Título: VPNFilter Malware Publicado por: TheIllusionist en 28 Mayo 2018, 21:09 pm ╔════════════════╗ VPN Filter ╚════════════════╝ ¿Que es? Es un terrible malware que afecta a los routers, este “pequeño” malware nos puede destrozar completamente la vida ya que es muy sofisticado, tanto que el FBI a pedido a ESCALA MUNDIAL que reiniciemos nuestros routers (Explico en el funcionamiento porque) y la gran compañia cisco nos recomienda que restablezcamos nuestro router a valores de fábrica y reinstalemos el último firmware.════════════════ ¿Qué tan sofisticado es? Es muy sofisticado debido a que es muy silencioso en su primera etapa, es muy difícil saber si estas infectado o no, en su segunda etapa se han encontrado tres módulos, uno un sniffer, otro que busca de componentes SCADA, y lo peor de todo es que el tercer módulo de este malware puede escribir una cantidad de bits dejando tu dispositivo inutilizable, este módulo es un limpiador de firmware════════════════ ¿A qué routers afecta? Por ahora se a descubierto que afecta al siguiente listado de routers:════════════════ -Linksys E1200 -Linksys E2500 -Linksys WRVS4400N -Mikrotik RouterOS para enrutadores Cloud Core: versiones 1016, 1036 y 1072 -Netgear DGN2200 -Netgear R6400 -Netgear R7000 -Netgear R8000 -Netgear WNR1000 -Netgear WNR2000 -QNAP TS251 -QNAP TS439 Pro -Otros dispositivos QNAP NAS que ejecutan el software QTS -TP-Link R600VPN No obstante no se descarta la posibilidad de que otros routers puedan ser infectados ¿Cómo funciona? El malware consta de tres Etapas:════════════════ El bot Stage One ─────────────── Es el más liviano y simple, ya que su única función es infectar el dispositivo y obtener la persistencia de arranque. Etapa 2 ─────────────── Es admitir una arquitectura de complemento para los complementos del Estado Tres Etapa 3 ─────────────── Cisco dice que hasta ahora ha detectado complementos de Stage Three que pueden: Hacer sniff de paquetes de red y tráfico de interceptación Controlar la presencia de protocolos Modbus SCADA Comunicarse con los servidores de C & C a través de la red Tor Este malware puede ser utilizado de muchas formas: -Como botner (Ya que se utilizan los routers para infectar a otros, es decir, este malware se propaga) -Para espiar el tráfico de red -Paralizar enrutadores, dejando inutilizable una parte de la infraestructura de internet Cisco dice que este malware puede tener aun más módulos que no se han detectado. ¿Cómo desinfectarse? Como a dicho el fbi reiniciando el router la etapa 2 desaparece, pero por mala suerte la etapa 1 del malware no, es decir, podría volverse a poner en funcionamiento en cualquier momento════════════════ Lo más seguro es restablecer el router a configuración de fábrica, cambiar la contraseña por defecto e instalar el último firmware y rezar XD El fbi ya se está encargando de solucionar este problema con lo cual no tardaran mucho en sacar parches. Muchas gracias a todos, se que este post a sido tremendamente largo pero creo que esta bastante bien explicado |