Sorint.SEC Cyber Security Blog



VPNFilter malware

VULNERABILITÀ

Il 23 maggio 2018 Talos Intelligence ha pubblicato una ricerca riguardo un malware critico che si sta diffondendo su internet usando i device SOHO (small office home office) come modem/router/firewall.

Lo studio mostra che ad ora almeno 500 mila device sono stati infetti, usando varie vulnerabilità conosciute del firmware dei target. Attualmente non è chiaro chi sta portando avanti l'attacco, anche se sembra che l'Ucraina sia uno dei paesi con maggiori infezioni.

Il codice del malware è molto simile a quello di altro malware precedente chiamato “BlackEnergy”, anche questo colpiva in modo particolare l'Ucraina.

L'infezione è fatta in 3 fasi:

Nella prima fase il malware infetta il device caricando su di esso un eseguibile basato su “BusyBox”, compilato per le varie architetture targetizzate dall'attacco. Questa è la parte persistente del malware.

Una volta che il device è infetto, la seconda fase prevede la connessione con il server di C&C per ottenere i comandi da eseguire. Ci sono molti comandi che sono stati isolati durante l'analisi, alcuni di essi hanno potere distruttivo sul device (sovrascrittura della memoria flash del device):

  • kill: sovrascrittura dei primi 5,000 byte di /dev/mtdblock0 con degli 0, e poi reboot del device (effettivamente rompendolo).
  • exec: esegue un comando shell.
  • tor: setta il flag per Tor (0 o 1).
  • copy: copia un file dal client al server.
  • seturl: Setta l'URL del pannello di configurazione.
  • proxy: Seta l'URL del proxy.
  • port: Setta la porta del proxy.
  • delay: Setta il ritardo tra le principali esecuzioni cicliche.
  • reboot: Riavvia il device se è stato up per più di 256 secondi, e il nome della build è specificato nel parametro.
  • download: Scarica un URL in un file.

È un attacco molto sofisticato, Colpisce principalmente utenti finali e piccole organizzazioni. Il potenziale di una botnet del genere fa si che il livello di infezione debba essere tenuto sotto controllo.

Il 24 Maggio è stata pubblicata una notizia:: “l'

Device vulnerabili:

Lista di device che sono attualmente riconosciuti come vulneraili:

Linksys Devices:

  • E1200
  • E2500
  • WRVS4400N

Mikrotik RouterOS Versions for Cloud Core Routers:

  • 1016
  • 1036
  • 1072

Netgear Devices:

  • DGN2200
  • R6400
  • R7000
  • R8000  
  • WNR1000
  • WNR2000

QNAP Devices:

  • TS251
  • TS439 Pro

Ecco una lista di IoC conosciuti per queesto malware (fare riferimento al sito di Talos per la lista completa e aggiornata):

  • Associati alla prima fase
    • photobucket[.]com/user/nikkireed11/library
    • photobucket[.]com/user/kmila302/library
    • photobucket[.]com/user/lisabraun87/library
    • photobucket[.]com/user/eva_green1/library
    • photobucket[.]com/user/monicabelci4/library
    • photobucket[.]com/user/katyperry45/library
    • photobucket[.]com/user/saragray1/library
    • photobucket[.]com/user/millerfred/library
    • photobucket[.]com/user/jeniferaniston1/library
    • photobucket[.]com/user/amandaseyfried1/library
    • photobucket[.]com/user/suwe8/library
    • photobucket[.]com/user/bob7301/library
    • toknowall[.]com
  • Associati alla seconda fase
    • 91.121.109[.]209
    • 217.12.202[.]40
    • 94.242.222[.]68
    • 82.118.242[.]124
    • 46.151.209[.]33
    • 217.79.179[.]14
    • 91.214.203[.]144
    • 95.211.198[.]231
    • 195.154.180[.]60
    • 5.149.250[.]54
    • 91.200.13[.]76
    • 94.185.80[.]82
    • 62.210.180[.]229
    • zuh3vcyskd4gipkm[.]onion/bin32/update.php 

L'identificazione del malware otrebbe essere difficile per gli utenti finali, visto che il device infetto tipicamente è quello sul confine della rete. Per questa ragione, è molto importante che gli ISP siano vigili riguardo a traffico sospetto per essere in grado di comunicare eventuali infezioni ai proprietari dei device infetti.

Talos ha anche rilasciato delle signature snort per identificare la presenza delle vulnerabilità.

RIFERIMENTI

24 May 2018