VPNFilter может оказаться на бОльшем количестве устройств
Стали известны дополнительные подробности о вредоносном ПО VPNFilter, поразившем более 500 тысяч домашних маршрутизаторов. Кроме атак на устройства производства Linksys, MikroTik, Netgear, TP-Link и QNAP факты компрометации также выявлены для различных моделей маршрутизаторов и беспроводных точек ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE (общий список вовлечённых в атаку моделей увеличился с 16 до 72). По новым данным образованный вредоносным ПО VPNFilter ботнет может включать на 200 тысяч устройств больше, чем предполагалось изначально.
Стали известны дополнительные подробности о вредоносном ПО VPNFilter, поразившем более 500 тысяч домашних маршрутизаторов. Кроме атак на устройства производства Linksys, MikroTik, Netgear, TP-Link и QNAP факты компрометации также выявлены для различных моделей маршрутизаторов и беспроводных точек ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE (общий список вовлечённых в атаку моделей увеличился с 16 до 72). По новым данным образованный вредоносным ПО VPNFilter ботнет может включать на 200 тысяч устройств больше, чем предполагалось изначально.

Помимо модулей для анализа трафика и обращения к управляющему серверу через Tor выявлено два новых модуля-плагина, подгружаемых вредоносным ПО для проведения определённых видов атак:

ssler - модуль для проведения MITM-атак по перехвату и модификации незащищённого web-трафика, проходящего через 80 сетевой порт. Модуль может прикреплять к web-страницам JavaScript-код для эксплуатации уязвимостей в браузерах и сохранять фигурирующие в запросах пароли и идентификаторы сеансов, а также отслеживать обращение к сайтам, подобным accounts.google.com.
Модуль непосредственно не поддерживает анализ HTTPS, но заменяет в проходящих через него незашифрованных web-страницах, запросах и HTTP-заголовке Location все ссылки "https://" на " http://", вырезает заголовки CSP, а также вычищает в заголовке Accept-Encoding данные о поддержке gzip-сжатия. Подмена приводит к тому, что клиент начинает обращаться к https-ресурсам по http:// без шифрования. Для сайтов google.com, twitter.com, facebook.com и youtube.com, которые поддерживают только HTTPS, незашифрованные HTTP-запросы клиента транcлируются в исходящие запросы HTTPS;

dstr (device destruction) - модуль для перезаписи файлов прошивок, который повреждает прошивку для приведения устройств к невозможности загрузки (для восстановления требуется перепрошивка с использованием специального оборудования). Модуль вначале пытается удалить файлы и процессы, связанные с VPNFilter, после чего инициирует операцию очистки Flash через заполнение файлов-устройств /dev/mtdX значением 0xFF, а затем выполнение команду "rm -rf /*" для удаления данных в оставшихся ФС.
Обновлённый список оборудования, которое поражает VPNFilter:

Asus RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U;
D-Link DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N;
Huawei HG8245;
Linksys E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N;
Mikrotik CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5;
Netgear DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50;
QNAP TS251, TS439 Pro и другие модели на базе ПО QTS;
TP-Link R600VPN, TL-WR741ND, TL-WR841N;
Ubiquiti NSM2 и PBE M5;
Upvel (конкретные модели не сообщаются)
ZTE ZXHN H108N.
Пользователям отмеченных устройств рекомендуется как минимум перезагрузить устройство, но данное действие приведёт лишь к временной деактивации основного компонента вредоносного ПО, так как код загрузчика VPNFilter интегрируется в прошивку и не удаляется после перезагрузки. Правоохранительные органы проделали работу по блокировке серверов для автоматической загрузке основной части VPNFilter, но в загрузчике вредоносного ПО остаётся возможность пассивного отслеживания в трафике специальных пакетов с данными о новом хосте для подключения.

В некоторых моделях устройств можно избавиться от загрузчика вредоносного ПО через сброс к заводским настройкам (следует удерживать кнопку на задней панели от 5 до 10 секунд). Желательной мерой является обновление прошивки, а также установка надёжного пароля, отключение дополнительных протоколов удалённого управления и ограничение внешнего доступа к устройству и его web-интерфейсу.

