Comments 21
Не одного же меня посетила мысль что перезагрузка нужна для применения новых конфигов?
+11
Отчет Cisco Talos содержит подробное описание того как работает этот зловред. И перезагружать устройства он вообще-то умеет сам.
Заражение проходит в три этапа. На первом этапе в устройство заливается что-то вроде руткита. Он записывает себя во флеш и от этой штуки перезагрузкой не избавишься. На втором и третьем этапе в установленный руткит загружаются плагины, ради которых собственно и заражали устройство. Эти плагины не сохраняются во флеше и загружаются руткитом с «основного сервера».
Заражение проходит в три этапа. На первом этапе в устройство заливается что-то вроде руткита. Он записывает себя во флеш и от этой штуки перезагрузкой не избавишься. На втором и третьем этапе в установленный руткит загружаются плагины, ради которых собственно и заражали устройство. Эти плагины не сохраняются во флеше и загружаются руткитом с «основного сервера».
+3
«ФБР успешно пропатчила прошивки ваших маршрутизаторов. Требуется перезагрузка, чтобы изменения вступили в силу»
+13
Зря минусуете, вся суть совета отражена в одной картинке.
Тем более что
Не вижу в статье технических деталей по поводу попадания зловреда на устройство. Как понять, что устройство заражено, и если так — то как часто перезагружать?
Тем более что
После перезагрузки устройства окажутся уязвимыми для повторного заражения.
Не вижу в статье технических деталей по поводу попадания зловреда на устройство. Как понять, что устройство заражено, и если так — то как часто перезагружать?
0
Если они и правда вывели из строя сервер(ы) откуда скачивается основной модуль червя — то одной перезагрузки достаточно. До тех пор пока авторы червя не выпустят новую версию.
+1
А надо не перепечатку Маркса читать, а исходное сообщение у Циски:
The VPNFilter malware is a multi-stage, modular platform with versatile capabilities to support both intelligence-collection and destructive cyber attack operations.
The stage 1 malware persists through a reboot, which sets it apart from most other malware that targets internet-of-things devices because malware normally does not survive a reboot of the device. The main purpose of stage 1 is to gain a persistent foothold and enable the deployment of the stage 2 malware. Stage 1 utilizes multiple redundant command and control (C2) mechanisms to discover the IP address of the current stage 2 deployment server, making this malware extremely robust and capable of dealing with unpredictable C2 infrastructure changes.
The stage 2 malware, which does not persist through a reboot, possesses capabilities that we have come to expect in a workhorse intelligence-collection platform, such as file collection, command execution, data exfiltration and device management. However, some versions of stage 2 also possess a self-destruct capability that overwrites a critical portion of the device's firmware and reboots the device, rendering it unusable. Based on the actor's demonstrated knowledge of these devices, and the existing capability in some stage 2 versions, we assess with high confidence that the actor could deploy this self-destruct command to most devices that it controls, regardless of whether the command is built into the stage 2 malware.
In addition, there are multiple stage 3 modules that serve as plugins for the stage 2 malware. These plugins provide stage 2 with additional functionality. As of this writing, we are aware of two plugin modules: a packet sniffer for collecting traffic that passes through the device, including theft of website credentials and monitoring of Modbus SCADA protocols, and a communications module that allows stage 2 to communicate over Tor. We assess with high confidence that several other plugin modules exist, but we have yet to discover them.
-1
Микротики заявили, что уязвимость устранена в марте. Марте прошлого года. Хотя я слабо представляю себе, как у них что-то стороннее в принципе может запуститься.
0
Все зараженные устройства работают на прошивках основанных на ядре Linux с установленным Busybox. Я как бы ни на что не намекаю, но мне сразу вспомнилась та история когда в сетевом стеке FreeBSD нашли АНБшную закладку. :)
А в твоем рутованном Android стоит Busybox? :-]
А в твоем рутованном Android стоит Busybox? :-]
+1
По мнению специалистов Cisco Talos, разработчики вируса — российская команда взломщиков, известная как Sofacy, Fancy Bear, APT 28 и Pawn Storm. О причастности к разработке вируса именно этой группы говорят косвенные признаки, на которые и обратили внимание специалисты по информационной безопасности
Интересно, по каким косвенным признакам определяют. Стиль работы зловреда?
+1
QNAP TS251 и прочие модели — это же вообще не роутеры, а NAS. Это сетевые хранилища подвержены взлому этим вирусом или просто список устройств кривой?
0
Автор не столько бы переводил чужие источники (причем не исходные, а пост на Арстехнике про пост на Циске), сколько попробовал бы разобраться: перезагрузка от этого зловреда, судя по сообщению циски, не помогает. Далее, про список железок: тот же Mikrotik сразу же вышел с опровержением, написав, что дыра заткнута уже какое-то время (с марта 2017, если что), и хорошим решением будет не перезагрузка, а обновление до свежей ROS плюс затыкание ненужных доступов (это вообще универсальное решение из серии «хуже не сделает»).
Вот цитата из оповещения Циски:
Выделение моё. Возможно, ФБР и захватило управляющие центры зловреда, и перезагрузка поможет тем, что первая сфаза заражения после ребута не сможет получить от центра информацию и бинарники заражения, но кто знает, что будет завтра, так что лечить все же придется.
Вот цитата из оповещения Циски:
The VPNFilter malware is a multi-stage, modular platform with versatile capabilities to support both intelligence-collection and destructive cyber attack operations.
The stage 1 malware persists through a reboot, which sets it apart from most other malware that targets internet-of-things devices because malware normally does not survive a reboot of the device.
Выделение моё. Возможно, ФБР и захватило управляющие центры зловреда, и перезагрузка поможет тем, что первая сфаза заражения после ребута не сможет получить от центра информацию и бинарники заражения, но кто знает, что будет завтра, так что лечить все же придется.
+1
Второй шаг — обновление прошивки, это позволит изменить многое, защитив сетевые устройства и сами сети еще лучше.Сегодня наша команда сыграла плохо, завтра мы будем играть еще лучше.
+1
Sign up to leave a comment.
ФБР советует перезагрузить свои роутеры для избавления от зловреда VPNFilter