Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
mayo
(Total:
16
)
- PornHub ofrece servicio gratuito VPN (con anuncios...
- Ataques sónicos y ultrasónicos pueden dañar o colg...
- Amazon reconoce que Alexa grabó por error a una co...
- Arrestados dos franceses de 18 años responsables d...
- VPNFilter, el malware que afecta a 500.000 routers
- 95 actualizaciones de seguridad para Adobe; 47 par...
- Holanda dejará de utilizar el antivirus de la empr...
- Adolescente consigue engañar con Phishing a profes...
- Grave vulnerabilidad RCE en millones de routers fi...
- IBM prohíbe el uso de unidades de almacenamiento U...
- Prisión y multa para el jugador responsable ataque...
- Apple hará que los iPhones sean más difíciles de h...
- Nueva ley GDPR: las empresas tendrán 72 horas para...
- Descubierta grave vulnerabilidad en 7-Zip
- Twitter recomienda a sus usuarios a cambiar la con...
- Fundador y CEO de WhatsApp renuncia tras supuestas...
-
▼
mayo
(Total:
16
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
VPNFilter, el malware que afecta a 500.000 routers
lunes, 28 de mayo de 2018
|
Publicado por
el-brujo
|
Editar entrada
VPNFilter es el nombre con el que han bautizado un nuevo malware de posible origen ruso ha infectado al menos a 500.000 routers de hasta 54 países diferentes, formando una botnet. El origen de VPNFilter podría estar en el gruposruso "Sofacy", conocido también como "Fancy Bear" y "APT28" y uno de sus objetivos podría haber sido causar una caída en los ordenadores durante la final de la Champion League 2018 que se ha celebrado en Ucrania, país que no tiene unas buenas relaciones con Rusia. El malware ha sido denominado “VPNFilter” porque se autoinstala en un directorio llamado /vpnfilter/.
VPNFilter, un malware potencialmente destructivo, que infecta activamente a los hosts de Ucrania a un ritmo alarmante, utilizando una infraestructura de comando y control (C2) dedicada a ese país.
Se estima que la cantidad de dispositivos infectados es de al menos 500,000 en al menos 54 países. , pero nuestra investigación continúa. El comportamiento de este malware en los equipos de red es particularmente preocupante, ya que los componentes del malware VPNFilter permiten el robo de credenciales del sitio web y la supervisión de los protocolos Modbus SCADA. Por último, el malware tiene una capacidad destructiva que puede inutilizar un dispositivo infectado, que puede activarse en máquinas de víctimas individuales o en masa, y tiene el potencial de cortar el acceso a Internet para cientos de miles de víctimas en todo el mundo.
VPN Filter utiliza vulnerabilidades conocidas para infectar enrutadores de oficina doméstica fabricados por Linksys, MikroTik, NETGEAR y TP-Link. Una vez en su lugar, el malware informa a una infraestructura de comando y control que puede instalar complementos construidos especialmente, según los investigadores. Un complemento permite espiar el tráfico de Internet de la víctima para robar las credenciales del sitio web; otro se dirige a un protocolo utilizado en las redes de control industrial, como las de la red eléctrica. Un tercero permite al atacante paralizar cualquiera o todos los dispositivos infectados a voluntad.
El malware VPNFilter es una plataforma modular de etapas múltiples con capacidades versátiles para admitir operaciones de recopilación de inteligencia y ataques cibernéticos destructivos.
El malware de la etapa 1 persiste a través de un reinicio, que lo diferencia de la mayoría de los otros programas maliciosos que se dirigen a los dispositivos de Internet de las cosas porque el malware normalmente no sobrevive al reinicio del dispositivo.
Los investigadores han explicado que se trata de una «botnet» basada en la estructura de la Internet de las Cosas (red de bots o equipos zoombie que pueden ser controlados de manera conjunta remotamente). Se desconocen las intenciones exactas de los ciberdelincuentes, pero temen que podría ser utilizado para múltiples acciones como ciberespionaje o lanzar un ciberataque a escala global.
