VPNFilter malware

Nella prima fase il malware infetta il device caricando su di esso un eseguibile basato su “BusyBox”, compilato per le varie architetture targetizzate dall’attacco. Questa è la parte persistente del malware.

Una volta che il device è infetto, la seconda fase prevede la connessione con il server di C&C per ottenere i comandi da eseguire. Ci sono molti comandi che sono stati isolati durante l’analisi, alcuni di essi hanno potere distruttivo sul device (sovrascrittura della memoria flash del device):

kill: sovrascrittura dei primi 5,000 byte di /dev/mtdblock0 con degli 0, e poi reboot del device (effettivamente rompendolo).
exec: esegue un comando shell.
tor: setta il flag per Tor (0 o 1).
copy: copia un file dal client al server.
seturl: Setta l’URL del pannello di configurazione.
proxy: Seta l’URL del proxy.
port: Setta la porta del proxy.
delay: Setta il ritardo tra le principali esecuzioni cicliche.
reboot: Riavvia il device se è stato up per più di 256 secondi, e il nome della build è specificato nel parametro.
download: Scarica un URL in un file.
È un attacco molto sofisticato, Colpisce principalmente utenti finali e piccole organizzazioni. Il potenziale di una botnet del genere fa si che il livello di infezione debba essere tenuto sotto controllo.

Il 24 Maggio è stata pubblicata una notizia:: “l’FBI ha sequestrato un dominio web che comunicava con una botnet globale massiva, composta di migliaia di migliaia di device SOHO infetti”

Device vulnerabili:

Lista di device che sono attualmente riconosciuti come vulneraili:

Linksys Devices:

E1200
E2500
WRVS4400N
Mikrotik RouterOS Versions for Cloud Core Routers:

1016
1036
1072
Netgear Devices:

DGN2200
R6400
R7000
R8000
WNR1000
WNR2000
QNAP Devices:

TS251
TS439 Pro
COME DIFENDERSI

Ecco una lista di IoC conosciuti per queesto malware (fare riferimento al sito di Talos per la lista completa e aggiornata):

Associati alla prima fase
photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com
Associati alla seconda fase
91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
zuh3vcyskd4gipkm[.]onion/bin32/update.php
L’identificazione del malware otrebbe essere difficile per gli utenti finali, visto che il device infetto tipicamente è quello sul confine della rete. Per questa ragione, è molto importante che gli ISP siano vigili riguardo a traffico sospetto per essere in grado di comunicare eventuali infezioni ai proprietari dei device infetti.

Talos ha anche rilasciato delle signature snort per identificare la presenza delle vulnerabilità.

RIFERIMENTI

https://blog.talosintelligence.com/2018/05/VPNFilter.html
https://www.us-cert.gov/ncas/current-activity/2018/05/23/VPNFilter-Destructive-Malware
https://thehackernews.com/2018/05/vpnfilter-botnet-malware.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29