O VPNFILFER Trojan foi atualizado pelos desenvolvedores por trás de novos módulos que fazem dele uma ameaça ainda mais perigosa. A análise de segurança detalhada mostra que nas mãos de hackers experientes pode causar danos significativos a redes inteiras.
Trojan VPNFILTER atualizado mais uma vez, Agora tem um arsenal de módulos ainda mais mortal
O Trojan VPNFilter é uma das ameaças mais sofisticadas observadas por analistas de segurança ultimamente. Seus primeiros ataques direcionados foram capazes de derrubar milhares de dispositivos de rede em todo o mundo. A equipe de segurança que fez o relatório afirma que a versão atualizada adiciona módulos adicionais de terceiro estágio, o que melhora muito sua funcionalidade.
Uma adição funcional é a capacidade de alavancar redes e explorar dispositivos de endpoint que são colocados na mesma rede que hosts infectados por VPNFILTER. Os hackers podem ofuscar e criptografar o tráfego de rede vindo deles de volta para os clientes infectados. Várias ferramentas de identificação de usuário podem ser usadas após as infecções, isso ajudará os operadores a realizar roubo de identidade e outros crimes. Outra novidade significativa é a capacidade de criar uma grande rede de proxies que podem ser usados em ataques coordenados. Como resultado disso, a análise de rede pode ser enganosa para alguns administradores.
A primeira adição ao Trojan VPNFILTER é o módulo de exploração de endpoint. É baseado em código-fonte aberto e sua função principal é encaminhar todo o tráfego do servidor web para outra porta. Este módulo também está programado para inspecionar as solicitações HTTP e identificar potenciais executáveis do Windows. Presume-se que ele usa uma lista integrada de aplicativos de destino. Se algum deles for encontrado, o módulo fará o download e corrigirá rapidamente para contornar possíveis bloqueios.
Para alavancar uma infecção mais profunda e permitir aos operadores maior liberdade, um novo ferramenta SSH multifuncional é implementado. Ele pode escanear as portas de vários endereços IP para avaliar se o Trojan pode infectá-los ou não por meio de um serviço vulnerável. Isso também irá configurar um servidor de controle remoto, ele irá autenticar com uma chave pública em vez de uma senha típica. A conexão implantada pode se conectar a um host remoto e emitir vários comandos. Quando programado corretamente, pode lançar um negação de serviço (DoS) utilitário usando argumentos simples.
Os ataques de rede de longa distância podem ser melhor coordenados habilitando o mapeador de rede. Ele fará a varredura ou todas as portas abertas na rede e tentará se conectar automaticamente aos serviços abertos. A análise revela que as seguintes portas são sondadas:
9, 21, 22, 23, 25, 37, 42, 43, 53, 69, 70, 79, 80, 88, 103, 110, 115, 118, 123, 137, 138, 139, 143, 150, 156, 161, 190, 197, 389, 443, 445, 515, 546, 547, 569, 3306, 8080 e 8291.
Sua funcionalidade integrada pode localizar dispositivos MikroTik usando o protocolo de descoberta de rede MikroTik (MNDP). Se os dispositivos estiverem online e responderem, eles retornarão os seguintes dados:Endereço MAC, identidade do sistema, número da versão, tipo de plataforma, tempo de atividade em segundos, ID do software RouterOS, Modelo RouterBoard, e o nome da interface do dispositivo descoberto.
Encaminhamento de porta é um mecanismo que é usado de forma abusiva por muitos Trojans ultimamente. Quando configurado corretamente, permitirá que o tráfego de rede seja direcionado contra uma infraestrutura de destino. Para um ataque mais letal, pode ser combinado com um Proxy SOCKS5. Os hosts infectados serão configurados para estabelecer um proxy neles. Isso pode ser usado para manipular shapers, roteadores e outros dispositivos de rede.
Finalmente um VPN TCP reverso servidor pode ser habilitado nos hosts infectados. Configurações de rede complexas e firewalls podem ser contornados usando este método, já que as redes corporativas geralmente contam com tais medidas como parte de sua política de segurança.
A análise de rede mostra que, após os últimos ataques em grande escala, o cavalo de Troia VPNFILTER passou por várias atualizações importantes. É possível que os criminosos estejam planejando outro grande ataque cibernético e esta é a razão para as atualizações significativas.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: