VPNFilter проверьте свой роутер на наличие присутствия его в злонамеренной бот сети.

Бот нет сеть VPNFilter которая на 29 мая 2018 года насчитывает уже 500 000 роутеров домашних, а также компаний и учреждений.

  1. VPNFilter - это сложный многоступенчатый пакет вредоносных программ, являющийся частью новой породы загрузочных вредоносных программ (программное обеспечение, которое может пережить перезагрузку); он ориентирован на домашние маршрутизаторы и сетевые устройства хранения данных, затем крадет пароли и логины, которые присутствуют в сети для доступа к другим устройствам, далее это все соединяется с другими зараженными сетями создавая огромную бот сеть. Компания Symantec известная своими продуктами Norton предлагает бесплатную проверку роутера, ссылки выложу в конце статьи.
  2. На данный момент причины для дальнейших действий такого масштаба заражения не известны. Но можно предположить что с помощью такой сети ограничить интернет для целых городов, получения доступа к целым странам и масштабным атакам на определенные точки с помощью бот нет сети созданной из роутеров домашних пользователей. На данный момент 29 мая 2018года насчитывается 500 000 зараженных устройств, которые входят в одну огромную сеть. Поскольку затронутые устройства вирусом законно принадлежат предприятиям или отдельным домашним лицам, злонамеренная деятельность проводимая с зараженных устройств может быть ошибочно приписана тем, кто на самом деле был жертвой вируса. Проще говоря Вы сами того не подозревая можете делать атаки на скажем государственный орган или фирму. Найти злоумышленников не так то просто, вить не кто не знает к какому устройству подключен злоумышленник, а то устройство к следующему и так далее, запутывая концы не только по прямой нитке скажем так а и кольцом, крестиком, звездочкой и так далее как только может быть создана сеть и располагающиеся зараженные устройства.
  3. Что пишет подразделение Talos (Cisco), занимающееся анализом угроз кибербезопасности.

  4. В течение нескольких месяцев Talos сотрудничает с партнерами по разведке и анализу угроз со стороны государственного и частного секторов в исследовании продвинутого, вероятного государственного или спонсируемого государством актерского использования сложной модульной системы вредоносного ПО, которую мы называем «VPNFilter». Мы не завершили наши исследования, но недавние события убедили нас в том, что правильный путь вперед состоит в том, чтобы теперь поделиться нашими выводами, чтобы затрагиваемые стороны могли принять соответствующие меры для защиты себя. В частности, код этого вредоносного ПО перекрывается версиями вредоносной программы BlackEnergy, которая отвечала за несколько крупных приложений, которые нацелены на устройства в Украине. Хотя это никоим образом не является окончательным, мы также заметили, что VPNFilter, потенциально разрушительный вредоносный код, активно заражает украинские хосты с угрожающей скоростью, используя инфраструктуру управления и управления (C2), предназначенную для этой страны. Взвешивая эти факторы вместе, мы чувствовали, что лучше всего опубликовать наши результаты до того, как завершить наши исследования. Публикация рано означает, что у нас пока нет ответов - у нас могут даже не возникнуть вопросы, поэтому этот блог представляет наши результаты на сегодняшний день, и мы будем обновлять наши выводы по мере продолжения нашего расследования. Имеются в виду как масштаб, так и способность этой операции. Работая с нашими партнерами, мы оцениваем количество зараженных устройств как минимум в 500 000 по меньшей мере в 54 странах. Известными устройствами, на которые распространяется VPNFilter, являются сетевое оборудование Linksys, MikroTik, NETGEAR и TP-Link в пространстве малого и домашнего офиса (SOHO) а также на устройствах с подключением к сети QNAP (NAS). Никакие другие поставщики, включая Cisco, не были замечены как зараженные VPNFilter, но наши исследования продолжаются. Поведение этого вредоносного ПО на сетевом оборудовании особенно важно, поскольку компоненты вредоносного ПО VPNFilter позволяют краже учетных данных веб-сайта и мониторинга протоколов SCADA Modbus. Наконец, вредоносное ПО имеет разрушительные возможности, которые могут привести к невозможности заражения зараженного устройства, которое может быть запущено на отдельных компьютерах-жертвах или в массовом порядке и имеет потенциал для отключения доступа в Интернет для сотен тысяч жертв во всем мире.
  5. Тип устройств, предназначенных для этого актера, трудно защитить. Они часто находятся по периметру сети, без системы защиты от вторжений (IPS) на месте и, как правило, не имеют доступных хост-систем, основанной на защите, такой как антивирус (AV). Мы не уверены в конкретном эксплойте, используемом в любом конкретном случае, но большинство устройств, предназначенных, в частности, в более старых версиях, имеют общедоступные эксплойты или учетные данные по умолчанию, которые делают компромисс относительно простым. Все это способствовало спокойному росту этой угрозы с по крайней мере 2016 года.
  6. Этот пост предоставляет технические результаты, которые вы обычно видите в блоге Talos. Кроме того, мы подробно рассмотрим некоторые мысли о tradecraft за этой угрозой, используя наши выводы и фон наших аналитиков, обсудить возможный мыслительный процесс и решения, принятые актером. Мы также обсудим, как защитить от этой угрозы и как обращаться с устройством, которое может быть заражено. Наконец, мы поделимся с МОК, которые мы наблюдаем до этого момента, хотя мы уверены, что мы еще не видели больше.
  7. Краткая техническая разбивка

