'VPNFilter-malware richt zich op meer routers en injecteert code in webverkeer'

De VPNFilter-malware, waarvan recentelijk een command and control-server door de FBI over was genomen, blijkt zich inmiddels op meer routertypes te richten. Bovendien heeft de malware nieuwe functies, zoals het injecteren van kwaadaardige code in netwerkverkeer.

Cisco Talos, het beveiligingsbedrijf dat VPNFilter in mei opmerkte, schrijft in een nieuwe analyse dat het nieuwe modules heeft ontdekt die de malware kan inzetten. De kwaadaardige software bleek eerder al te bestaan uit drie modules of trappen, waarvan alleen de eerste een reboot van een geïnfecteerd apparaat kan doorstaan. De tweede module heeft mogelijkheden als het verzamelen van informatie en het uitvoeren van commando's. De modules van de derde trap moeten gezien worden als een soort plug-ins voor de tweede module. Bij de nieuwe modules gaat het om dit soort plug-ins. Een zogenaamde ssler-module is bijvoorbeeld in staat om JavaScript in netwerkverkeer te injecteren, terwijl een 'dstr'-module een geïnfecteerd apparaat onbruikbaar kan maken.

De ssler-module onderschept http-verkeer naar poort 80 via een man-in-the-middle-positie en kan op die manier code injecteren. Op die manier kunnen degenen achter de malware bijvoorbeeld exploits op verbonden apparaten uitvoeren, aldus de Talos-onderzoekers. Maar ook het stelen van informatie zou mogelijk zijn. De module probeert https-verkeer om te leiden naar http, door dit voorvoegsel door 'http://' te vervangen. De onderzoekers zeggen niets over de effectiviteit van deze aanpak. De dstr-module daarentegen is bedoeld om een geïnfecteerd apparaat onbruikbaar te maken door bestanden te verwijderen die nodig zijn voor normaal gebruik. Daarna verwijdert de module zichzelf.

Bovendien richt VPNFilter zich nu op meer apparaten en nieuwe fabrikanten, waaronder Asus, D-Link, Huawei en ZTE. Deze zijn hieronder in een tabel weergegeven. Ars Technica sprak met een van de Talos-onderzoekers, Craig Williams. Hij legt uit dat hoewel de FBI in staat was om een command and control-server van de personen achter de malware over te nemen, het nog steeds mogelijk is om met mogelijk honderdduizenden geïnfecteerde apparaten te communiceren. De eerste module van de malware gebruikt in eerste instantie exif-gegevens van Photobucket-afbeeldingen om de locatie van de tweede en derde modules te achterhalen. Als dat niet werkt, gebruikt hij de c2-server. Er is echter ook een derde manier om die modules te installeren, door gebruik te maken van speciale trigger packets.

Williams is van mening dat de FBI gebruikers op het verkeerde been heeft gezet door de indruk te wekken dat een herstart van de router genoeg is om van de malware af te komen. Talos sprak net als de Oekraïense SBU het vermoeden uit dat de malware uit Rusland afkomstig is. Het is moeilijk om erachter te komen of een apparaat daadwerkelijk geïnfecteerd is met de malware, aldus Ars Technica. Ook het verwijderen ervan is omslachtig. Zo is het voor sommige modellen nodig om het apparaat terug te zetten naar de fabrieksinstellingen, of na een herstart de meest recente firmware van de fabrikant te installeren. In het geval van oudere apparaten zou het beter zijn om een nieuw model aan te schaffen.

Linksys	Mikrotik	Netgear	Qnap	TP-Link	Asus	D-Link	Huawei	Ubiquiti	ZTE
E1200	CCR1016	DGN2200	TS251	R600VPN	RT-AC66U	DES-1210-08P	HG8245	NSM2	ZXHN H108N
E2500	CCR1036	R6400	TS439 Pro	TL-WR741ND	RT-N10	DIR-300		PBE M5
WRVS4400N	CCR1072	R7000		TL-WR841N	RT-N10E	DIR-300A
E3000	CCR1009	R8000			RT-N10U	DSR-250N
E3200	CRS109	WNR1000			RT-N56U	DSR-500N
E4200	CRS112	WNR2000			RT-N66U	DSR-1000
RV082	CRS125	DG834				DSR-1000N
	RB411	DGN1000
	RB450	DGN3500
	RB750	FVS318N
	RB911	MBRN3000
	RB921	WNR2200
	RB941	WNR4000
	RB951	WNDR3700
	RB952	WNDR4000
	RB960	WNDR4300
	RB962	WNDR4300-TN
	RB1100	UTM50
	RB1200
	RB2011
	RB3011
	RB Groove
	RB Omnitik
	STX5

