Este artículo ha sido creado para explicar ¿qué es exactamente el malware VPNFilter y la forma de proteger la red contra esta infección masiva mediante la protección de su router, así como la protección de sus ordenadores.
Un nuevo malware, va por el nombre de VPNFilter Según los informes, ha infectado a más de 500 miles de dispositivos router a través de las marcas más ampliamente utilizados, tales como Linksys, MikroTik, NETGEAR, así como TP-Link, mayormente utilizado en hogares y oficinas. Los investigadores cibernética segundos a Cisco Talos han informado de que la amenaza es real y está vivo, incluso pensamos que los dispositivos infectados están siendo investigados por el momento. El software malicioso al parecer tiene algo que ver con el malware BlackEnergy, cual dispositivos múltiples dirigidas en Ucrania y los sistemas de control industriales en los EE.UU.. Si desea obtener más información sobre la el malware VPNFilter y aprender cómo se puede eliminar de su red de más proteger su red, le recomendamos que lea este artículo.
Resumen de amenazas
Nombre | VPNFilter |
Escribe | IO de Troya (Infostealer) y la infección Botnet |
Descripción breve | Tiene como objetivo infectar redes completas y robar información crítica de la red, más retransmitirla a los anfitriones de terceros. |
Los síntomas | El ordenador y navegador web que puede conducir a sitios de phishing a través de la cual los ladrones pueden recopilar información importante. |
Método de distribución | a través de los gusanos, botnet y otros métodos de infección automatizados. |
Herramienta de detección |
Ver si su sistema ha sido afectado por malware
Descargar
Herramienta de eliminación de software malintencionado
|
Experiencia de usuario | Unirse a nuestro foro para discutir VPNFilter. |
VPNFilter Malware - ¿Cómo Infect
El software malicioso VPNFIlter utiliza un método de infección de dos etapas muy complicadas, el resultado de los cuales es el equipo para convertirse en una víctima de la recogida de información e incluso la operación desctruction.
Escenario 1 La infección de (Cargador)
La primera etapa de este virus implica un reinicio en el router o hub. Dado que los objetivos de malware VPNFilter principalmente routers, así como otros dispositivos de Internet-de-cosas, al igual que el Mirai el malware puede venir como resultado de un ataque botnet automatizado que se desatado como resultado de los servidores centrales sean comprometidos successufully. La infección sin embargo se conduced en la ayuda de un exploit que desencadena el reinicio del dispositivo inteligente. El objetivo principal de esta etapa 1 es hacerse con el control parcial y permitir el despliegue de la Etapa 2 después de que el proceso de reinicio ha terminado. Las fases de la Etapa 1 son las siguientes:
1.Tira hacia abajo una foto de Photobucket.
2.Exploits se activan y los metadatos se utiliza con el fin de llamar a las direcciones IP.
3.Se conecta a la Etapa 2 servidor y descargas de la Etapa 2 después de lo cual el malware se ejecuta automáticamente.
Las direcciones URL assoicated con la primera etapa de la infección son reportados por los investigadores como las bibliotecas de los usuarios de Photobucket falsos:
→ Photobucket[.]com / user / nikkireed11 / biblioteca
Photobucket[.]com / user / kmila302 / biblioteca
Photobucket[.]com / user / lisabraun87 / biblioteca
Photobucket[.]com / user / eva_green1 / biblioteca
Photobucket[.]com / user / monicabelci4 / biblioteca
Photobucket[.]com / user / katyperry45 / biblioteca
Photobucket[.]com / user / saragray1 / biblioteca
Photobucket[.]com / user / millerfred / biblioteca
Photobucket[.]com / user / jeniferaniston1 / biblioteca
Photobucket[.]com / user / amandaseyfried1 / biblioteca
Photobucket[.]com / user / suwe8 / biblioteca
Photobucket[.]com / user / bob7301 / biblioteca
actualización de julio 2018: Los informes de seguridad indican que la vulnerabilidad VPNFilter afecta a los siguientes proveedores y modelos:
- ASUS - RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, y RT-N66U.
- D-Link - ASUS - RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, y RT-N66U.
- Huawei - HG8245.
- Linksys - E1200, 2500, E3000 E3200, E4200, RV082, y WRVS4400N.
- MikroTik - CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, y STX5.