  8. Вредоносная программа VPNFilter представляет собой многоэтапную модульную платформу с универсальными возможностями для поддержки как сборов разведки, так и разрушительных операций кибер-атаки.
  9. Вредоносная программа 1-го уровня сохраняется после перезагрузки, которая отличает его от большинства других вредоносных программ, которые нацелены на интернет- все устройства, поскольку вредоносное ПО обычно не выдерживает перезагрузки устройства. Основная цель этапа 1 состоит в том, чтобы получить постоянный плацдарм и включить развертывание вредоносного ПО стадии 2. Этап 1 использует множественные избыточные механизмы управления и управления (C2) для обнаружения IP-адреса текущего сервера развертывания второго этапа, делая это вредоносное ПО чрезвычайно надежным и способным справляться с непредсказуемыми изменениями инфраструктуры C2.
  10. Вредоносная программа стадии 2, которая не сохраняется при перезагрузке, обладает возможностями, которые мы ожидаем на платформе сбора данных для рабочей лошади, такой как сбор файлов, выполнение команд, сбор данных и управление устройствами. Однако некоторые версии второго этапа также обладают возможностью саморазрушения, которая перезаписывает критическую часть прошивки устройства и перезагружает устройство, делая его непригодным для использования. Основываясь на продемонстрированных актерами знаниях этих устройств и существующих возможностях в некоторых версиях второго этапа, мы с большой уверенностью оцениваем, что актер может развернуть эту команду самоуничтожения большинству устройств, которые он контролирует, независимо от того, была ли эта команда встроена в вредоносное ПО стадии 2.
  11. Кроме того, существуют несколько этапов 3-х модулей, которые служат в качестве плагинов для вредоносного ПО стадии 2. Эти плагины обеспечивают второй этап дополнительной функциональностью. На момент написания этой статьи мы знаем два модуля плагина: сниффер пакетов для сбора трафика, который проходит через устройство, включая кражу учетных данных веб-сайта и мониторинг протоколов SCADA Modbus, и коммуникационный модуль, который позволяет этапу 2 взаимодействовать через Tor. Мы с большой уверенностью оцениваем, что существует несколько других модулей плагинов, но нам еще предстоит их обнаружить.
  12. Обсуждение Tradecraft