Dikgedrukt = nieuw, gegevens afkomstig van Cisco Talos. Apparaten van Upvel zijn ook getroffen, maar het is onduidelijk om welke modellen het gaat.

Reacties (42)

FightingAce 6 juni 2018 17:54

De Mikrotik apparaten zijn trouwens alleen kwetsbaar indien deze een vrij oude versie draaien (< 6.38.5 en 6.37.5). De kwetsbaarheid is al sinds maart 2017 gepatched. Oftewel, hou de boel up to date

!

Zie ook https://forum.mikrotik.com/viewtopic.php?f=21&t=134776.

Edit: Link naar Mikrotik forum toegevoegd.

[Reactie gewijzigd door FightingAce op 25 juli 2024 03:40]

Rhannie @FightingAce • 6 juni 2018 18:00

Je bent met Mikrotik apparaten ook alleen vatbaar als de webconfig vanaf buiten bereikbaar is. Dus als je alles dichttimmert en het apparaat alleen met Winbox benaderd, ben je ook veilig.

Zie ook de statement van Mikrotik zelf: https://forum.mikrotik.com/viewtopic.php?t=134776

En als extra'tje een hardening guide voor Mikrotik waar ook in staat hoe je jezelf kan beschermen: https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

edit:

Ik zie dat FightingAce sneller was.

[Reactie gewijzigd door Rhannie op 25 juli 2024 03:40]

Petzl @Rhannie • 6 juni 2018 23:26

De Winbox poort is ook vatbaar gebleken !

PhilipsFan 6 juni 2018 18:02

De belangrijkste informatie ontbreekt: Wat is de attack vector? Hoe kom je aan deze malware? Hoe komt het op je router? In het artikel staat dat het lastig is om uit te maken of je router geinfecteerd is, maar als je weet hoe de malware aanvalt, kun je wellicht bepalen of je een risico hebt gelopen. Komt het bijvoorbeeld via de webadmin aan de WAN-kant? Of zat er een lek in bepaalde firmwareversies waardoor dit van buiten was te installeren zonder het wachtwoord te weten?

Auteur

duqu @PhilipsFan • 6 juni 2018 18:15

Dat is een terechte vraag, maar momenteel niet duidelijk https://twitter.com/r00tbsd/status/1004385311764418561?s=21

royalt123 @PhilipsFan • 6 juni 2018 18:24

Erg goed punt, dat is waar ik zat te zoeken in artikel.
Ik zou ook graag willen eten hoe dat het te werk gaat. Maar ook hoe het komt dat specifieke modellen geïnfecteerd zou zijn en niet niet allemaal van hetzelfde merk want ze draaien immers grotendeels gelijkaardige firmware.

Is dat ook van toepassing voor modem en router in 1 pakket? Zoals telenet bijvoorbeeld.

Als ze eens uitleggen hoe het tewerk gaat dan kan ik mijn router firewall daarop finetunen.

[Reactie gewijzigd door royalt123 op 25 juli 2024 03:40]

the_stickie @PhilipsFan • 6 juni 2018 18:25

Volgens Talos wordt er gebruik gemaakt van verschillende kwetsbaarheden, maw de attack vector verschilt per model en mogelijk zelfs per firmwareversie.

Soldaatje @PhilipsFan • 6 juni 2018 18:47

Weten ze nog niet echt:

Researchers still don't know how routers initially become infected with stage 1, but they presume it's by exploiting known flaws for which patches are probably available.

