Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 21
Не одного же меня посетила мысль что перезагрузка нужна для применения новых конфигов?
Отчет Cisco Talos содержит подробное описание того как работает этот зловред. И перезагружать устройства он вообще-то умеет сам.
Заражение проходит в три этапа. На первом этапе в устройство заливается что-то вроде руткита. Он записывает себя во флеш и от этой штуки перезагрузкой не избавишься. На втором и третьем этапе в установленный руткит загружаются плагины, ради которых собственно и заражали устройство. Эти плагины не сохраняются во флеше и загружаются руткитом с «основного сервера».
Заражение проходит в три этапа. На первом этапе в устройство заливается что-то вроде руткита. Он записывает себя во флеш и от этой штуки перезагрузкой не избавишься. На втором и третьем этапе в установленный руткит загружаются плагины, ради которых собственно и заражали устройство. Эти плагины не сохраняются во флеше и загружаются руткитом с «основного сервера».
«ФБР успешно пропатчила прошивки ваших маршрутизаторов. Требуется перезагрузка, чтобы изменения вступили в силу»
Зря минусуете, вся суть совета отражена в одной картинке.
Тем более что
Не вижу в статье технических деталей по поводу попадания зловреда на устройство. Как понять, что устройство заражено, и если так — то как часто перезагружать?
Тем более что
После перезагрузки устройства окажутся уязвимыми для повторного заражения.
Не вижу в статье технических деталей по поводу попадания зловреда на устройство. Как понять, что устройство заражено, и если так — то как часто перезагружать?
Если они и правда вывели из строя сервер(ы) откуда скачивается основной модуль червя — то одной перезагрузки достаточно. До тех пор пока авторы червя не выпустят новую версию.
А надо не перепечатку Маркса читать, а исходное сообщение у Циски:
The VPNFilter malware is a multi-stage, modular platform with versatile capabilities to support both intelligence-collection and destructive cyber attack operations.
The stage 1 malware persists through a reboot, which sets it apart from most other malware that targets internet-of-things devices because malware normally does not survive a reboot of the device. The main purpose of stage 1 is to gain a persistent foothold and enable the deployment of the stage 2 malware. Stage 1 utilizes multiple redundant command and control (C2) mechanisms to discover the IP address of the current stage 2 deployment server, making this malware extremely robust and capable of dealing with unpredictable C2 infrastructure changes.
The stage 2 malware, which does not persist through a reboot, possesses capabilities that we have come to expect in a workhorse intelligence-collection platform, such as file collection, command execution, data exfiltration and device management. However, some versions of stage 2 also possess a self-destruct capability that overwrites a critical portion of the device's firmware and reboots the device, rendering it unusable. Based on the actor's demonstrated knowledge of these devices, and the existing capability in some stage 2 versions, we assess with high confidence that the actor could deploy this self-destruct command to most devices that it controls, regardless of whether the command is built into the stage 2 malware.
In addition, there are multiple stage 3 modules that serve as plugins for the stage 2 malware. These plugins provide stage 2 with additional functionality. As of this writing, we are aware of two plugin modules: a packet sniffer for collecting traffic that passes through the device, including theft of website credentials and monitoring of Modbus SCADA protocols, and a communications module that allows stage 2 to communicate over Tor. We assess with high confidence that several other plugin modules exist, but we have yet to discover them.
Микротики заявили, что уязвимость устранена в марте. Марте прошлого года. Хотя я слабо представляю себе, как у них что-то стороннее в принципе может запуститься.
Все зараженные устройства работают на прошивках основанных на ядре Linux с установленным Busybox. Я как бы ни на что не намекаю, но мне сразу вспомнилась та история когда в сетевом стеке FreeBSD нашли АНБшную закладку. :)
А в твоем рутованном Android стоит Busybox? :-]
А в твоем рутованном Android стоит Busybox? :-]
Да вот они сами пишут, что проблема в webfig была, если он висел на 80 порту и не было файрвольных правил для закрытия его.
Честно говоря, на фоне «достижений» по дырам других вендоров, Микротики молодцы.
Честно говоря, на фоне «достижений» по дырам других вендоров, Микротики молодцы.
По мнению специалистов Cisco Talos, разработчики вируса — российская команда взломщиков, известная как Sofacy, Fancy Bear, APT 28 и Pawn Storm. О причастности к разработке вируса именно этой группы говорят косвенные признаки, на которые и обратили внимание специалисты по информационной безопасности
Интересно, по каким косвенным признакам определяют. Стиль работы зловреда?
QNAP TS251 и прочие модели — это же вообще не роутеры, а NAS. Это сетевые хранилища подвержены взлому этим вирусом или просто список устройств кривой?
Автор не столько бы переводил чужие источники (причем не исходные, а пост на Арстехнике про пост на Циске), сколько попробовал бы разобраться: перезагрузка от этого зловреда, судя по сообщению циски, не помогает. Далее, про список железок: тот же Mikrotik сразу же вышел с опровержением, написав, что дыра заткнута уже какое-то время (с марта 2017, если что), и хорошим решением будет не перезагрузка, а обновление до свежей ROS плюс затыкание ненужных доступов (это вообще универсальное решение из серии «хуже не сделает»).
Вот цитата из оповещения Циски:
Выделение моё. Возможно, ФБР и захватило управляющие центры зловреда, и перезагрузка поможет тем, что первая сфаза заражения после ребута не сможет получить от центра информацию и бинарники заражения, но кто знает, что будет завтра, так что лечить все же придется.
Вот цитата из оповещения Циски:
The VPNFilter malware is a multi-stage, modular platform with versatile capabilities to support both intelligence-collection and destructive cyber attack operations.
The stage 1 malware persists through a reboot, which sets it apart from most other malware that targets internet-of-things devices because malware normally does not survive a reboot of the device.
Выделение моё. Возможно, ФБР и захватило управляющие центры зловреда, и перезагрузка поможет тем, что первая сфаза заражения после ребута не сможет получить от центра информацию и бинарники заражения, но кто знает, что будет завтра, так что лечить все же придется.
Второй шаг — обновление прошивки, это позволит изменить многое, защитив сетевые устройства и сами сети еще лучше.Сегодня наша команда сыграла плохо, завтра мы будем играть еще лучше.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
ФБР советует перезагрузить свои роутеры для избавления от зловреда VPNFilter