El Servicio de Seguridad de Ucrania (SBU) ha detectado, según informa Reuters, una actividad sospechosa procedente de organismos de Rusia y temen que se estaba preparando un ciberataque a gran escala en el marco de la final de la Liga de Campeones, que se celebró en la capital ucraniana, Kiev, el sábado entre el Real Madrid y el Liverpool.
Tal vez los detalles técnicos más interesantes, que los puntos de Cisco Talos en su blog de la vinculación VPNFilter a BlackEnergy, por el uso de un defectuoso del algotritmo RC4.
Entonces, ¿VPNFilter está relacionado con BlackEnergy? Si vamos a considerar solo la implementación de la programación de claves RC4, podemos decir que solo hay un enlace de baja confianza. Sin embargo, cabe señalar que se sabe que BlackEnergy implementó malware de enrutadores desde el año 2014, que describimos en nuestro blog: "plugins personalizados de BE2, abuso de enrutadores y perfiles de destino". Buscando otras similitudes que podrían respaldar esta teoría.
Análisis técnicos y detallados del malware:
Modelos potencialmente vulnerables que están siendo atacados:
¿Reiniciar el router realmente eliminará la infección de VPNFilter? La respuesta corta es sí y no. Al reiniciar el router se descargarán los componentes de la Etapa 2 y la Etapa 3 de VPNFilter, pero la Etapa 1 comenzará de nuevo luego de que el enrutador se reinicie. Por lo tanto, aunque los componentes más maliciosos estarán deshabilitados, VPNFilter seguirá presente en tu dispositivo.
La única forma real de eliminar por completo esta infección es restablecer el router a los valores predeterminados de fábrica, lo que también reiniciará el router. Desafortunadamente, este proceso requerirá que configurar nuevamente todos los datos desde la contraseña de administrador a configurar cualquier red inalámbrica
Cisco y Symantec aconsejan un reseteo de fábrica, es decir resetear el router al estado de fábrica
MikroTik ha dicho que es muy seguro que cualquiera de sus dispositivos infectados por VPNFilter haya instalado el malware a través de una vulnerabilidad en el software MikroTik RouterOS, que fue parcheada por MikroTik en marzo de 2017. La actualización del software RouterOS elimina VPNFilter, cualquier otro archivo de terceros y corrige la vulnerabilidad.
Opción de hacer un "hard reset" al dispositivo, que hace que éste se inicie con la configuración de fábrica.
Instrucciones fabricantes:
Se recomienda, cómo siempre:
El FBI ha estado investigando la red zombi desde al menos agosto, según registros judiciales, cuando agentes en Pittsburgh entrevistaron a un residente local cuyo enrutador doméstico había sido infectado con el malware ruso. "Ella voluntariamente entregó su enrutador a los agentes", escribió el agente del FBI Michael McKeown, en una declaración jurada presentada en un tribunal federal. "Además, la víctima permitió que el FBI utilizara un toque de red en su red doméstica que permitía al FBI observar el tráfico de red que salía del enrutador de la casa".
Eso permitió a la oficina identificar una debilidad clave en el malware. Si una víctima reinicia un enrutador infectado, todos los complementos maliciosos desaparecerán y solo sobrevivirá el código principal de malware. Ese código está programado para conectarse a través de Internet a una infraestructura de comando y control configurada.
Primero comprueba las imágenes particulares alojadas en Photobucket.com que contenían información oculta en los metadatos. Si no puede encontrar esas imágenes, que de hecho han sido eliminadas de Photobucket, se convierte en un punto de control de respaldo de emergencia en el dominio web ToKnowAll.com
Agentes del FBI en Pittsburg le pidieron a la magistrada federal Lisa Pupo Lenihan en Pittsburgh que ordene a la firma de registro de dominios Verisign entregar la dirección de ToKnowAll[.]com al FBI, para "avanzar en la investigación, interrumpir el continuo actividad criminal que involucra el establecimiento y uso de la botnet, y ayudar en los esfuerzos de remediación", según los registros judiciales. Lenihan estuvo de acuerdo, y el miércoles la oficina tomó el control del dominio.
VPNFilter es un malware de tres etapas, sin embargo, la última no terminó de quedar del todo clara hasta que los investigadores indagaron más en ella.