- Netgear - DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, y UTM50.
- QNAP - TS251, TS439 Pro, y otros dispositivos NAS de QNAP ejecuta el software QTS.
- TP-LINK - R600VPN, TL-WR741ND, y TL-WR841N.
- Ubiquiti - NSM2 y PBE M5.
- ZTE - H108N ZXHN.
Los analistas también han descubierto las vulnerabilidades específicas utilizadas para los aparatos mencionados:
Servicio FTP QNAP (Omisión de autenticación de la vulnerabilidad CVE-2015-7261), D-Link DIR-300 (Reaper ejecución remota de código CVE-2011-4723),
ASUS RT-AC66U, RT-N66U (Ejecución remota de código CVE-2014-9583),
Linksys E2500 (Reaper OS inyección de comandos CVE-2013-2678), Servicio UPnP vulnerables (por ejemplo. Netgear / TP-Link / D-Link) (Buffer Overflow vulnerabilidad CVE-2013-0229, La vulnerabilidad de desbordamiento de pila
CVE-2013-0230, Desbordamiento de pila vulnerabilidad CVE-2012-5958, Desbordamiento de pila VulnerabilityCVE-2012-5959), QTS QNAP antes 4.2.4 Construir 20170313 (Ejecución remota de código CVE-2017-6361),
ASUS RT-AC * y RT-N * (Router JSONP Información de fugas CVE-2017-8877), Netgear R6400, R7000, R8000 (Contraseña del router Divulgación CVE-2017-5521),
D-Link DIR-300 (Reaper Router ejecución remota de código),
Netgear WNR2000 (Contraseña del router Divulgación), Netgear R6400, R7000 (Ejecución remota de código CVE-2016-6277),
ASUS RT-N66U (Router Sesión Stealing CVE-2017-6549), Linksys E4200 (OS inyección de comandos CVE-2013-2679),
Netgear WNR1000 (La vulnerabilidad por omisión de autenticación, Contraseña del router Divulgación),
TP-Link TL-WR841N (La vulnerabilidad no autenticado router de acceso).
Escenario 2 La infección de
Una vez que la segunda etapa de la infección, se acciona las capacidades reales de la el malware VPNFilter se desatan. Incluyen el uso del virus en las siguientes actividades:
- Se conecta a un C&Servidor C.
- Se conecta a una etapa 3 Servidor.
- ejecuta Tor, PD. y otros complementos.
- Realiza las actividades maliciosas del malware, que incluyen la recogida de datos, ejecución de comandos, el robo de archivos, gestión de dispositivos.
- Capaz de realizar la actividad de auto-destrucción.
Las direcciones IP asociadas con la segunda etapa de la infección son reportados por los investigadores para ser el siguiente:
→ 91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
Además de esas dos etapas, los investigadores de seguridad cibernética en Cisco Talos también han informado de una tercera etapa servidor en juego, con el propósito de que hasta el momento sigue siendo desconocida. A partir de lo que parece, este malware ya se perfila para ser una infección muy sofisticado y no se debe subestimar, ya que es la tasa de infección puede aumentar.
VPNFilter Botnet Malware - actividades maliciosas
Las principales actividades que se han asociado con el el malware VPNFilter se han notificado a ser dividida en dos partes por investigadores de malware, la primera serie de las cuales son las actividades previas a la operación que recopilan información antes de realizar realmente las actividades objetivo final. Además de esto, los expertos de Cisco Talos también han informado de similitudes en el el malware VPNFilter y se informó anteriormente botnet BlackEnergy la IO, que se utilizó para dirigirse a las organizaciones y los gobiernos de la U.S. y Ucrania. El malware utiliza el mismo tipo de módulos Saparate etapa de infección que es una señal que puede ser utilizada por las mismas personas detrás de la infección BlackEnergy.
La actividad de la el malware VPNFilter comienza con su etapa de Preparación que comprueba en primer lugar el saliente y el tráfico TCP entrante / IPv4. Que hace que el registro con el fin de entender que la dirección IP de destino coincide con lo que ha encontrado cuando el oyente está activo. Si esto es así, proceedes los virus para asegurarse de que el envasado tiene ocho o más bytes y scanss los datos de bytes específicos después. Tan pronto como esto se hace, el virus inicia un proceso de llamada a una nueva dirección IP recibida que era básicamente esos bytes que sea revisado y esto se traduce en que la etapa de 2 para comenzar.
