
Rendre Windows 10 obligatoire, Apple supprime iTunes Radio… [Tech News Digest]
Nouvelles techniques
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.