Cisco Talos'un bildirdiğine göre, yönlendiricinizi yeniden başlatmak artık VPNFilter'ın yükünü engellemek için yeterli değil.
VPNFilter olarak bilinen yeni kötü amaçlı yazılım türü, daha fazla marka ve model cihazı hedef alıyor ve ek özelliklerle övünüyor Cisco Talos, uç noktalara açıklardan faydalanma ve yeniden başlatmaları geçersiz kılma yeteneği de dahil olmak üzere çeşitli yeteneklere sahiptir. bildirdi.
Güvenlik
Virüsler, truva atları ve kötü amaçlı yazılımlar hakkında bilmeniz gereken her şey
Siber saldırılar ve kötü amaçlı yazılımlar internetteki en büyük tehditlerden biridir. Farklı kötü amaçlı yazılım türleri ve saldırıların kurbanı olmaktan nasıl kaçınılacağı hakkında bilgi edinin.
Şimdi OkuBaşlangıçta Talos, VPNFilter'ın sahip olduğunu buldu en az 500.000 ağ cihazına virüs bulaştı54 ülkede çoğunlukla tüketici sınıfı internet yönlendiricileri.
24 Mayıs itibarıyla kötü amaçlı yazılımdan etkilendiği bilinen cihazlar Linksys, MikroTik, Netgear ve TP-Link'ti. küçük ve ev ofis alanındaki ağ ekipmanlarının yanı sıra QNAP ağa bağlı depolamada (NAS) cihazlar.
Yeni bir Blog yazısıTalos, etkilenen cihazların listesini Asus, D-Link, Huawei, Ubiquiti, Upvel ve ZTE cihazlarını içerecek şekilde güncelledi.
Linksys, MikroTik, Netgear ve TP-Link'ten de yeni cihazlar keşfedildi ancak Cisco'nun sahibi olduğu şirket, hiçbir Cisco ağ cihazının etkilenmediğini söyledi.
Talos, listeye yeni cihazlar eklemenin yanı sıra, kötü amaçlı içerik enjekte eden "ssler" adlı yeni bir 3. aşama modülü keşfettiğini söyledi. bir ağ cihazından geçerken web trafiğine aktarılır ve bu, aktörün bir ortadaki adam aracılığıyla uç noktalara açıklardan yararlanmasına olanak tanır kabiliyet.
"Bu yeni bulguyla tehdidin aktörün ağda yapabileceklerinin ötesine geçtiğini doğrulayabiliriz" cihazın kendisini tehdit ediyor ve tehdidi, güvenliği ihlal edilmiş bir ağ cihazının desteklediği ağlara kadar genişletiyor" blogu açıklıyor.
FBI'ın küçük işletmeleri ve haneleri uyarmasına rağmen yönlendiricileri hemen yeniden başlatın Talos'tan gelen ilk raporlara göre bu, tehdidi engellemeyecek; Yeniden başlatmanın ardından bile ssler, kötü amaçlı yazılımın virüs bulaşmış bir cihazda kalıcı varlığını sürdürebilmesini sağlar.
Ssler, geçen tüm trafiği engelleyerek veri sızdırma ve JavaScript enjeksiyon yetenekleri sağlar 80 numaralı bağlantı noktasına yönlendirilen cihaz aracılığıyla, virüs bulaşmış olana bağlı cihazlara kötü amaçlı yükler dağıtıyor ağ. Talos, ssler modülünün, modülün davranışını ve hangi web sitelerinin hedeflenmesi gerektiğini belirleyen bir parametre listesi kullanılarak yürütülmesini bekliyor.
Araştırmacılar, 80 numaralı bağlantı noktasından giden herhangi bir web isteğinin daha sonra ssler tarafından durdurulduğunu ve meşru HTTP hizmetine gönderilmeden önce incelenip değiştirilebildiğini açıkladı.
Kill komutunun bulunmadığı herhangi bir aşama 2 modülüne cihazı devre dışı bırakma olanağı sağlayan başka bir aşama 3 modülü - cihaz imha modülü (dstr) - de Talos tarafından bulunmuştur.
Kendi kendini yok ettikten sonra yönlendiriciler için bir kill komutunu tetikler ve ardından geri kalanını siler. İlgili dosyalar, VPNFiler kötü amaçlı yazılımının izlerini cihazdan kaldırarak ve ardından cihazı görüntüleyerek kullanılamaz.
Talos'a göre yeni keşifler, VPNFilter'ın tehdidinin büyümeye devam ettiğini gösterdi.
"Ek hedeflenen cihazlar ve satıcılarda bulunan daha geniş tehdit yüzeyine ek olarak, kötü amaçlı yazılımın, Uç nokta cihazlarının kötüye kullanılması, bu tehdidin kapsamını cihazların ötesine ve bu cihazların desteklediği ağlara kadar genişletiyor." yazdı.
"Başarılı olursa aktör, hedeflerini desteklemek için rootkit'ler, sızma yeteneği ve yıkıcı kötü amaçlı yazılımlar da dahil olmak üzere istenen herhangi bir ek yeteneği ortama dağıtabilecektir."
Virüs bulaştığı bilinen cihazlar şunları içerir:
- Asus: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U ve RT-N66U.
- D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000 ve DSR-1000N.
- Huawei: HG8245.
- Linksys: E1200, E2500, E3000 E3200, E4200, RV082 ve WRVS4400N.
- Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik ve STX5.
- Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR 4300-TN ve UTM50.
- QNAP: TS251, TS439 Pro ve QTS yazılımını çalıştıran diğer QNAP NAS cihazları.
- TP-Link: R600VPN, TL-WR741ND ve TL-WR841N.
- Ubiquiti: NSM2 ve PBE M5.
- ZTE: ZXHN H108N.
Upvel'i hedef alan kötü amaçlı yazılım da bulundu; ancak satıcı tarafından hiçbir cihaz yalıtılmamıştır.
ÖNCEKİ VE İLGİLİ HABER
Talos, çoğu Ukrayna'da olmak üzere 500 bin IoT cihazını etkileyen yeni VPNFilter kötü amaçlı yazılımını tespit etti
Cisco'nun Talos'u, çoğunlukla çeşitli sağlayıcıların tüketici internet yönlendiricilerini hedef alan ve bazı tüketici NAS cihazlarının da etkilendiği VPNFilter kötü amaçlı yazılımının ön bulgularını yayınladı.
FBI'dan tüm yönlendirici kullanıcılarına: Rusya'nın VPNFilter kötü amaçlı yazılımını etkisiz hale getirmek için şimdi yeniden başlatın
FBI, tüm küçük işletme ve ev yönlendiricisi sahiplerinin, etkilendiği bilinen markalar arasında olmasalar bile cihazlarını yeniden başlatmalarını öneriyor.
Yeni Alman saldırısından şüphelenilen Ruslar 'bir yıldır sistemin içinde olabilir'
Alman istihbarat servisleri ve federal uzmanlar "bir BT güvenlik olayını" araştırıyor.
VPNFilter kötü amaçlı yazılımı 500.000 cihaza bulaştı: KOBİ ve ev ofisi yönlendiricileri risk altında(TechRepublic)
Cisco'nun Talos Intelligence'ı, yönlendirici ve NAS ürünlerini hedef alan bir kötü amaçlı yazılım kampanyasını ortaya çıkardı, ancak hükümet müdahalesi tehdidi etkisiz hale getirmiş olabilir.