Ciscos varningssystem Talos blog har idag varnat för en stor attack mot nätverks- och lagringsenheter för mindre kontor och hemmet. Mer än en halv miljon enheter i 50 länder skall vara infekterade av malwaret VPNFilter.
Internet of Things, så kallade IoT, har de sista åren varit utsatta för en del nätverksbaserade attacker, något som visade sig ordentligt med Mirai och DDoS attackerna som utfördes 2016 från just IoT enheter. Cisco Talos har i sin blogpost en genomgång av Malwaret VPNFilter som visar på hur sårbart IoT kan vara och hur viktigt det är att förstå vad säkerheten i nätverket för dessa produkter.
VPNFilter Malware
VPNFilter är ett Malware som visar på väldigt hög kunskap hos utvecklarna något som gör att det med största sannolikhet har utvecklats av en stat eller ett organiserat brottssyndikat. VPNFilter är ett modulärt Malware som kan ta ut data och stjäla lösenord, med en plugin-struktur som kan ge extra funktioner vid behov.
VPNFIlter har också möjligheten att förstöra sig själv och även förstöra vissa enheter som den har tagit över vilket gör att den kan ta bort viktiga spår efter sig själv.
Hur sprider sig VPNFilter
VPNFilter körs i två steg:
Steg-1 är till för att skaffa fotfäste och skapa kontakt med sin Command and Control server, detta görs för att ladda ner Steg-2. VPNFilters Steg-1 är ovanligt för ett Malware genom att det inte försvinner efter en omstart av IoT enheten och kan finnas kvar länge.
Steg-2 utför olika typer av attackerna på nätverket och genom pluggin-strukturen så kan man utöka dessa. Följande har observerats:
– File collection
– Command execution
– Data exfiltration
– Device management
– Self destruct
Plugin till Steg-2:
– Kommunikation över TOR
– Sniffa på trafik, för att bland annat hitta uppgifter i webbtrafik och/eller se på trafik från SCADA system.
Rekommendationer
Grundskyddet i ett nätverk är att segmentera, man delar upp nätverket i olika delar och tillåter enbart trafik som man känner till att gå mellan dessa segment.
När det gäller VPNFilter Malware så är det inte så enkelt då det har riktat in sig på mindre nätverksenheter för hemmabruk eller för små kontor och företag. Det gäller routrar som Linksys, MikroTik, Netgear mm, men även enheter som är beroende av nätverket som till exempel QNAP NAS.
Rekommendationerna för dessa enheter är att:
1. Köra en factory-reset för att få bort delarna som inte överlever en omstart.
2. Verifiera och installera sista uppdateringen av firmware från tillverkaren. Talos har publicerat flera Snort IPS signaturer och även signaturer för ClamAV, bägge dessa är Open source produkter som kan installeras och användas för eget bruk.
I tillägg till detta så finns det även skydd i Ciscos enterprise produkter, så som AMP för klienten, DNS skydd med Umbrella, StealthWatch för att se kommunikationen till C2C server.
För mer information läs Talos detaljerade blog.
Kontakta oss gärna – vi hjälper gärna verksamheter med säkerhetsanalyser vid behov.
Mikael Gustafsson, Konsult, Conscia Netsafe, CCIE Security