Обнаружены семь новых модулей для VPNFilter - «Новости»
Заждались: продажи S.T.A.L.K.E.R. 2: Heart of Chornobyl за два дня после релиза превысили миллион копий - «Новости сети»
Заждались: продажи S.T.A.L.K.E.R. 2: Heart of Chornobyl за два дня после релиза превысили миллион копий - «Новости сети»
Блогер показал, как пройти Baldur’s Gate 3, не делая в бою абсолютно ничего - «Новости сети»
Блогер показал, как пройти Baldur’s Gate 3, не делая в бою абсолютно ничего - «Новости сети»
Microsoft открыла доступ к скандальной ИИ-функции Recall — пользователям разрешили ограничить её «подглядывания» - «Новости сети»
Microsoft открыла доступ к скандальной ИИ-функции Recall — пользователям разрешили ограничить её «подглядывания» - «Новости сети»
У Nvidia нашлась ахиллесова пята — треть выручки зависит от настроения трёх клиентов - «Новости сети»
У Nvidia нашлась ахиллесова пята — треть выручки зависит от настроения трёх клиентов - «Новости сети»
Представлен 80-долларовый смартфон Tecno Pop 9 — с Helio G50 и батареей на 5000 мА·ч - «Новости сети»
Представлен 80-долларовый смартфон Tecno Pop 9 — с Helio G50 и батареей на 5000 мА·ч - «Новости сети»
Первая за 11 лет новая книга Анджея Сапковского из цикла «Ведьмак» получила название «Перекрёсток воронов» — первые подробности - «Новости сети»
Первая за 11 лет новая книга Анджея Сапковского из цикла «Ведьмак» получила название «Перекрёсток воронов» — первые подробности - «Новости сети»
Роскомнадзор с декабря начнёт блокировать сайты за публикацию научной информации о VPN - «Новости сети»
Роскомнадзор с декабря начнёт блокировать сайты за публикацию научной информации о VPN - «Новости сети»
Миллионер с зарплатой сантехника: выяснилось, сколько зарабатывает глава OpenAI - «Новости сети»
Миллионер с зарплатой сантехника: выяснилось, сколько зарабатывает глава OpenAI - «Новости сети»
SpaceX рассказала, почему затопила ракету Super Heavy во время последнего запуска Starship - «Новости сети»
SpaceX рассказала, почему затопила ракету Super Heavy во время последнего запуска Starship - «Новости сети»
Представлена технология охлаждения чипов светом — секретная и только по предварительной записи - «Новости сети»
Представлена технология охлаждения чипов светом — секретная и только по предварительной записи - «Новости сети»
Новости мира Интернет » Новости » Обнаружены семь новых модулей для VPNFilter - «Новости»

VPNFilter


VPNFilter был обнаружен в мае 2018 года года. Тогда сложная малварь инфицировала как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP в 54 странах мира. Исследователи Cisco Talos, первыми рассказавшие о проблеме, подчеркивали, что VPNFilter – это всего вторая известная IoT-угроза, способная «пережить» перезагрузку зараженного устройства (первой был вредонос Hide and Seek), к тому же таящая в себе деструктивную функциональность, из-за которой зараженные устройства могут превратиться в «кирпич».


Еще тогда специалисты отметили сходство VPNFilter с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее. Из-за этого представители ФБР и Министерства юстиции США полагают, что VPNFilter — разработка российских правительственных хакеров.


Позже выяснилось, что первичные оценки исследователей были не совсем верны, и на самом деле ситуация обстояла даже хуже. Так, к списку уязвимых гаджетов добавились роутеры производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE. То есть перечень уязвимых перед VPNFilter устройств расширился с 16 моделей до 71, причем эксперты уверены, что в итоге их может оказаться даже больше. Список уязвимых моделей можно увидеть здесь.


Обнаружить атаку VPNFilter не так просто. Заражение делится на три стадии и, по сути, состоит из трех разных ботов. Бот первой стадии прост и легковесен, но умеет «переживать» перезагрузку устройства. Бот второй стадии несет в себе опасную (опциональную) функцию самоуничтожения, после активации которой зараженное устройство превращается в «кирпич», намеренно повреждаясь малварью. В свою очередь, третья фаза атаки подразумевает загрузку на зараженное устройство различных вредоносных плагинов.


Ранее найденные аналитиками плагины для VPNFilter оказались способны выполнять атаку SSLStrip и понижать соединение с HTTPS до HTTP, а также перехватывать и модифицировать трафик, проходящий через 80 порт посредством  man-in-the-middle атак. Фактически, VPNFilter способен сниффать сетевой трафик и перехватывать пакеты, мониторить протоколы Modbus SCADA, а также взаимодействовать с управляющим сервером посредством Tor. Нужно заметить, что эти плагины представлены и активны далеко не всегда.


Новые плагины


На этой неделе аналитики Cisco Talos обнаружили сразу семь новых модулей третьей стадии заражения для VPNFilter. Учитывая совокупные возможности вредоноса, специалисты пишут, что VPNFilter можно назвать настоящим «швейцарским ножом» в сфере вредоносного ПО.


