Стали известны дополнительные подробности о вредоносном ПО VPNFilter, поразившем более 500 тысяч домашних маршрутизаторов. Кроме атак на устройства производства Linksys, MikroTik, Netgear, TP-Link и QNAP факты компрометации также выявлены для различных моделей маршрутизаторов и беспроводных точек ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE (общий список вовлечённых в атаку моделей увеличился с 16 до 72). По новым данным образованный вредоносным ПО VPNFilter ботнет может включать на 200 тысяч устройств больше, чем предполагалось изначально.
Стали известны дополнительные подробности о вредоносном ПО VPNFilter, поразившем более 500 тысяч домашних маршрутизаторов. Кроме атак на устройства производства Linksys, MikroTik, Netgear, TP-Link и QNAP факты компрометации также выявлены для различных моделей маршрутизаторов и беспроводных точек ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE (общий список вовлечённых в атаку моделей увеличился с 16 до 72). По новым данным образованный вредоносным ПО VPNFilter ботнет может включать на 200 тысяч устройств больше, чем предполагалось изначально.
Помимо модулей для анализа трафика и обращения к управляющему серверу через Tor выявлено два новых модуля-плагина, подгружаемых вредоносным ПО для проведения определённых видов атак:
ssler - модуль для проведения MITM-атак по перехвату и модификации незащищённого web-трафика, проходящего через 80 сетевой порт. Модуль может прикреплять к web-страницам JavaScript-код для эксплуатации уязвимостей в браузерах и сохранять фигурирующие в запросах пароли и идентификаторы сеансов, а также отслеживать обращение к сайтам, подобным accounts.google.com.
Модуль непосредственно не поддерживает анализ HTTPS, но заменяет в проходящих через него незашифрованных web-страницах, запросах и HTTP-заголовке Location все ссылки "
https://" на "
http://", вырезает заголовки CSP, а также вычищает в заголовке Accept-Encoding данные о поддержке gzip-сжатия. Подмена приводит к тому, что клиент начинает обращаться к https-ресурсам по http:// без шифрования. Для сайтов google.com, twitter.com, facebook.com и youtube.com, которые поддерживают только HTTPS, незашифрованные HTTP-запросы клиента транcлируются в исходящие запросы HTTPS;
dstr (device destruction) - модуль для перезаписи файлов прошивок, который повреждает прошивку для приведения устройств к невозможности загрузки (для восстановления требуется перепрошивка с использованием специального оборудования). Модуль вначале пытается удалить файлы и процессы, связанные с VPNFilter, после чего инициирует операцию очистки Flash через заполнение файлов-устройств /dev/mtdX значением 0xFF, а затем выполнение команду "rm -rf /*" для удаления данных в оставшихся ФС.
Обновлённый список оборудования, которое поражает VPNFilter:
Asus RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U;
D-Link DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N;
Huawei HG8245;
Linksys E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N;
Mikrotik CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5;
Netgear DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50;
QNAP TS251, TS439 Pro и другие модели на базе ПО QTS;
TP-Link R600VPN, TL-WR741ND, TL-WR841N;
Ubiquiti NSM2 и PBE M5;
Upvel (конкретные модели не сообщаются)
ZTE ZXHN H108N.
Пользователям отмеченных устройств рекомендуется как минимум перезагрузить устройство, но данное действие приведёт лишь к временной деактивации основного компонента вредоносного ПО, так как код загрузчика VPNFilter интегрируется в прошивку и не удаляется после перезагрузки. Правоохранительные органы проделали работу по блокировке серверов для автоматической загрузке основной части VPNFilter, но в загрузчике вредоносного ПО остаётся возможность пассивного отслеживания в трафике специальных пакетов с данными о новом хосте для подключения.
В некоторых моделях устройств можно избавиться от загрузчика вредоносного ПО через сброс к заводским настройкам (следует удерживать кнопку на задней панели от 5 до 10 секунд). Желательной мерой является обновление прошивки, а также установка надёжного пароля, отключение дополнительных протоколов удалённого управления и ограничение внешнего доступа к устройству и его web-интерфейсу.
Проверка наличия вредоносного ПО в устройстве проблематична, так как VPNFilter может находиться в пассивном режиме и никак не проявлять себя. В качестве действенной меры определения VPNFilter упоминается сохранение дампа текущей прошивки и сравнение контрольной суммы с эталонным вариантом от производителя, но данный метод слишком сложен для рядовых пользователей. Также возможен разбор начинки прошивки: о наличии вредоносного ПО в системе может указывать наличие файлов/каталогов /var/run/vpnfilter, /var/tmp/client.key, /tmp/client.key, /etc/init/security, /etc/loader/init.x3, /etc/devel-login или /etc/loader/.
тплинк включил дурочку и заявил, что первоначально заявленная в списке модель TL-R600VPN уязвимости не имеет и атакам не подвержена
www.tp-link.ua/....html
при этом данная модель имеет 4 аппаратных ревизии и только для v4 выпущено несколько версий ПО, а у более старых релизов написано, что это вообще первая версия ПО, как там уже может быть что-то устранено -- неясно
товагищи, да это же страшная штука, у меня овер 100 микротиков (не клиентских)
чо официалы говорят?
У меня один крупный юрик с CCR в качестве бордера уже пал жертвой храбрых. Пришел отчет от киберов с данным IP и у самого юрика все начало глючить хаотически..
Чинили их одмины весь день, вроде живы.
А про отчет подробнее можно?
Как-то так. Кроме этого рассылали таблицу с полями вида ip-netname-owner, там этот IP тоже фигурировал.
На микроте 2000 порт по умолчанию открыт ! Оключайте бендвиш тест . На аналолизаторе видно что идет постоянное сканирование этого порта , 3 IP из сети /22 сработали по сигнатуре ( stage 1 ), около 200 ip из нета у меня попали в лист подозрительных.
А х86 подвержены этой гадости?
Так, я что-то походу пропустил, обновление до 6.42.3 не помогает?
У меня только один из микротов имеет доступ в интернет (белый ай-пи) - на основе х86. На нем включен фаервол, из сети проходит только пинг, input зарезан, разрешено только established для работы dns-сервера, всё остальное drop.
В "сервисах" включен винбокс, ссш, веб, но всё с доступом только в локальные подсети.
2000 порт закрыл.
Можно быть спокойным?
Микроты, которые исключительно в локальной сети, без прямого доступа в интернет - за них можно не переживать?
А хтось знає як виявити чи mikrotik вже заражений?
Сегодня у знакомого перестал нормально работать микротик. pppoe сессию поднимает. В мир был открыт только винбокс, а стал отвечать и по портам 22,23, но пароли не подходят. Версия была 6.42.2. Сбросили, накатили 6.42.3 и бекап, закрыли все с наружи. До этого 2 недели назад на версии 6.3-с чем-то сильно тормозил. Торчем было видно что он сканировал порты 8291 и загрузка проца была близка к 100%. Тогда просто обновили до 6.42.2, пароли не меняли.
Пока что верняк - полный реинсталл через нетинсталл
Заражаються только микротики с белым IP на интерфейсе?
У моего знакомого Микротик RB 941-2ND перестал работать, через Лан нивкакую не пускало. Reset не помог (там правда и прошивка старенькая была 6.32), но через вайфай пустило, прошил на 6.42.3, все заработало. Правда я и не рыл долго что там могло быть причиной.
Вот на медне обнаружился клиент с тплинком. Симтомы не работает инет в статистике клиент флудит по днс очень частые обрывы и пять минут работает и все уходит в нирвану . По приезду к клиенту роутер на веб морду не пускает (точнее она не открывается )при этом пинг через роутер проходит и трасса тоже, а вот днс отклика нет. После ребута роутера все начинает работать и на морду пускает НО!У нас авторизация пппое все настройки приходят автоматом но днс сервера не наши вручную на роутере не прописаны изменить днс не дает. Лечение смена прошивки и замена пароля админа (мы меняем на пароль который на обратке девайса пин)так и клиент вкурсе и другой техник разберется.Скрины с веб морды ниже что за роутер и какие левые днс получает.
Попадался на микротике клиент с такими же днс на прошлой неделе. Тоже клялся что не менял сам ничего, вебморда по умолчанию закрыта извне. Пароли на вебморду не подходили.
Тоже на микротике 3011 заметили что проц начал нагружаться в 2 раза больше, но работало нормально. Перешились 6,37 на 6,42 , начало рвать пинги скорость упала, 6,43rc перестало пускать через winbox (неправильный логин, пароль), перешились обратно на 6,37 - всё норм, но опять проц нагрузился. Ресет, прошивка на 6,42,3 , залили обратно бэкап - всё норм. На микротике из сервисов разрешен был только winbox.
inetnum: 176.107.176.0 - 176.107.183.255 netname: DELTAHOST-NET remarks: ==================================== remarks: DeltaHost - VPS, VDS, dedicated servers remarks: in Ukraine & Netherlands remarks: ==================================== remarks: Complaints: abuse@deltahost.com.ua remarks: ==================================== descr: FOP Zemlyaniy Dmitro LeonidovichPS: Зема, не твой родственник ? ?
Это ты к чему ?
Это не тебе.
У меня уже есть три "трупа" RB751. Пытался их перепрошить удалённо, закинул прошивку, послал в ребут и роутер больше не может загрузиться, светодиоды то светятся, то тухнут полностью. На этих микротах были "белые" адреса и была замечена вирусная сетевая активность. Забрал роутеры к себе, пробывал через Netinstall прошить - неудачно, прошивка не заливается, хотя роутер нетинстал видит. Если кто то нашёл способ "оживить" роутеры или есть идеи - прошу поделиться.
За ранее благодарен.
Сбрось в дефаулт, а потом лей новую прошиву должно работать.
После прошивы выключай все кроме винбокса в ip->Services затем меняй пароль на нестондартный и выключай Tools->Btest-server ->Disable и должно работать без проблем.
не, однофамильцев на украине очень много) даже фио жены совпадает с одной из клиентов )
симантековская онлайн проверка на наличие гадости на роутере
http://www.symantec.com/filtercheck/
Вы должны войти