  13. Мы с высокой степенью уверенности оцениваем, что это вредоносное ПО используется для создания обширной, труднодоступной инфраструктуры, которая может использоваться для удовлетворения множества операционных потребностей актера угрозы. Поскольку затронутые устройства законно принадлежат предприятиям или отдельным лицам, вредоносная деятельность, проводимая с зараженных устройств, может быть ошибочно приписана тем, кто на самом деле был жертвой актера. Возможности, встроенные в различные этапы и плагины вредоносного ПО, чрезвычайно универсальны и позволят актеру использовать преимущества нескольких устройств.
  14. Усиленные участники угроз, государства, попытаются сделать изложение своей кибер-деятельности чрезвычайно трудным, если только они не заинтересованы в том, чтобы открыто было известно, что они совершили конкретный акт. С этой целью продвинутые участники угроз используют несколько методов, включая кооптирующую инфраструктуру, принадлежащую кому-либо другому, для проведения своих операций. Актер мог легко использовать устройства, зараженные этим вредоносным программным обеспечением, как точки прыжка, прежде чем подключиться к их конечной жертве, чтобы запутать свою истинную точку происхождения.
  15. Вредоносная программа также может использоваться для сбора данных, которые проходят через устройство. Это может быть для простых целей сбора данных, или оценить потенциальную ценность сети, которую обслуживает устройство. Если бы сеть считалась имеющей информацию о потенциальном интересе к игроку угрозы, они могут продолжать собирать контент, который проходит через устройство, или распространяться в подключенную сеть для сбора данных. Во время этой публикации, мы не смогли приобрести плагин третьей ступени, который обеспечит дальнейшее использование сети, обслуживаемой устройством. Тем не менее, мы видели признаки того, что он существует, и мы оцениваем, что очень вероятно, что такой продвинутый актер, естественно, включил бы эту способность в вредоносное ПО, которое является модульным.
  16. В заключение, это вредоносное ПО можно использовать для проведения крупномасштабной деструктивной атаки с помощью команды «kill», которая может привести к невозможности использования некоторых или всех физических устройств. Эта команда присутствует во многих образцах сцены 2, которые мы наблюдали, но также может быть вызвана использованием команды «exec», доступной во всех образцах второго этапа. В большинстве случаев, большинством жертв это действие не подлежит возмещению, требуя технических возможностей, ноу-хау или инструментов, которые не следует ожидать от потребителя. Мы глубоко обеспокоены этой возможностью, и это одна из главных причин, по которым мы спокойно изучали эту угрозу в течение последних нескольких месяцев.
  17. Наблюдаемые действия, вызывающие озабоченность Поскольку мы исследовали эту угрозу, мы провели мониторинг и сканирование, чтобы понять масштаб этой угрозы и поведение зараженных устройств. Наш анализ показал, что это глобальная, широко развернутая угроза, которая активно стремится увеличить свой след. Хотя наши исследования продолжаются, мы также наблюдали активность, потенциально связанную с этим актором, которая указывает на возможную деятельность по экстрафильтрации данных.
  18. В начале мая мы наблюдали зараженные устройства, проводящие сканирование TCP в портах 23, 80, 2000 и 8080. Эти порты указывают на сканирование дополнительных NAS-устройств Mikrotik и QNAP, которые можно найти с помощью этих портов. Эти сканы нацеливают устройства более чем в 100 странах.
  19. Мы также использовали нашу телеметрию для обнаружения потенциально зараженных устройств по всему миру. Мы оценили их коллективное поведение, чтобы попытаться определить дополнительные возможности инфраструктуры C2. Многие из этих IP-адресов потерпевших, как представляется, демонстрируют поведение, которое сильно указывает на фильтрацию данных. Наконец, 8 мая мы наблюдали резкий всплеск активности заражения VPNFilter. Почти все новоприобретенные жертвы находились в Украине. Также следует отметить, что большинство украинских инфекций разделяло отдельный этап 2 инфраструктуры C2 от остального мира по IP 46.151.209 [.] 33. К этому моменту, мы знали о перекрытии кода между BlackEnergy и VPNFilter и о том, что сроки предыдущих атак в Украине предполагали, что атака может быть неизбежной. Учитывая каждый из этих факторов и в консультации с нашими партнерами, мы сразу же начали процесс публичного обсуждения до завершения наших исследований. По мере того, как мы продолжали двигаться вперед с раскрытием информации, мы наблюдали еще одно существенное увеличение числа вновь приобретенных жертв VPNFilter, которые были сосредоточены в Украине 17 мая.
  20. Защита от этой угрозы

