Sikkerhetsproffs pass opp: VPNFilter malware er farligere enn først antatt

SSL er delvis ansvarlig for dramatisk økning i Q1 2018 i malware og ransomware På RSA 2018 snakker Bill Conner, administrerende direktør i SonicWall med TechRepublic om hvordan selskaper kan beskytte seg mot skadelig programvare fra HTTPS.

VPNFilter, et avansert malware-angrep som antas å være utviklet av en nasjonalstatsaktør, er farligere enn først antatt i følge ny forskning fra Cisco Talos. Malware har funnet å smitte rutere rettet mot SMB og hjemmekontormarkedet.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Den nyeste rapporten utvider listen over rutere som er kjent for å være sårbare, samt beskriver ytterligere angrepsmodus som skadelig programvare er i stand til. Den første rapporten om VPNFilter for to uker siden var et arbeid som pågår, da Talos avslørte sine funn før planen på grunn av bekymringer som følge av en kraftig økning i antall infiserte enheter.

Mens den første rapporten navngir rutere fra Linksys, MikroTik, Netgear og TP-Link som sårbare for VPNFilter, ble flere titalls rutere fra disse selskapene oppdaget som sårbare i den nye rapporten. I tillegg ble rutere fra ASUS, D-Link, Huawei, Ubiquiti, UPVEL og ZTE også funnet å være sårbare.

En ny modul, ssler, ble også oppdaget. I følge rapporten er denne modulen i stand til å fjerne SSL fra nettsteder, samt injisere javascript på individuelle sider, og effektivt gi angripere muligheten til å endre all informasjon som kommer inn eller går ut av ruteren. Rapporten indikerer at det blir utført ytterligere håndtering for å hente ut innloggingsinformasjon fra nettsteder, selv om nettsteder som er spesielt målrettet er ukjente.

På samme måte ble en modul spesifikk for TP-LINK R600-VPN-systemet avdekket. Denne modulen ser etter pakker som er 150 byte eller større (inkludert overskrifter) som inneholder grunnleggende godkjenning eller ICS-trafikk.

Siden publiseringen av den opprinnelige rapporten er det gjort tiltak for å avbøte for å begrense den potensielle skaden som VPNFilter kan gjøre. Imidlertid er denne avbøtningen ikke en fullstendig kur. "Trinn 1" -lasteren ble designet for å finne plasseringen til trinn 2-verten ved å laste ned bilder fra Photobucket, og lese en IP-adresse som er lagret i EXIF-data som GPS-koordinater. Bildene på Photobucket som tilsvarer de hardkodede URL-ene er fjernet. Som mislykket bruker forfatterne den samme metoden med bilder på ToKnowAll.com, som siden har blitt beslaglagt av FBI.

Ettersom trinn 1-lasteren er den eneste vedvarende delen av VPNFilter-angrepet, ble det mye rapportert, etter offisiell veiledning fra FBI om at omstart av ruteren din ville være nok til å inokulere potensielt infiserte rutere. Dette er ikke tilfelle, ettersom trinn 1-lasteren fortsatt kan motta instruksjoner for å laste ned trinn 2 nyttelasten ved å motta målrettede instruksjoner. Selv om dette generelt er god sikkerhetshygiene, bør brukere og IT-fagfolk sørge for at rutere har den nyeste firmwareversjonen fra enhetsprodusenten. Installering av dette bør overskrive trinn 1-lasteren.

Mens den nøyaktige infeksjonsmetoden forblir ukjent, ser det ut som om metoden er forskjellig mellom hver rutermodell. I tillegg drar sannsynligvis infeksjonsmetoden fordel av kjente sårbarheter som allerede er oppdatert, noe som gjør veiledning om å oppdatere ruteren firmware enda mer presserende.

Bygge et lysbilde dekk, tonehøyde eller presentasjon? Her er de store takeaways:
  • Flere titalls rutere som er kjent for å være sårbare for VPNFilter, er identifisert.
  • Bare å starte ruteren på nytt, etter veiledning fra FBI, er ikke nok. Brukere bør sørge for at rutere har den nyeste firmwaren fra enhetsprodusenten.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

Se også

  • Cybersecurity i en IoT og mobil verden (ZDNet spesialrapport) | Last ned rapporten som en PDF (TechRepublic)
  • VPNFilter malware som nå er rettet mot Asus, D-Link, Huawei, ZTE-enheter (ZDNet)
  • Jukseark: Hvordan bli en cybersecurity-proff (TechRepublic)
  • USA smeller nye sanksjoner mot Russland over NotPetya cyberattack, valgmedling (ZDNet)
  • SS7-feil som brukes av overvåkningsfirmaer fremhever behovet for bedre leverandørens due diligence (TechRepublic)
  • Den ruteren botnet FBI ba oss om å hjelpe til med å drepe? Jepp, den er fremdeles i live (CNET)
Bilde: iStockphoto / PashaIgnatov

© Copyright 2020 | mobilegn.com