Wel knap van die tplink wr841n, daar kan ik amper fatsoenlijk openwrt op draaien met weinig geheugen en opslag, dat ze die kunnen hacken.

Stoney3K @Soldaatje • 7 juni 2018 07:49

Waarschijnlijk is die ook niet meer kwetsbaar met OpenWRT.

Keypunchie

Malware

@PhilipsFan • 6 juni 2018 21:09

Je zult de details moeten navragen bij de specifieke leverancier. Tot die tijd (of eigenlijk sowieso!) kun je het beste de standaard security regels volgen, in volgorde van complexiteit:

1) standaard-wachtwoorden wijzigen.
2) attack surface minimaliseren (dus als je geen WAN-admin gebruikt, niet aanzetten.)
3) firmware updates binnen redelijke termijn installeren*

*Is het apparaat EoL qua support... binnen een redelijke tijd vervangen.

Verwijderd @PhilipsFan • 6 juni 2018 21:22

VPNFilter maakt gebruik van verschillende bekende kwetsbaarheden, default logins, etc., in routers. Het gaat dus niet om een nieuwe kwetsbaarheid. Meer achtergrondinformatie vindt je op het Cisco/Talos blog.

We are unsure of the particular exploit used in any given case, but most devices targeted, particularly in older versions, have known public exploits or default credentials that make compromise relatively straightforward.

Eigenlijk is de attack vector het minst opmerkelijke aan deze malware. Het is vooral bijzonder wat VPNFilter doet wanneer die het LAN is binnengedrongen en zich dan via IoT devices verder verspreidt.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 03:40]

Kecin

6 juni 2018 19:13

What the... De lijst is echt flink nu en gaat denk ik nog wel ietsjes langer worden. Is er al een manier om te checken of je bent geïnfecteerd? Ik zelf gebruik bovenstaande routers niet, maar kennisen en familie heb ik wel eens een AC66/68 aangeraden.

Wellicht nog interessant om te vermelden uit een comment van het bronartikel met wat meer informatie:

De lijst van routers die vatbaar zijn is meer een "compatibiliteits" lijst. Al deze routers en wellicht meer zijn vatbaar voor VPNFilter. Weinig anders dan de lijst van routers die DDRT of Tomato kunnen runnen. Naar waarschijnlijkheid is er een exploit uitgebracht in het verleden voor deze software en is deze gebruikt (aanname)
De manier van installeren van VPNFilter verschilt per fabrikant en type router, er is nog geen algemene manier gevonden en waarschijnlijk gaat het dus ook om andere aanvallen
Wat kan je doen om jezelf te beschermen? Zorg ervoor dat je router niet te configureren is via het internet alleen via het intranet. Zet ook niet je nas of een PC in je DMZ. Houd je firmware altijd up2date.
"Hoe kan je checken of je bent geïnfecteerd?" Dat is lastig te checken. Het hangt af van het specifieke apparaat en is wellicht niet eens mogelijk in sommige gevallen. Reboot je device, zet deze terug naar fabrieksinstellingen, flash daarna de nieuwste firmware van de fabrikant (het liefst zonder de router aan het internet te hebben gehangen), dat is tot dusver de beste kans bekend om "er vanaf" of "zeker" van te zijn

Als je geluk hebt kan je zien of je het te pakken hebt wanneer je de broncode van een HTTPS site bekijkt en daar vervolglinkjes ziet staan; waar er geen https://example.com staat maar \x20http://example.com dan weet je zeker dat je router is gehackt/geflasht.

Een grafische weergave van de exploit bij Bleepingcomputer.com:
https://www.bleepstatic.c...Filter-infrastructure.png

Interessante quote van Security.nl nog trouwens:

De malware kan inloggegevens voor websites stelen en Modbus-SCADA-protocollen monitoren. Ook kan de malware een besmet apparaat onbruikbaar maken. Volgens de onderzoekers van Cisco heeft de code van VPNFilter overeenkomsten met de BlackEnergy-malware, die eerder tegen de Oekraïne werd ingezet. VPNFilter zou daarnaast Oekraïense systemen met een "alarmerende snelheid" infecteren. Hoewel het onderzoek naar de malware nog niet is afgerond heeft Cisco besloten om details al openbaar te maken.