  21. Защита от этой угрозы чрезвычайно сложна из-за характера затронутых устройств. Большинство из них подключены непосредственно к Интернету, без каких-либо устройств безопасности или услуг между ними и потенциальными злоумышленниками. Эта проблема дополняется тем фактом, что большинство уязвимых устройств имеют общеизвестные уязвимости, которые не подходят для обычного пользователя для исправления. Кроме того, большинство из них не имеют встроенных средств защиты от вредоносных программ. Эти три факта вместе делают эту угрозу чрезвычайно трудной для противодействия, что приводит к крайне ограниченным возможностям для блокирования вредоносных программ, устранения уязвимостей или блокировки угроз.
  22. Несмотря на эти проблемы, Talos выпустила защиту от этой угрозы с разных точек зрения, чтобы попытаться воспользоваться ограниченными вариантами, которые существуют. Мы разработали и развернули более 100 подписей Snort для общеизвестных уязвимостей для устройств, связанных с этой угрозой. Эти правила были развернуты в общедоступном наборе Snort и могут использоваться кем-либо для защиты своих устройств. К тому же, мы выполнили обычный черный список доменов / IP в зависимости от ситуации и осуждаем хеши, связанные с этой угрозой, чтобы охватить тех, кто защищен экосистемой Cisco Security. Мы обратились к Linksys, Mikrotik, Netgear, TP-Link и QNAP по этой проблеме. (Примечание: QNAP был осведомлен о некоторых аспектах VPNFilter и ранее выполненных работах для борьбы с угрозой.) Наконец, мы также поделились этими показателями и нашими исследованиями с международными правоохранительными органами и нашими коллегами из Альянса кибер-угроз в преддверии этой публикации, чтобы они могли быстро продвигаться, чтобы более эффективно противодействовать этой угрозе.
  23. Рекомендации

  24. Пользователи маршрутизаторов SOHO и / или NAS-устройств перезагружают их по умолчанию и перезагружают их, чтобы удалить потенциально разрушительные, ненастоящие вредоносные программы уровня 2 и стадии 3. Поставщики интернет-услуг, которые предоставляют маршрутизаторам SOHO своим пользователям, перезагружают маршрутизаторы от имени своих клиентов. Если у вас есть какие-либо из устройств, которые известны или, как предполагается, подвержены этой угрозе, крайне важно, чтобы вы работали с производителем, чтобы убедиться, что ваше устройство обновлено с последними версиями исправлений. Если нет, вы должны немедленно применить обновленные исправления. Интернет-провайдеры работают агрессивно со своими клиентами, чтобы гарантировать, что их устройства исправлены до самых последних версий прошивки / программного обеспечения.
  25. Из-за возможности разрушительного действия со стороны актера угроз мы рекомендуем из осторожности, чтобы эти действия были предприняты для всех устройств SOHO или NAS, независимо от того, известно ли, что эта угроза была затронута.
  26. Многоступенчатые технические характеристики

  27. Во время этой публикации у нас нет окончательных доказательств того, как актер угрозы использует уязвимые устройства. Тем не менее, все затронутые проблемы / модели, которые мы обнаружили, имеют общеизвестные уязвимости общественности. Поскольку продвинутые участники угрозы склонны использовать только минимальные ресурсы, необходимые для достижения своих целей, мы с высокой уверенностью оцениваем, что VPNFilter не нуждается в методах эксплуатации с нулевым дном.
  28. ЭТАП 1

