Durante diversos meses a Talos Intelligence Group trabalhou e continua atuando junto a outras empresas para mapear um novo malware que afeta roteadores SOHO, batizado de VPNFilter. Devido a criticidade e forma como ele funciona a Talos resolveu antecipar informações sobre o malware.

O VPNFilter é uma variação do conhecido malware ucraniano BlackEnergy, responsável por um ataque de larga escala no país. O que foi observado de diferente é que o VPNFilter possui maior potencial destrutivo e uma infraestrutura de Command and Control (C2) dedicada no país.

A escala e capacidade de operação deste malware é preocupante. Estima-se que ao menos 500 mil dispositivos em 54 países estejam afetados. Os principais fabricantes e modelos são:

Linksys : E1200 E2500 WRVS4400N

Versões do Mikrotik RouterOS for Cloud Core Routers: 1016 1036 1072

Netgear: DGN2200 R6400 R7000 R8000 WNR1000 WNR2000

QNAP: TS251 TS439 Pro

TP-Link: R600VPN

Resumo do Funcionamento

Esta postagem é uma versão altamente simplificada do funcionamento do malware. Acesse o link de referência para detalhes mais técnicos.

A infecção é iniciada, segundo a Symantec, pela internet através de acessos ao equipamento utilizando credenciais conhecidas, bugs de URL conhecidos para elevação de privilégios e bugs conhecidos em firmwares antigas. Após a infecção, os estágios do VPNFilter são:

Estágio 1: Malware infecta hosts (roteadores) que possuem Linux e Busybox através de um avançado esquema envolvendo Tor. O propósito deste estágio é gravar dados iniciais na NVRAM (memória não-volátil) para que o estágio 2 seja executado. Ainda no estágio 1 o malware baixa uma imagem do Photobucket.com e localiza o server de C2 através do campo EXIF. Caso o download do Photobucket falhe o domínio toknowall.com é contactado.

Estágio 2: É onde fica toda a inteligência do malware (ou onde ela ocorre de forma mais elevada).  Neste passo o malware tentará contactar o server de Command e Control, e caso consiga, alguns comandos poderão ser enviados para o dispositivo:

• kill: Sobrescreve os primeiros 5000 bytes do dispositivo /dev/mtdblock0 com zeros efetivamente inutilizando o dispositivo.
• exec: Executa comando remoto.
• tor: Configura o tor (ligado ou desligado).
• copy: Copia arquivo do cliente para o servidor.
• seturl: Altera a URL de configuração do dispositivo.
• proxy: Altera configuração atual de proxy.
• port: Configura a porta atual.
• delay: Configura intervalo entre ciclos de execução de comandos.
• reboot: Reinicia o dispositivo caso esteja ligado a mais de 256 segundos.
• download: Baixa uma URL pro dispositivo. Pode ser disparado em massa ou apenas para uma certa build do malware.
• stop (exclusivo mips): Finaliza o processo do malware.
• relay (exclusivo mips): Versão com erro de grafia do comando delay.

Estágio 3: Com o dispositivo já infectado e sendo controlado, o estágio 3 é “apenas” uma API que possui 2 plugins até onde é conhecido pelos especialistas: um sniffer e um comunicador Tor. Atuando juntos estes garantem a conexão eterna do dispositivo rede Tor através de binários linkados estaticamente e envio de todos os dados trafegados e de interesse do malware para servidores remotos localizadas em tal rede.

Recomendações

• Usuários de roteadores ou NAS do tipo SOHO devem resetar os dispositivos para o padrão de fábrica afim de tentar eliminar resquícios do estágio 2 e 3 instalados em memória volátil.
• Provedores de internet devem enviar reboot remoto aos dispositivos de seu alcance, para obter o mesmo efeito do item acima.
• Caso haja suspeita no comportamento do seu roteador, procure por atualizações de firmware do seu equipamento (ou use uma firmware WRT).
• Contacte seu provedor de internet caso ele seja o dono do roteador e peça por atualizações

Detecção e Prevenção com o Snort

As regras do Snort abaixo podem ser utilizadas para a prevenção e detecção do VPNFilter.

Detecção: 45563 45564 46782 46783

Prevenção contra vulnerabilidades conhecidas nos dispositivos afetados: 25589 26276 26277 26278 26279 29830 29831 44743 46080 46081 46082 46083 46084 46085 46086 46287 46121 46122 46123 46124 41445 44971 46297 46298 46299 46300 46301 46305 46306 46307 46308 46309 46310 46315 46335 46340 46341 46342 46376 46377 37963 45555 46076 40063 44643 44790 26275 35734 41095 41096 41504 41698 41699 41700 41748 41749 41750 41751 44687 44688 44698 44699 45001 46312 46313 46314 46317 46318 46322 46323 40866 40907 45157

Fonte: Talos – New VPNFilter malware targets at least 500K networking devices worldwide