Проверка наличия вредоносного ПО в устройстве проблематична, так как VPNFilter может находиться в пассивном режиме и никак не проявлять себя. В качестве действенной меры определения VPNFilter упоминается сохранение дампа текущей прошивки и сравнение контрольной суммы с эталонным вариантом от производителя, но данный метод слишком сложен для рядовых пользователей. Также возможен разбор начинки прошивки: о наличии вредоносного ПО в системе может указывать наличие файлов/каталогов /var/run/vpnfilter, /var/tmp/client.key, /tmp/client.key, /etc/init/security, /etc/loader/init.x3, /etc/devel-login или /etc/loader/.
zaborovsky
2018-06-07 12:55:42
Avatar

тплинк включил дурочку и заявил, что первоначально заявленная в списке модель TL-R600VPN уязвимости не имеет и атакам не подвержена

На текущий момент нам не поступали сообщения относительно новых угроз. Что касается старых угроз, они были устранены посредством выпуска новой версии ПО.

www.tp-link.ua/....html

при этом данная модель имеет 4 аппаратных ревизии и только для v4 выпущено несколько версий ПО, а у более старых релизов написано, что это вообще первая версия ПО, как там уже может быть что-то устранено -- неясно

Kiano
2018-06-07 20:24:05
Avatar

товагищи, да это же страшная штука, у меня овер 100 микротиков (не клиентских)

чо официалы говорят?

KaYot
2018-06-07 21:44:35
Avatar

У меня один крупный юрик с CCR в качестве бордера уже пал жертвой храбрых. Пришел отчет от киберов с данным IP и у самого юрика все начало глючить хаотически..

Чинили их одмины весь день, вроде живы.

Kiano
2018-06-07 21:45:42
Avatar

У меня один крупный юрик с CCR в качестве бордера уже пал жертвой храбрых. Пришел отчет от киберов с данным IP и у самого юрика все начало глючить хаотически..

Чинили их одмины весь день, вроде живы.

А про отчет подробнее можно?

KaYot
2018-06-08 00:29:11
Avatar

Как-то так. Кроме этого рассылали таблицу с полями вида ip-netname-owner, там этот IP тоже фигурировал.

Ajar
2018-06-08 10:02:13
Avatar

На микроте  2000 порт по умолчанию открыт !   Оключайте бендвиш тест . На аналолизаторе видно что идет постоянное сканирование  этого порта ,   3 IP из сети /22 сработали по сигнатуре ( stage 1 ), около 200 ip  из нета у меня попали в лист подозрительных.

Kiano
2018-06-08 11:01:43
Avatar

А х86 подвержены этой гадости?

Туйон
2018-06-08 11:50:02
Avatar

Так, я что-то походу пропустил, обновление до 6.42.3 не помогает?

У меня только один из микротов имеет доступ в интернет (белый ай-пи) - на основе х86. На нем включен фаервол, из сети проходит только пинг, input зарезан, разрешено только established для работы dns-сервера, всё остальное drop.

В "сервисах" включен винбокс, ссш, веб, но всё с доступом только в локальные подсети.

2000 порт закрыл.

Можно быть спокойным?

 

Микроты, которые исключительно в локальной сети, без прямого доступа в интернет - за них можно не переживать?

yurasko
2018-06-08 11:50:56
Avatar

А хтось знає як виявити чи mikrotik вже заражений?

vlin
2018-06-08 12:27:57
Avatar

Сегодня у знакомого перестал нормально работать микротик. pppoe сессию поднимает. В мир был открыт только винбокс, а стал отвечать и по портам 22,23, но пароли не подходят. Версия была 6.42.2. Сбросили, накатили 6.42.3 и бекап, закрыли все с наружи. До этого 2 недели назад на версии 6.3-с чем-то сильно тормозил. Торчем было видно что он сканировал порты 8291 и загрузка проца была близка к 100%. Тогда просто обновили до 6.42.2, пароли не меняли.

Kiano
2018-06-08 13:33:20
Avatar

Пока что верняк - полный реинсталл через нетинсталл

olsasha
2018-06-08 16:16:04
Avatar

Заражаються только микротики с белым IP на интерфейсе?