  29. Вредоносное ПО первой стадии VPNFilter заражает устройства, на которых работает прошивка на основе Busybox и Linux, и скомпилирован для нескольких архитектур процессора. Основная цель этих двоичных файлов первой стадии - найти сервер, обеспечивающий более полнофункциональный второй этап, а также загрузить и сохранить постоянство для следующего этапа зараженных устройств. Он способен изменять значения энергонезависимой конфигурации (NVRAM) и добавляет себя к crontab, планировщик заданий Linux, чтобы добиться настойчивости. Это отход от предыдущей вредоносной программы IoT, такой как Mirai, которая является эфемерной и исчезает при простой перезагрузке устройства.
  30. Талос проанализировал образцы для процессоров MIPS и x86. Коммуникация C2 и дополнительные загрузки вредоносных программ происходят через Tor или SSL-зашифрованные соединения. В то время как сами двоичные файлы не запутываются, за исключением того, что их удаляют, некоторые строки хранятся в зашифрованном виде и только дешифруются во время выполнения. Процедура дешифрования выглядела подозрительно похожей на RC4 в статическом анализе, но похоже, что авторы вредоносных программ неправильно инициализировали S-боксы. Во время этапа перестановки, значения XOR'd, но не заменены. Анализ этой реализации RC4 показывает, что она идентична реализации, используемой в BlackEnergy, которая, по мнению правоохранительных органов, возникает у государственного актора.
  31. Инициализация RC4 XOR устанавливает значения в фазе перестановки инициализации внутреннего состояния. Как вы можете видеть в последнем базовом блоке, код не меняет значения S [i] и S [j] (по сравнению с псевдокодом RC4 ниже).
  32. После того как вредоносная программа завершила инициализацию, она начинает загружать страницы из начальных URL-адресов. В кэше образцов MIPS и всем, кроме одного URL-адреса образца x86, URL-адреса указывали на Photobucket.com, узел обмена изображениями. Вредоносная программа загружает первое изображение из галереи, на которую ссылается URL, а затем переходит к извлечению IP-адреса сервера загрузки. IP-адрес извлекается из шести целочисленных значений для широты и долготы GPS в информации EXIF.
  33. Если на этапе 1 не удается подключиться, загрузить изображение или успешно получить IP-адрес через изображение из Photobucket, вредоносное ПО обратится к резервному домену, toknowall [.] com, чтобы загрузить изображение и попробовать тот же процесс.
  34. Если попытка резервного копирования домена не удалась, на этапе 1 открывается слушатель, ожидающий определенного пакета триггера, чтобы открыть соединение для того, чтобы актер мог интерактивно подключиться к устройству. Когда слушатель открывается, он проверяет свой публичный IP-адрес на api.ipify [. ] org и сохраняет его для последующего сравнения. Затем, когда какой-либо пакет поступает на любой порт, слушатель выполняет серию проверок для идентификации пакета триггера. Если пакет отвечает предопределенному набору критериев, он извлекает IP-адрес из пакета и пытается загрузить сцену 2.
  35. ДЕЙСТВИЯ ПРОСЛУШИВАНИЯ:

  36. Проверяет все пакеты TCP / IPv4 с установленным флагом SYN Проверяет, что IP-адрес назначения соответствует найденному при открытии слушателя (Примечание: если слушателю не удалось получить IP-адрес от api.ipify [.] Org, он пропустит эту проверку) Убедитесь, что пакет имеет восемь или более байтов Сканирует данные для байтов \ x0c \ x15 \ x22 \ x2b Байты непосредственно после этого 4- байт-маркер интерпретируются как IP, поэтому \ x01 \ x02 \ x03 \ x04 становится -> 1.2.3 [.] 4 Вызывает новый IP-адрес, как обычно, для этапа 2 Подтверждает, что этап 2 составляет не менее 1 001 байт (Примечание: это намного меньше, чем другие методы выносок, для которых этап 2 должен составлять 100 000 или более)
  37. ЭТАП 2