  • htpx– изучает и перенаправляет HTTP-трафик, а также ищет в нем следы исполняемых файлов Windows. Специалисты Cisco полагают, что этот плагин может использоваться для внедрения вредоносного кода в бинарники «на лету»;

  • ndbr– многофункциональная SSH-утилита, позволяющая превратить скомпрометированный девайс в SSH-сервер, клиент или сканер портов NMAP. Также может использовать протокол SCP и передавать файлы;

  • nm– используется для составления карты сети, а также применяет протокол MikroTik Network Discovery Protocol для обнаружения устройств MikroTik;

  • netfilter– DoS-утилита, позволяющая создать правило IPtables и блокировать сетевые адреса;

  • portforwarding– перенаправляет сетевой трафик на инфраструктуру атакующих, делая возможным перехват сетевых соединений;

  • socks5proxy– поднимает на скомпрометированном устройстве SOCKS5-прокси;

  • tcpvpn– запускает reverse-TCP VPN на взломанном устройстве.

Также исследователи пишут, что VPNFilter использует административную утилиту Winbox, предназначенную для работы с оборудованием MikroTik, по сути, являющуюся удобным аналогом веб-интерфейса.


Оказалось, что старые версии Winbox уязвимы перед атакой через 8291 порт TCP и заметить такую компрометацию весьма сложно. Чтобы облегчить жизнь администраторам, эксперты Cisco опубликовали на GitHub специальный инструмент-диссектор для анализа трафика Winbox.


Источник новостиgoogle.com

VPNFilter VPNFilter был обнаружен в мае 2018 года года. Тогда сложная малварь инфицировала как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP в 54 странах мира. Исследователи Cisco Talos, первыми рассказавшие о проблеме, подчеркивали, что VPNFilter – это всего вторая известная IoT-угроза, способная «пережить» перезагрузку зараженного устройства (первой был вредонос Hide and Seek), к тому же таящая в себе деструктивную функциональность, из-за которой зараженные устройства могут превратиться в «кирпич». Еще тогда специалисты отметили сходство VPNFilter с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее. Из-за этого представители ФБР и Министерства юстиции США полагают, что VPNFilter — разработка российских правительственных хакеров. Позже выяснилось, что первичные оценки исследователей были не совсем верны, и на самом деле ситуация обстояла даже хуже. Так, к списку уязвимых гаджетов добавились роутеры производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE. То есть перечень уязвимых перед VPNFilter устройств расширился с 16 моделей до 71, причем эксперты уверены, что в итоге их может оказаться даже больше. Список уязвимых моделей можно увидеть здесь. Обнаружить атаку VPNFilter не так просто. Заражение делится на три стадии и, по сути, состоит из трех разных ботов. Бот первой стадии прост и легковесен, но умеет «переживать» перезагрузку устройства. Бот второй стадии несет в себе опасную (опциональную) функцию самоуничтожения, после активации которой зараженное устройство превращается в «кирпич», намеренно повреждаясь малварью. В свою очередь, третья фаза атаки подразумевает загрузку на зараженное устройство различных вредоносных плагинов. Ранее найденные аналитиками плагины для VPNFilter оказались способны выполнять атаку SSLStrip и понижать соединение с HTTPS до HTTP, а также перехватывать и модифицировать трафик, проходящий через 80 порт посредством man-in-the-middle атак. Фактически, VPNFilter способен сниффать сетевой трафик и перехватывать пакеты, мониторить протоколы Modbus SCADA, а также взаимодействовать с управляющим сервером посредством Tor. Нужно заметить, что эти плагины представлены и активны далеко не всегда. Новые плагины На этой неделе аналитики Cisco Talos обнаружили сразу семь новых модулей третьей стадии заражения для VPNFilter. Учитывая совокупные возможности вредоноса, специалисты пишут, что VPNFilter можно назвать настоящим «швейцарским ножом» в сфере вредоносного ПО. htpx– изучает и перенаправляет HTTP-трафик, а также ищет в нем следы исполняемых файлов Windows. Специалисты Cisco полагают, что этот плагин может использоваться для внедрения вредоносного кода в бинарники «на лету»; ndbr– многофункциональная SSH-утилита, позволяющая превратить скомпрометированный девайс в SSH-сервер, клиент или сканер портов NMAP. Также может использовать протокол SCP и передавать файлы; nm– используется для составления карты сети, а также применяет протокол MikroTik Network Discovery Protocol для обнаружения устройств MikroTik; netfilter– DoS-утилита, позволяющая создать правило IPtables и блокировать сетевые адреса; portforwarding– перенаправляет сетевой трафик на инфраструктуру атакующих, делая возможным перехват сетевых соединений; socks5 proxy– поднимает на скомпрометированном устройстве SOCKS5-прокси; tcpvpn– запускает reverse-TCP VPN на взломанном устройстве. Также исследователи пишут, что VPNFilter использует административную утилиту Winbox, предназначенную для работы с оборудованием MikroTik, по сути, являющуюся удобным аналогом веб-интерфейса. Оказалось, что старые версии Winbox уязвимы перед атакой через 8291 порт TCP и заметить такую компрометацию весьма сложно. Чтобы облегчить жизнь администраторам, эксперты Cisco опубликовали на GitHub специальный инструмент-диссектор для анализа трафика Winbox. Источник новости - google.com

запостил(а)
Lewis
Вернуться назад
0

Смотрите также

А что там на главной? )))



Комментарии )))