Рекомендації для мінімізації ураження від VPNFilter

Відомості про атаку VPNFilter

Починаючи з 8 травня, Україною відбувається масове розповсюдження зловмисного коду, що уражає мережеві пристрої та сховища даних. Дана зловмисна активність отримала назву VPNFilter.

 

На даний час підтверджено, що уразливими до атаки є пристрої таких виробників: Linksys, MikroTik, NETGEAR, TP-Link та мережеві сховища даних QNAP.

 

Дана атака є дворівневою, на 1-му етапі відбувається проникнення на пристрій та завантаження шкідливого коду, виконання якого є 2-м етапом.

 

На 2-му етапі відбувається завантаження модулів, що і реалізують зловмисну активність: аналіз трафіку та викрадення з нього конфіденційних даних, переправлення користувачів з легітимних сайтів на фішингові; шукати та уражати інші уразливі пристрої; затирання ПЗ пристрою, що призводить його до виходу з ладу.

Індикатори атаки

На 1-му етапі, після проникнення на пристрій, відбувається завантаження шкідливого коду з ресурсу photobucket.com, який приховано у графічних зображеннях.

 

Для завантаження шкідливого коду, що використовується на 3-му етапі, використовуються сервери:

  • 46.151.209.33 (найчастіше зустрічається при ураженні Українських об’єктів)
  • 91.121.109.209
  • 217.12.202.40
  • 94.242.222.68
  • 82.118.242.124
  • 217.79.179.14
  • 91.214.203.144
  • 95.211.198.231
  • 195.154.180.60
  • 5.149.250.54
  • 91.200.13.76
  • 94.185.80.82
  • 62.210.180.229
  • Сервери в мережі Tor

 

Для виявлення уразливих пристроїв, ботнет сканує мережу інтернет по портах 23, 80, 2000 та 8080. Уражені пристрої в свою чергу також починають шукати інші уражені пристрої, скануючи ті ж самі порти.

Рекомендації для запобігання ураження VPNFilter

Тимчасово заблокувати доступ з корпоративної мережі до ресурсу photobucket.com

Наразі відомі акаунти, що розповсюджують зловмисний код, але нові можуть бути швидко розгорнуті. Тому рекомендується тимчасово заблокувати доступ до ресурсу photobucket.com з корпоративної мережі за допомогою функціоналу URL Filtering мережевого екрану.

Блокування серверів командних центрів на пограничному мережевому обладнанні

Дана рекомендація реалізується за допомогою списків контролю доступу (ACL). Необхідно до нього внести список відомих серверів – командних центрів, та обов’язково журналювати таку активність. За допомогою журналювання, можна виявляти, чи відбулося ураження внутрішньо-корпоративних хостів.

Блокування можливостей комунікацій з серверами Tor

Цю рекомендацію можна реалізувати за допомогою функціоналу Application Control на мережевих екранах, заблокувавши мережевий застосунок Tor/Tor comminications.
Також для зменшення ризиків, необхідно за допомогою Application Control заблокувати доступ до анонімайзерів, які також можуть бути вектором розповсюдження та доставки зловмисного коду.

Блокування комунікацій з мережі інтернет у напрямку корпоративної мережі

Необхідно створити список контролю доступу на пограничному мережевому обладнанні або на мережевому екрані. Ним необхідно обмежити доступ з мережі Інтернет у корпоративний сегмент для портів 23, 80, 2000 та 8080 (залишити лише ті, які реально використовуються для відомих сервісів).

Обмежити доступ до адміністративного порталу мережевих пристроїв

Необхідно обмежити доступ до адміністративного порталу мережевих пристроїв з мережі Інтернет, залишивши доступ лише з локальної мережі, або лише з робочих станцій адміністратора. Також необхідно відключити можливості керування пристроєм з хмари.

 

Оскільки дана атака має на меті ураження пристроїв, що стоять на границі мережі і самі її захищають, інколи виконання рекомендацій може бути ускладненим. В такому випадку найважливішим є виконання пункту 3.5, а також налаштувати нуль-роутинг командних серверів (ip route X.X.X.X/32 Null0 для кожного з командних серверів).

Рекомендації щодо усунення зловмисного коду

У разі виявлення уражених пристроїв, необхідно:

 

1. Обнулити конфігурацію пристрою (Factory reset). Зловмисний код не зберігається в ПЗУ пристрою;
2. Встановити останні оновлення від виробника;
3. Вимкнути адміністративний портал у напрямку мережі Інтернет, залишити лише для локальної мережі (у разі крайньої необхідності, змінити порт на випадковий, в верхньому діапазоні);
4. Виконати рекомендації для запобігання атаки (пункт 3).

Рекомендації для мінімізації ураження від VPNFilter обновлено: Май 25, 2018 автором: Dmytro Monakov