  38. Вредоносная программа Stage 2 сначала настраивает рабочую среду, создавая папку модулей (/ var / run / vpnfilterm) и рабочий каталог (/ var / run / vpnfilterw). После этого он запускается в цикле, где он сначала обращается к серверу C2, а затем выполняет команды, извлеченные из C2. Имена команд зашифровываются с той же нарушенной функцией RC4, что и на этапе 1. К счастью, более старые версии образца этапа x86 были очень подробными и отлаживали все шаги, которые он выполнял. Более новые версии этапа x86 2 не содержали отладочные отпечатки, а также образец MIPS.
  39. Образец x86 может выполнять следующие операции:

  40. kill: перезаписывает первые 5 000 байт / dev / mtdblock0 нулями и перезагружает устройство (эффективно удаляя его).
  41. exec: Выполняет команду оболочки или плагин.
  42. tor: Устанавливает флаг конфигурации Tor (0 или 1).
  43. copy: копирует файл с клиента на сервер.
  44. seturl: Устанавливает URL-адрес текущей панели конфигурации.
  45. proxy: устанавливает текущий URL-адрес прокси-сервера,
  46. port: Устанавливает текущий порт прокси.
  47. delay: Устанавливает задержку между выполнением основного цикла.
  48. reboot: перезагружает устройство, если оно было занято более 256 секунд, а имя сборки указано в параметре.
  49. загрузить: загружает URL-адрес в файл. Это может применяться ко всем устройствам или только к определенному имени сборки.
  50. Образец MIPS имеет следующие дополнительные операции:
  51. stop: завершить процесс вредоносного ПО.
  52. relay: неправильная версия команды `delay` из версии x86.
  53. Пока модуль Tor не установлен, этап 2 будет использовать один или несколько IP-адресов, хранящихся в его конфигурации, как SOCKS5-прокси-серверы Tor и попытаться связаться с панелью управления, также найденной в ее конфигурации. Как и на этапе 1, связь между вредоносным программным обеспечением и прокси будет подключаться через проверенное соединение SSL. Когда модуль Tor установлен, он подключится к нему. луковых доменов через локальный прокси SOCKS5, предоставляемый модулем вместо обычного HTTP. Мы использовали поддельный прокси SOCKS5, который перенаправляет весь трафик на INetSim для анализа.
  54. Вредоносная программа кодирует этот запрос в объект JSON, который затем кодируется base64 и отправляется на путь /bin32/update.php в параметре HTTP POST «me». Пользовательский агент, используемый в запросе, свойственен (Mozilla / 6.1 (совместимый, MSIE 9.0, Windows NT 5.3, Trident / 5.0)), поскольку версия «Windows NT 5.3» не существует.
  55. uq: уникальный идентификатор зараженного устройства (MAC-адрес сетевого интерфейса вредоносного ПО).
  56. pv: версия платформы, на которой работает вредоносное ПО
  57. ad: общедоступный IP-адрес устройства вредоносного ПО
  58. bv: версия загрузчика этапа 1 (0.3.9qa) и двоичного кода этапа 2 (0.11.1a)
  59. nn: имя узла
  60. tn: флаг Tor
  61. on: Луковый флаг
  62. tr: Устанавливает задержку для основного цикла.
  63. pxs: Список панелей для подключения. Это серверы C2.
  64. tor: Устанавливает имя и версию модуля Tor.
  65. mds: Список модулей для извлечения. Каждая запись имеет формат « ". Вредоносная программа загрузит модуль из / bin32 / update.
  66. php, установив параметр формы POST мне на имя модуля с добавленной архитектурой, например tor_i686 для модуля Tor, и выполнить его на каждой итерации. Пустой список команд (как в ответе примера выше) очистит все существующие команды, отключив их и уничтожив любые запущенные процессы, связанные с ними.
  67. ЭТАП 3