Esas capacidades adicionales descubiertas de VPNFilter incluyen eludir el cifrado SSL —por lo tanto, robar datos confidenciales— inyectar contenido malicioso en el tráfico web normal e infectar a otros dispositivos en la red.
Ahora, además, existen más datos sobre esta esta amenaza: afecta a más dispositivos de enrutamiento (routers) tanto domésticos como para pymes de lo que anteriormente se pensaba, de marcas como Linksys, MikroTik, NETGEAR y TP-Link, así como dispositivos NAS de QNAP.
La lista de routers afectados ha aumentado significativamente desde que se informó por primera vez de esta infección, y ahora incluye dispositivos de ASUS, D-Link, Huawei, Ubiquiti, UPVEL y ZTE.
Dispositivos afectados:
Asus:
A los propietarios del routers DrayTek Vigor, se ha informado recientemente de una vulnerabilidad que permite a un atacante cambiar la configuración del Sistema de nombres de dominio (DNS) para secuestrar el tráfico web y robar información personal.
El Servidor DNS maligno sería:
Fuentes:
https://blog.talosintelligence.com/2018/05/VPNFilter.html
https://www.thedailybeast.com/exclusive-fbi-seizes-control-of-russian-botnet
VPNFilter, un malware potencialmente destructivo, que infecta activamente a los hosts de Ucrania a un ritmo alarmante, utilizando una infraestructura de comando y control (C2) dedicada a ese país.
Se estima que la cantidad de dispositivos infectados es de al menos 500,000 en al menos 54 países. , pero nuestra investigación continúa. El comportamiento de este malware en los equipos de red es particularmente preocupante, ya que los componentes del malware VPNFilter permiten el robo de credenciales del sitio web y la supervisión de los protocolos Modbus SCADA. Por último, el malware tiene una capacidad destructiva que puede inutilizar un dispositivo infectado, que puede activarse en máquinas de víctimas individuales o en masa, y tiene el potencial de cortar el acceso a Internet para cientos de miles de víctimas en todo el mundo.
VPN Filter utiliza vulnerabilidades conocidas para infectar enrutadores de oficina doméstica fabricados por Linksys, MikroTik, NETGEAR y TP-Link. Una vez en su lugar, el malware informa a una infraestructura de comando y control que puede instalar complementos construidos especialmente, según los investigadores. Un complemento permite espiar el tráfico de Internet de la víctima para robar las credenciales del sitio web; otro se dirige a un protocolo utilizado en las redes de control industrial, como las de la red eléctrica. Un tercero permite al atacante paralizar cualquiera o todos los dispositivos infectados a voluntad.
Algunos detalles técnicos
El malware VPNFilter es una plataforma modular de etapas múltiples con capacidades versátiles para admitir operaciones de recopilación de inteligencia y ataques cibernéticos destructivos.
El malware de la etapa 1 persiste a través de un reinicio, que lo diferencia de la mayoría de los otros programas maliciosos que se dirigen a los dispositivos de Internet de las cosas porque el malware normalmente no sobrevive al reinicio del dispositivo.
Los investigadores han explicado que se trata de una «botnet» basada en la estructura de la Internet de las Cosas (red de bots o equipos zoombie que pueden ser controlados de manera conjunta remotamente). Se desconocen las intenciones exactas de los ciberdelincuentes, pero temen que podría ser utilizado para múltiples acciones como ciberespionaje o lanzar un ciberataque a escala global.
El Servicio de Seguridad de Ucrania (SBU) ha detectado, según informa Reuters, una actividad sospechosa procedente de organismos de Rusia y temen que se estaba preparando un ciberataque a gran escala en el marco de la final de la Liga de Campeones, que se celebró en la capital ucraniana, Kiev, el sábado entre el Real Madrid y el Liverpool.
Tal vez los detalles técnicos más interesantes, que los puntos de Cisco Talos en su blog de la vinculación VPNFilter a BlackEnergy, por el uso de un defectuoso del algotritmo RC4.