Bron: https://www.security.nl/p...500_000+routers+en+NASsen

[Reactie gewijzigd door Kecin op 25 juli 2024 03:40]

royalt123 @Kecin • 6 juni 2018 19:41

Als ik goed heb kan je het voorkomen of kans verminderen door photobucket en toknowall te blokeren?

Kecin

@royalt123 • 6 juni 2018 19:43

Het lijkt er in iedergeval op dat er in de origin wat voorkwam vanuit Photobucket. Maar dat kunnen natuurlijk duizenden domeinen meer wezen, of advertentienetwerken, etc. Voor hetzelfde geld is het een directe aanval op je router. Zo zag ik dat bij mijn VPN client een aantal keren is gecheckt door The Shadowserver Foundation. Die zoeken actief lekken in bepaalde zaken, zie daarvoor: http://blog.shadowserver....il-the-internet-improves/

Die pakken standaard poorten en brengen zo in kaart wat vatbaar is voor exploits. Een directe exploit is dus (nog) niet uitgesloten.

Je ziet ook dat wanneer Photobucket of Toknowall het niet doen er een actieve "listener" actief is die checkt of er een pakket naar de router wordt gezonden. Je bent dus dan al lek, maar nog niet gehackt.

[Reactie gewijzigd door Kecin op 25 juli 2024 03:40]

maxxie85

6 juni 2018 18:03

Wat ik mij nu afvraag.
Ik heb een Netgear R7000, maar deze heb ik geflashed met de laatste CFW van Asus Merlin WRT 384,5.

Ben ik dan nog kwetsbaar.

Loggedinasroot @maxxie85 • 6 juni 2018 18:18

"Williams said he has seen no evidence VPNFilter has infected devices running Tomato, Merlin WRT, and DD-WRT firmware, but that he can't rule out that possibility."

Kecin

@Loggedinasroot • 6 juni 2018 19:17

Als ik de verschillende artikelen op Reddit lees waren ze er 6 tot 10 dagen terug nog zeker van dat deze niet exploitbaar waren. Ondertussen hebben een aantal ISP's contact opgenomen met mensen die Merlin draaien (in de VS) om aan te geven dat de router wat vreemd doet. Het lijkt dus ook van toepassing te kunnen zijn op aangepaste firmware(!)

AJediIAm @Kecin • 6 juni 2018 20:47

Hoe kan een ESP zien dat een router vreemd doet? Wat is vreemd en mogen ESPs meekijken? Bron?

Kecin

@AJediIAm • 6 juni 2018 21:33

Bedoel je een ISP? Die kijken hiernaar ja. Als jij bijvoorbeeld belachelijk veel port-scans gaat lopen doen of extreme hoeveelheid mailtjes gaat versturen dan zal je al snel bericht krijgen van je ISP (internet service provider).
Snelle search hier op Tweakers: Blokkade Ziggo door teveel e-mail

player-x 6 juni 2018 18:40

Vraag me af of deze modellen ook vatbaar zijn als de firmware is geflashed naar OpenWRT?

AJediIAm @player-x • 6 juni 2018 20:55

Het is nog niet helemaal duidelijk hoe de exploitatie werkt, maar gezien het voornamelijk op de iets oudere modellen voor komt heerst het vermoeden dat het om bekende exploitatie(s) gaat.
Een recente versie van openwrt heeft de beste kan bescherming te bieden.

Ludwig005 6 juni 2018 19:36

ik heb een ICIDU ding als router kan het ook zijn dat deze is geinfecteerd?

satunya @Ludwig005 • 6 juni 2018 20:15

Dat zat ik me ook af te vragen, de meeste ICIDU's zijn rebranded TP-Links met andere firmware. (Maar is het echt andere "firmware" als het er alleen maar anders uit ziet)
Als de betreffende TP-Link in het lijstje staat, dan gok ik dat deze ook kwetsbaar is. Tenzij je er Open/DD/Hyper-WRT of afgeleide daarvan installeerd.