  68. Мы проанализировали два модуля плагина для вредоносного ПО, сниффер пакетов и коммуникационный плагин, который позволяет вредоносному ПО взаимодействовать через Tor. Мы с большой уверенностью оцениваем, что, вероятно, еще несколько, которые мы еще не обнаружили. Среди исходных образцов, приобретенных Талосом, был плагин для этапа MIPS 2, который является сниффером пакетов. Он перехватывает весь сетевой трафик через сырой сокет и ищет строки, используемые в базовых аутентификации HTTP. Кроме того, он специально отслеживает пакеты TCP / IP Modbus. Полученный файл журнала помещается в рабочий каталог этапа 2 / var / run / vpnfilterw. Это позволяет злоумышленникам понять, захватить, и отслеживать трафик, протекающий через устройство.
  69. Модуль плагина Tor частично связан с этапом 2, но имеет отдельный исполняемый файл Tor, который загружается в / var / run / tor и выполняется в процессе, отличном от этапа 2. Бинарный файл Tor выглядит как стандартный клиент Tor в форма статически связанного и лишенного двоичного кода. Он создает файл конфигурации в / var / run / torrc и рабочий каталог в / var / run / tord.
  70. ВЫВОД

  71. VPNFilter - это экспансивная, надежная, высокопроизводительная и опасная угроза, которая нацелена на устройства, которые сложно защищать. Его высокомодульная структура позволяет быстро менять операционную инфраструктуру актера, служащие своим целям неправомерных действий, сбор разведывательных данных и поиск платформы для проведения атак.
  72. Деструктивная способность особенно касается нас. Это показывает, что актер готов сжечь устройства пользователей, чтобы скрыть свои следы, намного больше, чем просто удалить следы вредоносного ПО. Если это соответствует их целям, эта команда может быть выполнена в широких масштабах, что потенциально может привести к невозможности использования сотен тысяч устройств, отключив доступ к Интернету для сотен тысяч жертв во всем мире или в целенаправленном регионе, где он подходит для целей актера.
  73. Хотя угроза для устройств IoT не является чем-то новым, тот факт, что эти устройства используются передовыми национальными государственными субъектами для проведения кибер-операций, что потенциально может привести к разрушению устройства, значительно увеличило актуальность решения этой проблемы. Мы призываем все сообщество безопасности присоединиться к нам в борьбе с этой угрозой. Мы будем продолжать отслеживать VPNFilter и работать с нашими партнерами, чтобы понять угрозу, поскольку она продолжает развиваться, чтобы гарантировать, что наши клиенты будут защищены, а общественность будет проинформирована.
  74. Как было сказано ранее, мы очень подозреваем, что есть дополнительные IOC и версии этого вредоносного ПО, о которых мы в настоящее время не знаем. Следующий список МОК включает то, что мы знаем по состоянию на эту дату.
  75. Известные домены и IP-адреса C2

    СВЯЗАН С 1-М ЭТАПОМ

    СВЯЗАН С 2-М ЭТАПОМ

    Известные хэши файлов

    1ST ЭТАП

    2-й ЭТАП

    3-й ЭТАП

    САМООПРЕДЕЛЕННЫЕ СЕРТИФИКАТНЫЕ

    Известные уязвимые устройства

  76. Известно, что этой угрозой подвержены следующие устройства. Основываясь на масштабах этих исследований, большая часть наших наблюдений удалена, а не на устройстве, поэтому во многих случаях трудно определить конкретные номера версий и модели. Следует отметить, что все эти устройства имеют общеизвестные уязвимости, связанные с ними. Учитывая наши наблюдения с этой угрозой, мы с большой уверенностью оцениваем, что этот список неполный, и на другие устройства могут повлиять.
  77. Этими угрозами Cisco пользуются Cisco Advanced Malware Protection (AMP), Cloud Web Security (CWS), Network Security, ThreatGrid, Umbrella и Web Security Appliance (WSA). Кроме того, StealthWatch и StealthWatch Cloud могут использоваться для поиска устройств, обменивающихся известными C2-адресами и доменами C2. В StealthWatch необходимо настроить два элемента для отправки оповещения о наличии сообщений на гнусные IP-адреса.
  78. Первым шагом является создание новой группы хостов с именем «VPNFilter C2» в разделе «Внешние хосты» с использованием пользовательского интерфейса Java. Когда это будет создано, вы, скорее всего, захотите подтвердить, что в настоящее время нет активных сообщений. Эта проверка может быть достигнута щелчком правой кнопки мыши на недавно созданной группе хостов VPNFilter C2 и переходом к началу -> Беседам -> Итогом. Как только вы просматриваете эти главные разговоры, вы легко сможете увидеть, есть ли активный трафик. В случае отсутствия активного трафика может быть создан аварийный сигнал для генерации предупреждений в случае, если наблюдается трафик на любой из хостов «VPNFilter C2» или с него. Этот аварийный сигнал можно настроить, создав настраиваемое событие и выбрав соответствующие хосты или объекты в веб-интерфейсе пользователя.
  79. VPNFILTER SPECIFIC SNORT DETECTION:

  80. 45563 45564 46782 46783
  81. SNORT RULES THAT PROTECT AGAINST KNOWN VULNERABILITIES IN AFFECTED DEVICES:

  82. 25589 26276 26277 26278 26279 29830 29831 44743 46080 46081 46082 46083 46084 46085 46086 46287 46121 46122 46123 46124 41445 44971 46297 46298 46299 46300 46301 46305 46306 46307 46308 46309 46310 46315 46335 46340 46341 46342 46376 46377 37963 45555 46076 40063 44643 44790 26275 35734 41095 41096 41504 41698 41699 41700 41748 41749 41750 41751 44
  83. CLAMAV SIGNATURES:

  84. Unix.Trojan.Vpnfilter-6425811-0
  85. Unix.Trojan.Vpnfilter-6425812-0
  86. Unix.Trojan.Vpnfilter-6550590-0
  87. Unix.Trojan.Vpnfilter-6550591-0
  88. Unix.Trojan.Vpnfilter-6550592-0
  89. Советую сменить пароли на роутерах даже если вашей модели нет в списке, вить вы не хотите чтобы ваш роутер скажем атаковал совместно с другими роутерами какой не будь сервер ? Потом все проходящие пакеты, когда вы пользуетесь интернет, могут быть доступны третьему лицу. Обновите прошивку вашей модели роутера, также про сканируйте вашу сеть сканерами безопасности. Запретите доступ к админ панели из интернет, сделайте сброс к заводским настройкам. Ссылки на обзоры по безопасности сети можете посмотреть ниже, много статей писалось на эту тему и именно с уклоном на рядового пользователя :

  90. Ссылки на материалы упоминающиеся в статье:

    Перейти Блог TALOS
    Перейти на сайт Symantec для проверки роутера наличия заражения.

    Статьи похожей тематики:

    ЗАЩИТА МАРШРУТИЗАТОРА ИЛИ КАК ЗАЙТИ В ГОСТИ ЧЕРЕЗ ЧЕРНЫЙ ХОД
    ПРОГРАММА ETERNAL BLUES, ПРОВЕРКА НА УЯЗВИМОСТЬ ETERNALBLUE
    WNetwatcher поможет узнать кто подключен к вашему роутеру и своевременно сообщит о новом подключении.
    НАСТРОЙКА И ПОИСК DNS НА РАЗЛИЧНЫХ УСТРОЙСТВАХ.
    Зашифровать DNS трафик и уберечь от третьей стороны, поможет DNSCrypt.
    Защитить компьютерные порты. Подобрать фаервол или дополнение к Windows фаерволу.
    Wanna Crypt шифровальщик и обновления старых систем XP, 8, Windows server 2003.
    Что не видит антивирус, увидит MBAM.
    Статические и динамические, белые и серые, IP адреса.
    Выбор роутера для ваших целей и помещения.
    Анонимность в интернет и смена IP адреса, OpenVpn.
    Анонимный серфинг в интернет с браузером TOR.
    Безопасность вашего сервера или компьютера, локальной сети.
    Полный список известных зарегистрированных динамических портов, работающих служб на порту и протоколов.