Entonces, ¿VPNFilter está relacionado con BlackEnergy? Si vamos a considerar solo la implementación de la programación de claves RC4, podemos decir que solo hay un enlace de baja confianza. Sin embargo, cabe señalar que se sabe que BlackEnergy implementó malware de enrutadores desde el año 2014, que describimos en nuestro blog: "plugins personalizados de BE2, abuso de enrutadores y perfiles de destino". Buscando otras similitudes que podrían respaldar esta teoría.
Análisis técnicos y detallados del malware:
- https://securelist.com/vpnfilter-exif-to-c2-mechanism-analysed/85721/
- https://news.sophos.com/en-us/2018/05/24/vpnfilter-botnet-a-sophoslabs-analysis/
- https://news.sophos.com/en-us/2018/05/27/vpnfilter-botnet-a-sophoslabs-analysis-part-2/
- https://sensorstechforum.com//vpnfilter-trojan-malware-unix-remove-protect-networks/
- https://www.vanimpe.eu/2018/05/25/diving-into-the-vpnfilter-c2-via-exif/
Modelos potencialmente vulnerables que están siendo atacados:
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik RouterOS para Cloud Core Routers: Versiones 1016, 1036 y 1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Otros dispositivos QNAP NAS funcionando con QTS software
- TP-Link R600VPN
El FBI recomienda que reinicies el router; pero reiniciar no es suficiente
Sorprende bastante la recomendación del FBI de reiniciar el router, ya que varios expertos han señalado que el malware VPNFilter es persistente a los reinicios, con lo cual reiniciar el router no va solucionar el problema.¿Reiniciar el router realmente eliminará la infección de VPNFilter? La respuesta corta es sí y no. Al reiniciar el router se descargarán los componentes de la Etapa 2 y la Etapa 3 de VPNFilter, pero la Etapa 1 comenzará de nuevo luego de que el enrutador se reinicie. Por lo tanto, aunque los componentes más maliciosos estarán deshabilitados, VPNFilter seguirá presente en tu dispositivo.
La única forma real de eliminar por completo esta infección es restablecer el router a los valores predeterminados de fábrica, lo que también reiniciará el router. Desafortunadamente, este proceso requerirá que configurar nuevamente todos los datos desde la contraseña de administrador a configurar cualquier red inalámbrica
Cisco y Symantec aconsejan un reseteo de fábrica, es decir resetear el router al estado de fábrica
MikroTik ha dicho que es muy seguro que cualquiera de sus dispositivos infectados por VPNFilter haya instalado el malware a través de una vulnerabilidad en el software MikroTik RouterOS, que fue parcheada por MikroTik en marzo de 2017. La actualización del software RouterOS elimina VPNFilter, cualquier otro archivo de terceros y corrige la vulnerabilidad.
Opción de hacer un "hard reset" al dispositivo, que hace que éste se inicie con la configuración de fábrica.
Instrucciones fabricantes:
- QNAP: https://www.qnap.com/en/security-advisory/nas-201805-24
- Lynksys: https://www.linksys.com/eg/support-article?articleNum=139791
- Netgear: https://kb.netgear.com/000058814/Security-Advisory-for-VPNFilter-Malware-on-Some-Routers
Se recomienda, cómo siempre:
- Deshabilitar la administración remota (Disable Remote Administration). La administración remota suele estar deshabilitada por defecto.
- Cambiar las contraseñas por defecto
- Desactivar servicios no utilicemos (especialmente servicios accesibles remotamente desde WAN (Internet)
- Utilizar el último firmware disponible
El FBI toma el control de la botnet VPNFilter
El FBI ha estado investigando la red zombi desde al menos agosto, según registros judiciales, cuando agentes en Pittsburgh entrevistaron a un residente local cuyo enrutador doméstico había sido infectado con el malware ruso. "Ella voluntariamente entregó su enrutador a los agentes", escribió el agente del FBI Michael McKeown, en una declaración jurada presentada en un tribunal federal. "Además, la víctima permitió que el FBI utilizara un toque de red en su red doméstica que permitía al FBI observar el tráfico de red que salía del enrutador de la casa".
Eso permitió a la oficina identificar una debilidad clave en el malware. Si una víctima reinicia un enrutador infectado, todos los complementos maliciosos desaparecerán y solo sobrevivirá el código principal de malware. Ese código está programado para conectarse a través de Internet a una infraestructura de comando y control configurada.
Primero comprueba las imágenes particulares alojadas en Photobucket.com que contenían información oculta en los metadatos. Si no puede encontrar esas imágenes, que de hecho han sido eliminadas de Photobucket, se convierte en un punto de control de respaldo de emergencia en el dominio web ToKnowAll.com
Agentes del FBI en Pittsburg le pidieron a la magistrada federal Lisa Pupo Lenihan en Pittsburgh que ordene a la firma de registro de dominios Verisign entregar la dirección de ToKnowAll[.]com al FBI, para "avanzar en la investigación, interrumpir el continuo actividad criminal que involucra el establecimiento y uso de la botnet, y ayudar en los esfuerzos de remediación", según los registros judiciales. Lenihan estuvo de acuerdo, y el miércoles la oficina tomó el control del dominio.
VPNFilter es "bastante peor de lo pensado"
Un nuevo informe de Cisco Talos alerta de que la amenaza afecta a muchas más marcas y modelos de los que se pensaba al principio, y su potencial destructor es mayor: tiene la capacidad de robar datos e incluso inutilizar los dispositivos infectados.VPNFilter es un malware de tres etapas, sin embargo, la última no terminó de quedar del todo clara hasta que los investigadores indagaron más en ella.
Esas capacidades adicionales descubiertas de VPNFilter incluyen eludir el cifrado SSL —por lo tanto, robar datos confidenciales— inyectar contenido malicioso en el tráfico web normal e infectar a otros dispositivos en la red.
Ahora, además, existen más datos sobre esta esta amenaza: afecta a más dispositivos de enrutamiento (routers) tanto domésticos como para pymes de lo que anteriormente se pensaba, de marcas como Linksys, MikroTik, NETGEAR y TP-Link, así como dispositivos NAS de QNAP.
La lista de routers afectados ha aumentado significativamente desde que se informó por primera vez de esta infección, y ahora incluye dispositivos de ASUS, D-Link, Huawei, Ubiquiti, UPVEL y ZTE.
Dispositivos afectados:
Asus:
- RT-AC66U
- RT-N10
- RT-N10E
- RT-N10U
- RT-N56U
- RT-N66U
- DES-1210-08P
- DIR-300
- DIR-300A
- DSR-250N
- DSR-500N
- DSR-1000
- DSR-1000N
- HG8245
- E1200
- E2500
- E3000
- E3200
- E4200
- RV082
- WRVS4400N
- CCR1009
- CCR1016
- CCR1036
- CCR1072
- CRS109
- CRS112
- CRS125
- RB411
- RB450
- RB750
- RB911
- RB921
- RB941
- RB951
- RB952
- RB960
- RB962
- RB1100
- RB1200
- RB2011
- RB3011
- RB Groove
- RB Omnitik
- STX5
- DG834
- DGN1000
- DGN2200
- DGN3500
- FVS318N
- MBRN3000
- R6400
- R7000
- R8000
- WNR1000
- WNR2000
- WNR2200
- WNR4000
- WNDR3700
- WNDR4000
- WNDR4300
- WNDR4300-TN
- UTM50
- TS251
- TS439 Pro
- Otros dispositivos que incluyan software QTS
- R600VPN
- TL-WR741ND
- TL-WR841N
- NSM2
- PBE M5
- Unknown Models* (new)
- ZXHN H108N
800.000 routers DrayTek potencialmente vulnerables CSRF & DNS
A los propietarios del routers DrayTek Vigor, se ha informado recientemente de una vulnerabilidad que permite a un atacante cambiar la configuración del Sistema de nombres de dominio (DNS) para secuestrar el tráfico web y robar información personal.
El Servidor DNS maligno sería:
38.134.121.95
Fuentes:
https://blog.talosintelligence.com/2018/05/VPNFilter.html
https://www.thedailybeast.com/exclusive-fbi-seizes-control-of-russian-botnet
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.