28 sep. 2018

Descubren nuevos módulos para la botnet VPNFilter

A mediados el presente año mostramos las destructivas capacidades de VPNFilter, un malware con el que se consiguió crear una botnet compuesta por 500.000 routers infectados ubicados en 54 países diferentes. Debido a su gran impacto, en su momento se sospechó que podría estar apoyado por algún estado, con Rusia como principal sospechoso.
Los malware raras veces se quedan estancados, sino que van evolucionando con el fin de adaptarse y superar las nuevas barreras que se les va poniendo. VPNFilter no parece ser una excepción aquí, ya que diversos investigadores de Talos han descubierto nuevos módulos que muestran que sus capacidades están mucho más extendidas y son más softisticadas de lo que se creía en un principio.

Después de realizar ingeniería inversa a siete módulos adicionales de la tercera fase, que tienen por nombres htpx, ndbr, nm, netfilter, portforwarding, socks5proxy, y tcpvpn, los investigadores han descubierto que el malware tiene nuevas capacidades, entre las que se encuentran funciones de mapeado de red, una utilidad de denegación de servicio y técnicas de ofuscación del tráfico, a las cuales se añade un método de exploración y explotación de víctimas adicionales que sean accesibles mediante la red local desde dispositivos ya infectados. Esto quiere decir que VPNFilter tiene a las organizaciones entre sus víctimas prioritarias, a la vez que solo las que incluyan medidas de defensa avanzadas y organizadas pueden combatirlos de forma efectiva.

El módulo nm añade una importante capacidad al malware, permitiéndole escanear y mapear otros dispositivos que se encuentren en la misma red que el dispositivo infectado. Una vez haya sido descargado, el módulo establece una solicitud de eco ICMP al host infectado, que luego intentará mapear a través de la red para realizar un escaneo de los puertos. Aplicado a un router de MikroTik, permite extraer la dirección MAC, la identidad del sistema, el número de versión, el tipo de la plataforma, el tiempo de actividad en segundos, el ID del software de RouterOS, el modelo de RouterBoard y el nombre de la interfaz.

Por su parte, htpx es un módulo de explotación de endpoint que habilita la inyección del ejecutable. Básicamente se pone a inspeccionar comunicaciones HTTP e identifica la presencia de ejecutables de Windows. Una vez detectados, el módulo se dedica a marcarlos. Sin embargo, los investigadores han mostrado sus reservas en torno a su efectividad para llevar a cabo la descarga de alguna carga maliciosa en formato binario y el parcheo sobre la marcha de ejecutables de Windows a medida que pasan a través de los dispositivos comprometidos.

netfilter es el módulo encargado de la denegación de servicio, el cual ha sido diseñado para entrar en acción de formas específicas en algunas aplicaciones cifradas. Posiblemente intente forzar a la víctima para que utilice el servicio que los cibercriminales quieran. Los investigadores llegaron a esa conclusión tras analizar un lista con 168 direcciones IP conectadas a aplicaciones cifradas como WhatsApp. También se han detectado QQ Chat, Wikr y Signal, pero curiosamente no Telegram.

ndbr es una herramienta multifuncional de SSH que puede escanear puertos de otras direcciones IP, portfowarding es una herramienta que reenvía el tráfico de red a una infraestructura especificada por el atacante, tcpvpn establece una conexión VPN de TPC inversa sobre los dispositivos comprometidos, y socks5proxy habilita el establecimiento de un proxy SOCKS5 en los dispositivos comprometidos.

Pese a todos estos hallazgos, sigue quedando una incógnita: ¿Quién está detrás de VPNFilter? Los investigadores de Talos siguen creyendo que lo más probable es que se trate de algún grupo patrocinado por un estado, ya que han conseguido vincular código de VPNFilter con el desarrollado por los responsables de BlackEnergy, que fue empleado en varios ataques llevados a cabo en Ucrania.

Fuente: ThreatPost

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!