El la segunda etapa, este malware hace mucho más que el primero, que es básicamente, cargador de VPNFilter. La etapa incluye la creación de los siguientes diredctory en el dispositivo de la víctima:
→ /var / run / vpnfilterm (m es para el directorio de módulos)
/var / run / vpnfilterw (w es para directorio de trabajo)
Entonces, el malware comienza a matar a los diferentes módulos y sobrescribir los datos en ellas, uno de esos módulos es:
→ /dev / mtdblock0 (Es la primera 5,000 bytes se sobrescriben con ceros y el dispositivo se reinicia)
Después de esto se hace, la el malware VPNFilter ejecuta un comando shell y luego establece su configuración Tor que en él es a su vez asegura que el anonimato se habilita. Tan pronto como esto se hace, el virus copia un archivo desde su cliente directamente al servidor. VPNFilter no se detiene allí, sin embargo – el malware Botner Goeas tan lejos como para establecer dos tipos de URL:
- Establecer una URL en el panel de configuración de la configuración actual del dispositivo.
- Establecer una URL personalizada en la configuración de proxy actual.
Cuando el virus se ha establecido una dirección URL, se procede a juguetear con la configuración del puerto, cambiando el puerto proxy predeterminado y el establecimiento de un retraso entre los principales ejecuciones de bucle.
Después de hacer todas estas acciones nefastas, el malware se reinicia el dispositivo IO durante más tiempo de lo normal y luego se descarga una URL después de lo cual lo guarda en un archivo. Además de todo esto, se puede detener el proceso de infección mediados de infección o posiblemente retrasarlo.
El malware se procede a su tercera etapa, que aún no ha sido revelada por los investigadores, ya que todavía pueden estar en el proceso de análisis se, pero se cree que la tercera etapa se relaciona con el propósito de que el malware, que es:
- Robar información diferente de cada dispositivo en la red.
- Robar datos de la red.
- Obtener contraseñas y datos de comunicación.
- Obtener las pulsaciones de teclado y otros datos.
- Cambio de parámetros en el equipo o cambiar los parámetros de la IO en los dispositivos finales de la red con el fin de hacerlos vulnerables a las infecciones de malware.
Los dispositivos que hasta ahora han sido comprometidos se pueden encontrar en la siguiente lista, el cual los investigadores Cisco Talos se han reunido hasta ahora para estar entre los 100% los infectados:
Además de estos dispositivos, Los investigadores también han informado de TP-Link, Netgear, dispositivos Linksys y otros routers ISP costumbre y la IO a ser también uno de los 500,000 infectada, ya que creen que el malware puede ser más avanzado que el botnet medio en el medio natural. Una característica peligrosa del malware VPNFilter es su capacidad para vigilar protocolos SCADA Modbus. Este es uno de los protocolos de comunicación en serie más popular que se utiliza en la industria para automatizado Yate dispositivos. El protocolo puede ser implementado usando varios tipos de conexión y sigue siendo una de las formas más versátiles para el control de dispositivos.
Cómo quitar el VPNFilter malware y proteger su red de Se
Cuando hablamos de malware en el nivel de VPNFilter, un simple limpieza y restablecimiento de su router no se corte para la eliminación, ya que el software malicioso puede ser una amenaza complicada que puede incrustar objetos profundamente en el firmware del router como se explica en los párrafos de “actividad” por encima de. Esta es la razón, el primer paso es comprobar si la red se ha visto comprometida por este malware. Cisco investigadores aconsejan a hacerlo siguiendo estos pasos:
Paso 1: Crear un nuevo grupo de hosts con el nombre “VPNFilter C2” y llegar a estar bajo los hosts fuera a través de la interfaz de usuario de Java.
Paso 2: Una vez hecho, validar que el grupo no se comunica en el momento por el control de las “conversaciones” del propio grupo en su dispositivo.
Paso 3: Si no hay tráfico activo, investigadores aconsejan parte de los administradores de red para crear un tipo de cable de detección de alarma que notifica tan pronto como hay tráfico en el grupo central a través de la creación de un evento y seleccionando el anfitrión en la interfaz de usuario web.
aparte de esto, con el fin de asegurarse de que su red es segura, así como privada, le recomendamos que elija un dispositivo enrutador más seguro, pero tenga en cuenta que un dispositivo es seguro, ya que es el software, por lo que debe asegurarse de configurar también una VPN y además de esto a hablar con su proveedor de Internet con el fin de asegurarse de que la conexión está asegurada a lo largo del camino también. Abajo, se puede encontrar una lista de las la mayoría de los routers seguros y los mejores dispositivos NAS entre las que se puede elegir el que es adecuado para la red:
→Relacionado:El más seguro de los dispositivos NAS En 2017
→Relacionado:¿Cuáles son los routers más seguros 2017
Y para la seguridad del dispositivo final aconsejaríamos que equipar su organización con dispositivos personalizados configurado y mantener la información de configuración dada a conocer incluso a los empleados de la empresa, ya que este minimalizes el riesgo de uso.
Y como siempre, los investigadores de seguridad aconsejan para asegurar los dispositivos finales de su organización, así, ya que a menudo se convierten en el “paciente cero” de tales infecciones. Estos son algunos consejos que puede seguir para asegurar los dispositivos finales del malware:
Paso 1: instalar una el software anti-malware avanzadoen cada dispositivo. Viene de serie con protección en tiempo real activa y actualizaciones frecuentes.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Paso 2: Ejecutar programas en salvadera ambiente. Se evita cualquier tipo de malware ejecutado para funcionar con eficacia en su ordenador mediante el aislamiento dentro de una capa de cifrado que actúa como un muro de protección.
Paso 3: Asegúrese de que los usuarios de la red son conscientes de diferentes Router riesgos de seguridad que puede llegar a ser de debilidades a un grupo real de dolores de cabeza.
Paso 4: Asegúrese de educar a sus empleados sobre cómo almacenar de forma segura sus archivos para protegerlos contra el malware.
Preparación antes de retirar VPNFilter.
Antes de iniciar el proceso de eliminación real, se recomienda que usted hace los siguientes pasos de preparación.
- Asegúrate de que tienes estas instrucciones siempre abierto y delante de sus ojos.
- Hacer una copia de seguridad de todos sus archivos, aunque pudieran ser dañados. Debe hacer una copia de seguridad de sus datos con una solución de copia de nube y asegurar sus archivos contra cualquier tipo de pérdida, incluso de las amenazas más graves.
- Ser paciente ya que esto podría tomar un tiempo.
- Escanear en busca de malware
- Arreglar registros
- Eliminar archivos de virus
Paso 1: Analizar en busca de VPNFilter con la herramienta de SpyHunter Anti-Malware
Paso 2: Limpiar los registros, creado por VPNFilter en su ordenador.
Los registros normalmente dirigidos de máquinas Windows son los siguientes:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
Puede acceder a ellos abriendo el editor del registro de Windows y eliminar cualquier valor, creado por VPNFilter existe. Esto puede ocurrir siguiendo los pasos debajo:
Paso 3: Find virus files created by VPNFilter on your PC.
1.Para Windows 8, 8.1 y 10.
Para más nuevos sistemas operativos Windows
1: En su teclado de prensa + R y escribe explorer.exe en el Carrera cuadro de texto y haga clic en el OK botón.
2: Haga clic en su PC en la barra de acceso rápido. Esto suele ser un icono con un monitor y su nombre es ya sea "Mi computadora", "Mi PC" o "Este PC" o lo que sea que usted ha nombrado.
3: Navegue hasta el cuadro de búsqueda en la esquina superior derecha de la pantalla de su PC y escriba "FileExtension:" y después de lo cual escriba la extensión de archivo. Si usted está buscando para ejecutables maliciosos, Un ejemplo puede ser "FileExtension:exe". Después de hacer eso, dejar un espacio y escriba el nombre del archivo que cree que el malware ha creado. Aquí es cómo puede aparecer si se ha encontrado el archivo:
N.B. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.Para Windows XP, Vista, y 7.
Para más viejos sistemas operativos Windows
En los sistemas operativos Windows más antiguos, el enfoque convencional debería ser el efectivo:
1: Haga clic en el Menu de inicio icono (por lo general en su parte inferior izquierda) y luego elegir el Búsqueda preferencia.