Ludwig005 @satunya • 7 juni 2018 07:14

Er staan 3 tp links in de lijst

satunya @Ludwig005 • 7 juni 2018 07:41

paar voorbeelden....
Icidu NI-707517 = TL-WR741ND.
NI-707534 kan de TL-WR841N zijn.
Er zijn er vast meer, maar van deze weet ik het zeker.....

Zie: productreview: ICIDU Wireless Router 150N review door rens-br
en onderin https://gathering.tweaker...message/45017690#45017690

[Reactie gewijzigd door satunya op 25 juli 2024 03:40]

Ludwig005 @satunya • 7 juni 2018 16:41

De mijne heeft twee atennens en is van icidu.

Yzord 6 juni 2018 18:39

Ik blijf het maar vreemd vinden dat Cisco en dochters buiten de deur blijven en dat zij dan ook nog eens de malware vinden. Vooral nu er meerdere merken vulnerable zijn.

Ik zal wel achterdochtig zijn, maar er gaan bij mij toch echt wel bellen rinkelen in mijn detective hoofd lol.

Mellow Jack @Yzord • 6 juni 2018 19:43

Als de FBI laatst de C&C servers in beslag hebben genomen kan ik me voorstellen dat dit al lang bij Cisco bekend was (en dus gefixed is). Mogelijk houden ze de informatie intern, mogelijk communiceren ze dit en hebben deze fabrikanten geen actie ondernomen.

Obv dit artikel kan je er weinig over zeggen... Al is het inderdaad wel frappant

ErikRo 6 juni 2018 18:55

Ik vraag me af of mijn Ziggo modem vatbaar is want ik heb de router uitgeschakeld en gebruik een beter accespoint voor internet ubiquity trouwens.
Ik gebruik al Anti-Spyware en antivirus wat moet ik er nu weer bij kopen, het houdt ergens op zucht.

Verwijderd @ErikRo • 6 juni 2018 19:07

Er zijn ook Ubiquity's geraakt; zie tabel.

Dennisdn 6 juni 2018 18:57

Stiekem is het ergens ook wel weer spannend... hoe groot is dit, wie zitten er achter en wat zijn ze van plan?

BUR 6 juni 2018 21:23

Heb een Netgearouter uit de lijst deze zit echter achter de Ubee van ziggo. Externe toegang was op de netgear uitgeschakeld. En de laatste update van 3/3/2018 zit er op. Nergens bij netgear te vinden of de router nou EOL is of niet. Wat te doen? Telnet etc naar de router uitzetten?!

Keypunchie

Malware

@BUR • 6 juni 2018 23:23

Wat is je modelnummer. Lastig voor de collectieve wijsheid van Tweakers om je te helpen zonder details van het apparaat.

Heb je de default-wachtwoorden gewijzigd? En die telnet, etc. iig niet naar het internet exposen, maar dat zal vanwege het providermodem/router wel goed zitten.

https://kb.netgear.com/00...e-on-Some-NETGEAR-Devices

Als het de R7000 is, die is nog wel in support hoor. De firmware van maart zal goed zijn. Het lijkt om toch wel wat oudere lekken/exploits te gaan. De overige tips zijn wel toepasbaar uiteraard.

[Reactie gewijzigd door Keypunchie op 25 juli 2024 03:40]

BUR @Keypunchie • 7 juni 2018 09:52

In mijn spontane safety-verkramping heb ik het modelnummer niet genoemd ;-)
Netgear WNDR4300
Admin Password, SSID en wifi-wachtwoord zijn bij eerste gebruik meteen aangepast.

Ik ga toch maar een verse router kopen iig. Bedankt voor je reactie!

[Reactie gewijzigd door BUR op 25 juli 2024 03:40]

Keypunchie

Malware

@BUR • 7 juni 2018 11:54

Moet toegeven, die Netgear site blinkt niet uit in duidelijkheid. Maar de WNDR4300 lijkt zeker nog wel in support. Met de firmware van maart zal je veilig zitten.

Op dit item kan niet meer gereageerd worden.

'VPNFilter-malware richt zich op meer routers en injecteert code in webverkeer'

Lees meer

Reacties (42)

Sorteer op:

Weergave: