VPN 필터

VPNFilter는 라우터 및 특정 네트워크 연결 스토리지 디바이스를 감염시키도록 설계된 악성 프로그램입니다.2018년 5월 24일 현재 전 세계 약 500,000대의 라우터를 감염시켰을 것으로 추정되지만, 위험에 처한 디바이스의 수는 ^[1]더 많습니다.데이터를 훔칠 수 있고 감염된 라우터를 명령어로 비활성화하도록 설계된 "kill switch"가 포함되어 있으며 사용자가 ^[2]라우터를 재부팅해도 데이터를 유지할 수 있습니다.FBI는 러시아 팬시 베어 ^[3][4]그룹에 의해 만들어진 것으로 믿고 있다.FBI는 나중에 팬시 베어와 샌드웜(일명 부두 베어)이 같은 그룹이라고 믿는다고 발표했다.2022년 2월, CISA는 샌드웜이 생산한 Cyclops Blink라는 새로운 악성코드가 VPNFilter를 ^[5]대체했다고 발표했다.

작동

VPNFilter는 다양한 종류의 네트워크 라우터 및 스토리지 디바이스를 감염시키는 말웨어입니다.부분적으로 Modbus 프로토콜을 사용하여 공장이나 창고에서처럼 산업용 하드웨어와 대화하고 제어하기 위해 시리얼 네트워킹 장치를 대상으로 설계된 것으로 보입니다.이 멀웨어에는 SCADA를 ^[6]사용하는 제어 시스템을 대상으로 하는 특별한 전용 코드가 있습니다.

초기 감염 경로는 아직 알려지지 않았다.Cisco Talos 보안 그룹은 악성코드가 기존의 라우터의 보안 취약성을 이용하여 디바이스를 ^[7]감염시키는 것으로 가정하고 있습니다.

이 소프트웨어는 여러 단계로 설치됩니다.

1. 스테이지 1에는 디바이스의 crontab(Linux의 cron 스케줄러에 의해 정기적으로 실행되는 태스크 목록)에 코드를 추가하는 웜이 포함됩니다.이것에 의해, 재기동 후에도 디바이스상에 남아, 삭제했을 경우, 후속의 순서로 재감염할 수 있습니다.스테이지 1은 기존의 URL을 사용하여 스테이지2의 말웨어를 검출해 인스톨 합니다.이미 알고 있는 URL이 디세이블일 경우 스테이지1은 디바이스에 소켓청취자를 설정하고 명령어시스템 ^[8]및 제어시스템으로부터의 연락을 기다립니다.
2. 스테이지 2는 말웨어의 본체이며, 모든 정상적인 기능을 실행하고 특별한 스테이지 3 모듈이 요구하는 모든 명령을 실행하는 기본 코드를 포함합니다.
3. 스테이지 3은 네트워크 데이터의 스니핑, credential 수집, 후속 공격의 발생원을 숨기기 위한 릴레이 포인트 또는 산업용 제어 장치(Modbus SCADA)의 데이터 수집 등 특정 작업을 말웨어에 지시하는 다양한 "모듈" 중 하나입니다.유출된 데이터는 Tor ^[6]네트워크를 통해 암호화할 수 있습니다.

경감

시스코와 Symantec은 모두 해당 디바이스를 소유하고 있는 사용자가 공장 출하시 리셋을 실행할 것을 권장합니다.이것은, 통상, 직선으로 된 클립등의 작고 뾰족한 물체를 사용해, 유닛의 배면에 있는 작은 리셋 버튼을 10~30초간 누르는 것으로 실현됩니다(시간에 따라 모델에 따라 다릅니다).이것에 의해, 말웨어는 삭제되지만, 라우터는 모든 원래의 설정으로 복원됩니다.라우터에서 리모트 관리가 유효하게 되어 있는 경우, 공장 출하시 리셋에 의해서, 이 기능이 무효가 되는 경우가 많습니다(많은 라우터의 디폴트 설정).리모트 관리는 초기 공격의 1가지 가능한 벡터라고 생각됩니다.

공장 출하 시 재설정 라우터를 다시 인터넷에 연결하기 전에 ^[9]재감염을 방지하기 위해 디바이스의 기본 비밀번호를 변경해야 합니다.