2: Después de que aparezca la ventana de búsqueda, escoger Más opciones avanzadas Del cuadro de asistente de búsqueda. Otra forma es haciendo clic en Todos los archivos y carpetas.
3: Después de ese tipo el nombre del archivo que está buscando y haga clic en el botón Buscar. Esto puede llevar algún tiempo después del cual aparecerán resultados. Si usted ha encontrado el archivo malicioso, usted puede copiar o abrir por su ubicación botón derecho del ratón en eso.
Ahora usted debería ser capaz de descubrir cualquier archivo en Windows, siempre y cuando se encuentra en su disco duro y no se oculta a través de un software especial.
Preguntas frecuentes sobre VPNFilter
What Does VPNFilter Trojan Do?
The VPNFilter Trojan es un programa informático malicioso diseñado para interrumpir, dañar, u obtener acceso no autorizado a un sistema informático. Se puede utilizar para robar datos confidenciales., obtener el control de un sistema, o lanzar otras actividades maliciosas.
¿Pueden los troyanos robar contraseñas??
Sí, Troyanos, como VPNFilter, puede robar contraseñas. Estos programas maliciosos are designed to gain access to a user's computer, espiar a las víctimas y robar información confidencial como datos bancarios y contraseñas.
Can VPNFilter Trojan Hide Itself?
Sí, puede. Un troyano puede usar varias técnicas para enmascararse, incluyendo rootkits, cifrado, y ofuscación, para esconderse de los escáneres de seguridad y evadir la detección.
¿Se puede eliminar un troyano restableciendo los valores de fábrica??
Sí, un troyano se puede eliminar restableciendo los valores de fábrica de su dispositivo. Esto se debe a que restaurará el dispositivo a su estado original., eliminando cualquier software malicioso que pueda haber sido instalado. Tenga en cuenta que hay troyanos más sofisticados que dejan puertas traseras y vuelven a infectar incluso después de un restablecimiento de fábrica..
Can VPNFilter Trojan Infect WiFi?
Sí, es posible que un troyano infecte redes WiFi. Cuando un usuario se conecta a la red infectada, el troyano puede propagarse a otros dispositivos conectados y puede acceder a información confidencial en la red.
¿Se pueden eliminar los troyanos??
Sí, Los troyanos se pueden eliminar. Esto generalmente se hace ejecutando un poderoso programa antivirus o antimalware que está diseñado para detectar y eliminar archivos maliciosos.. En algunos casos, también puede ser necesaria la eliminación manual del troyano.
¿Pueden los troyanos robar archivos??
Sí, Los troyanos pueden robar archivos si están instalados en una computadora. Esto se hace permitiendo que el autor de malware o usuario para obtener acceso a la computadora y luego robar los archivos almacenados en ella.
¿Qué antimalware puede eliminar troyanos??
Programas anti-malware como SpyHunter son capaces de buscar y eliminar troyanos de su computadora. Es importante mantener su anti-malware actualizado y escanear regularmente su sistema en busca de cualquier software malicioso..
¿Pueden los troyanos infectar USB??
Sí, Los troyanos pueden infectar USB dispositivos. Troyanos USB normalmente se propaga a través de archivos maliciosos descargados de Internet o compartidos por correo electrónico, allowing the hacker to gain access to a user's confidential data.
Acerca de VPNFilter Research
El contenido que publicamos en SensorsTechForum.com, esta guía práctica de eliminación de VPNFilter incluida, es el resultado de una extensa investigación, trabajo duro y la dedicación de nuestro equipo para ayudarlo a eliminar el problema específico de los troyanos.
¿Cómo llevamos a cabo la investigación sobre VPNFilter??
Tenga en cuenta que nuestra investigación se basa en una investigación independiente. Estamos en contacto con investigadores de seguridad independientes, gracias a lo cual recibimos actualizaciones diarias sobre las últimas definiciones de malware, incluidos los diversos tipos de troyanos (puerta trasera, downloader, Infostealer, rescate, etc)
Además, the research behind the VPNFilter threat is backed with VirusTotal.
Para comprender mejor la amenaza que representan los troyanos, Consulte los siguientes artículos que proporcionan detalles informados..
Si quería ver si se ve afectada mi red podría ejecutar una captura de Wireshark en mi puerta de enlace y sólo tiene que buscar el escenario de dos IP públicas?