Sloboda
2018-06-08 16:24:47
Avatar

У моего знакомого Микротик RB 941-2ND перестал работать, через Лан нивкакую не пускало. Reset  не помог (там правда и прошивка старенькая  была 6.32), но через вайфай пустило,  прошил на 6.42.3, все заработало. Правда я и не рыл долго что там могло быть причиной.

max_m
2018-06-09 21:50:38
Avatar

Вот на медне обнаружился клиент с тплинком. Симтомы не работает инет в статистике клиент флудит по днс очень частые обрывы и пять минут работает и все уходит в нирвану . По приезду к клиенту роутер на веб морду не пускает (точнее она не открывается )при этом пинг через роутер проходит и трасса тоже, а вот днс отклика нет. После ребута роутера все начинает работать и на морду пускает НО!У нас авторизация пппое все настройки приходят автоматом но днс сервера не наши вручную на роутере не прописаны изменить днс не дает. Лечение смена прошивки и замена пароля админа (мы меняем на пароль который на обратке девайса пин)так и клиент вкурсе и другой техник разберется.Скрины с веб морды ниже что за роутер и какие левые днс получает.

 

Den_LocalNet
2018-06-10 01:02:07
Avatar

Попадался на микротике клиент с такими же днс на прошлой неделе. Тоже клялся что не менял сам ничего, вебморда по умолчанию закрыта извне. Пароли на вебморду не подходили. 

virtus
2018-06-10 10:08:02
Avatar

Тоже на микротике 3011 заметили что проц начал нагружаться в 2 раза больше, но работало нормально. Перешились 6,37 на 6,42 , начало рвать пинги скорость упала, 6,43rc перестало пускать через winbox (неправильный логин, пароль), перешились обратно на 6,37 - всё норм, но опять проц нагрузился. Ресет, прошивка на 6,42,3 , залили обратно бэкап  - всё норм. На микротике из сервисов разрешен был только winbox.

sanyadnepr
2018-06-10 10:55:02
Avatar

У нас авторизация пппое все настройки приходят автоматом но днс сервера не наши вручную на роутере не прописаны изменить днс не дает.

inetnum:        176.107.176.0 - 176.107.183.255
netname:        DELTAHOST-NET
remarks:        ====================================
remarks:        DeltaHost - VPS, VDS, dedicated servers
remarks:        in Ukraine & Netherlands
remarks:        ====================================
remarks:        Complaints: abuse@deltahost.com.ua
remarks:        ====================================
descr:          FOP Zemlyaniy Dmitro Leonidovich

 

 

PS: Зема, не твой родственник ? ?

max_m
2018-06-10 12:48:59
Avatar

inetnum:        176.107.176.0 - 176.107.183.255
netname:        DELTAHOST-NET
remarks:        ====================================
remarks:        DeltaHost - VPS, VDS, dedicated servers
remarks:        in Ukraine & Netherlands
remarks:        ====================================
remarks:        Complaints: abuse@deltahost.com.ua
remarks:        ====================================
descr:          FOP Zemlyaniy Dmitro Leonidovich

 

 

PS: Зема, не твой родственник ? ?

Это ты к чему ?

sanyadnepr
2018-06-10 13:27:34
Avatar

Это не тебе.

ThinkMaster
2018-06-28 00:04:09
Avatar

У меня уже есть три "трупа" RB751. Пытался их перепрошить удалённо, закинул прошивку, послал в ребут и роутер больше не может загрузиться, светодиоды то светятся, то тухнут полностью. На этих микротах были "белые" адреса и была замечена вирусная сетевая активность. Забрал роутеры к себе, пробывал через Netinstall прошить - неудачно, прошивка не заливается, хотя роутер нетинстал видит. Если кто то нашёл способ "оживить" роутеры или есть идеи - прошу поделиться.

За ранее благодарен.

max_m
2018-06-28 01:50:51
Avatar

Сбрось в дефаулт, а потом лей новую прошиву должно работать.

max_m
2018-06-28 01:58:58
Avatar

После прошивы выключай все кроме винбокса  в ip->Services затем меняй пароль на нестондартный и выключай  Tools->Btest-server ->Disable и должно работать без проблем. 

Земеля
2018-06-28 09:34:52
Avatar

inetnum:        176.107.176.0 - 176.107.183.255
netname:        DELTAHOST-NET
remarks:        ====================================
remarks:        DeltaHost - VPS, VDS, dedicated servers
remarks:        in Ukraine & Netherlands
remarks:        ====================================
remarks:        Complaints: abuse@deltahost.com.ua
remarks:        ====================================
descr:          FOP Zemlyaniy Dmitro Leonidovich

 

 

PS: Зема, не твой родственник ? ?

не, однофамильцев на украине очень много) даже фио жены совпадает с одной из клиентов ) 

bot
2018-07-03 12:14:28
Avatar

симантековская онлайн проверка на наличие гадости на роутере

http://www.symantec.com/filtercheck/

You should to log in

loading