포스팅 내용

국내외 보안동향

VPNFilter, ASUS, D-Link, Huawei, Ubiquiti, UPVEL 및 ZTE의 기기들도 감염시킬 수 있는 것으로 드러나

VPNFilter Can Also Infect ASUS, D-Link, Huawei, Ubiquiti, UPVEL, and ZTE Devices


전 세계 54개국의 라우터 및 NAS 기기 50만대 이상을 감염시켰던 VPN 악성코드가 이전에 알려진 것 보다 훨씬 강력한 것으로 드러났습니다.


금일 Cisco Talos의 보안팀이 공개한 내용에 따르면 이전에는 Linksys, MikroTik, Netgear, TP-Link, QNAP의 기기를 감염시킬 수 있었던 것으로 알려진 이 악성 코드가 ASUS, D-Link, Huawei, Ubiquiti, UPVEL, ZTE의 라우터들도 감염시킬 수 있었던 것으로 나타났습니다.


VPNFilter에 취약한 기기들은 원래 알려진 16개 모델에서 71개(추가로 발견 될 가능성 있음)로 급격히 증가했습니다.


새로운 VPNFilter 플러그인



게다가, 연구원들은 VPNFilter의 새로운 기능을 발견했습니다. 이는 악성코드의 3단계 배포 시스템 중 3단계 플러그인입니다.


<이미지 출처 : https://blog.talosintelligence.com/2018/05/VPNFilter.html>


연구원들은 아래의 새로운 3단계 플러그인 두 개를 발견했다고 밝혔습니다.


ssler – 중간자 공격을 통해 port 80에서 웹 트래픽에 인터셉트 및 수정하기 위한 플러그인입니다.

dstr – 기기의 펌웨어 파일을 덮어쓰기 위한 플러그인입니다. 연구원들은 VPNFilter가 기기의 펌웨어를 삭제할 수 있다는 사실은 알았지만, 최신 보고서에서 이 특정 3단계 플러그인의 기능을 정확히 지적했습니다.

아래의 새로운 플러그인 두 개는 이미 알려진 것입니다.

ps – 네트워크 패킷을 스니핑하고 특정 타입의 네트워크 트래픽을 감지할 수 있는 플러그인입니다. 연구원들은 이 플러그인이 산업용 소프트웨어와 SCADA 장비에서 자주 사용 되는 Modbus TCP/IP 패킷을 찾는데 사용 되었다고 추정하고 있습니다.

Tor – VPNFilter 봇들이 Tor 네트워크를 통해 C&C와 통신하기 위해 사용 된 플러그인입니다.


VPNFilter 봇넷은 전 세계의 기기들을 감염시킨 것으로 나타났지만, 연구원들은 우크라이나의 IT 인프라에 대한 사이버 공격을 준비중이었던 봇넷을 탐지해 이를 공개했습니다. 많은 사람들은 이 사이버 공격이 5월 말 UEFA 챔피언스 리그 축구 결승전이 치뤄지는 날 실행될 것이라 추측했었습니다.


FBI는 그들의 C&C 서버를 점거해 봇넷을 무효화 하기 위해 개입했습니다. 하지만 러시아 군대로 추정되는 이 악성코드의 배후에 있는 공격자들은 최근 새로운 봇넷을 구성하기 시작해, 우크라이나의 네트워크의 기기들을 계속해서 감염시키는데 집중했습니다.


아래는 VPNFilter 악성코드가 노리는 것으로 알려진 라우터 및 NAS의 최신 목록입니다.


VPNFilter는 SOHO 라우터 및 IoT 기기들에서 부트 지속성을 가지기 때문에, 이를 제거하는 것은 꽤 어려운 일일 것입니다.


Asus Devices:

RT-AC66U (new)

RT-N10 (new)

RT-N10E (new)

RT-N10U (new)

RT-N56U (new)

RT-N66U (new)


D-Link Devices:

DES-1210-08P (new)

DIR-300 (new)

DIR-300A (new)

DSR-250N (new)

DSR-500N (new)

DSR-1000 (new)

DSR-1000N (new)


Huawei Devices:

HG8245 (new)


Linksys Devices:

E1200

E2500

E3000 (new)

E3200 (new)

E4200 (new)

RV082 (new)

WRVS4400N


Mikrotik Devices:

CCR1009 (new)

CCR1016

CCR1036

CCR1072

CRS109 (new)

CRS112 (new)

CRS125 (new)

RB411 (new)

RB450 (new)

RB750 (new)

RB911 (new)

RB921 (new)

RB941 (new)

RB951 (new)

RB952 (new)

RB960 (new)

RB962 (new)

RB1100 (new)

RB1200 (new)

RB2011 (new)

RB3011 (new)

RB Groove (new)

RB Omnitik (new)

STX5 (new)


Netgear Devices:

DG834 (new)

DGN1000 (new)

DGN2200

DGN3500 (new)

FVS318N (new)

MBRN3000 (new)

R6400

R7000

R8000

WNR1000

WNR2000

WNR2200 (new)

WNR4000 (new)

WNDR3700 (new)

WNDR4000 (new)

WNDR4300 (new)

WNDR4300-TN (new)

UTM50 (new)


QNAP Devices:

TS251

TS439 Pro

Other QNAP NAS devices running QTS software


TP-Link Devices:

R600VPN

TL-WR741ND (new)

TL-WR841N (new)


Ubiquiti Devices:

NSM2 (new)

PBE M5 (new)


UPVEL Devices:

Unknown Models (new)


ZTE Devices:

ZXHN H108N (new)


현재 알약에서는 Trojan.Linux.VPNFilter로 탐지중에 있습니다. 




참고 : 

https://www.bleepingcomputer.com/news/security/vpnfilter-can-also-infect-asus-d-link-huawei-ubiquiti-upvel-and-zte-devices/

https://blog.talosintelligence.com/2018/06/vpnfilter-update.html

티스토리 방명록 작성
name password homepage