위험에 처한 장치

VPNFilter 를 인스톨 하는 초기 웜은, 특정의 프로세서에 대해서만 컴파일 된 Linux 의 Busybox 에 근거해 임베디드 펌 웨어를 실행하고 있는 디바이스만을 공격할 수 있습니다.여기에는 워크스테이션이나 서버 ^[10]등 임베디드되지 않은 Linux 디바이스는 포함되지 않습니다.

제조원이 제공한 다음 라우터 모델의 펌웨어가 위험에 ^[11][8]처해 있는 것으로 알려져 있습니다.

아수스

RT-AX92U

RT-AC66U

RT-N10

RT-N10E

RT-N10U

RT-N56U

RT-N66U

D링크

DES-1210-08p

DIR-300

DIR-300A

DSR-250N

DSR-500N

DSR-1000

DSR-1000N

화웨이

HG8245

링크시스

E1200

E2500

E3000

E3200

E4200

RV082

WRVS4400N

미크로틱

CCR1009

CCR1016

CCR1036

CCR1072

CRS109

CRS112

CRS125

RB411

RB450

RB750

RB911

RB921

RB941

RB951

RB952

RB960

RB962

RB1100

RB1200

RB2011

RB3011

RB 그루브

RB 옴니틱

STX5

미크로틱 라우터OS 버전은 현재 릴리스 체인의 경우 최대 6.38.5 또는 버그 수정^[12] 릴리스 체인의 경우 최대 6.37.5

넷기어

DG834

DGN1000

DGN2200

DGN3500

FVS318N

MBRN3000

R6400

R7000

R8000

WNR1000

WNR2000

WNR2200

WNR4000

WNDR3700

WNDR4000

WNDR4300

WNDR4300-TN

UTM50

QNAP

TS251

TS439 Pro

QTS 소프트웨어를 실행하는 기타 QNAP NAS 디바이스

TP 링크

R600VPN

TL-WR741ND

TL-WR841N

유비퀴티

NSM2

PBE M5

업벨

알 수 없는 모델

ZTE

ZXHN H108N

역학

VPNFilter는 전 세계에서 ^[10]약 54개국에서 500,000대의 디바이스를 감염시킨 것으로 Cisco Talos에 의해 기술되어 있습니다만, 그 대부분은 우크라이나에 초점을 맞추고 있습니다.

FBI 수사

FBI는 이 멀웨어에 대처하는 데 중요한 역할을 담당하여 도메인 이름 toknowall.com을 압수함으로써 표면적으로는 멀웨어의 1단계에서 쿼리를 리다이렉트하고 2단계와 ^[4]3단계 복사본을 찾아 설치할 수 있게 되었습니다.미국 법무부는 또한 Photobucket 사이트에 악성 프로그램 ^[7][13]2단계 배포에 사용되는 알려진 URL을 비활성화하도록 강제했습니다.

감염 제거에 대한 FBI 권장 사항

2018년 5월 25일, FBI는 사용자에게 위험에 처한 ^[14]기기를 재부팅할 것을 권고했다.이것에 의해, 맬웨어의 스테이지 2와 3이 일시적으로 삭제됩니다.스테이지 1은 그대로 유지되며 라우터는 페이로드의 재다운로드와 재감염을 시도합니다.단, 권장 전에 미국 법무부는 말웨어가 2단계 설치에 사용하는 웹 엔드포인트를 압류했습니다.

이러한 URL이 없으면 말웨어는 폴백소켓 리스너에 의존하여 스테이지2를 설치해야 합니다.이 방법에서는 위협 행위자의 명령 및 제어 시스템이 각 시스템에 연락하여 스테이지 2를 설치해야 하므로 위협 행위자가 ^[7]식별될 위험이 높아집니다.FBI는 또한 사용자에게 디바이스에서 원격 관리를 비활성화하고 펌웨어를 업데이트할 것을 권고했습니다.펌웨어 업데이트는 악성 프로그램의 모든 단계를 제거합니다. 단, 장치가 다시 ^[14]감염될 수도 있습니다.

FBI는 이것이 페이로드 ^[15][16][3]배포 서버를 찾는 데 도움이 될 것이라고 말했다.

메모들

레퍼런스

「 」를 참조해 주세요.

• Cyclops 점멸