Гіллястий режим | Лінійний режим

***smile*** · 24-05-2018 14:30 **RE: Агресія РФ проти України**

(24-05-2018 14:19)SkyNetLPY : А как выявить у себя вирусняк? И как извести его?

согласно https://blog.talosintelligence.com/2018/...ilter.html

выявить:
см. наличие папок /var/run/vpnfilterm, /var/run/vpnfilterw
могут также быть папки и файлы /var/run/tor, /var/run/torrc, /var/run/tord
см. также "странные" строки в crontab. по ссылке информации мало, но скорее всего запуск демонов из перечисленных выше папок.

вылечить:
самое простое - кнопочный сброс железки до "factory", и бегом на сайт производителя за свежими патчами.
см. также инфу на сайте производителя соотв. железки, там могут быть рецепты лечения без потерь конфигурации.
кроме этого есть подозрения, что вирус может менять флеш-память, поэтому поиск рецептов на сайте производителя весьма полезен.
Hello!

ЗЫ. если железяки на свежих прошивках, то проблем быть не должно, так как вирус использует весьма баянистые дыры.

Railnolds · 24-05-2018 14:39 **RE: Агресія РФ проти України**

(24-05-2018 14:30)smile : ЗЫ. если железяки на свежих прошивках, то проблем быть не должно, так как вирус использует весьма баянистые дыры.

Роутеры наверное тоже баянистые.

SkyNetLPY · 24-05-2018 15:40 **RE: Агресія РФ проти України**

(24-05-2018 14:30)smile : согласно https://blog.talosintelligence.com/2018/...ilter.html

Ну NAS обновляется регулярно, а вот роутер уже давно не получает свежие прошивки от производителя... Sad

~~WhiteBear~~ · 24-05-2018 17:37 **RE: Агресія РФ проти України**

(24-05-2018 15:40)SkyNetLPY :
(24-05-2018 14:30)smile : согласно https://blog.talosintelligence.com/2018/...ilter.html
Ну NAS обновляется регулярно, а вот роутер уже давно не получает свежие прошивки от производителя...

В дополнение смотрите на индикаторы компрометации (IOCs):
1. Если есть системы сбора и анализа логов с роутеров, а также коллекторы NetFlow, то нужно смотреть в логах доменные имена и IP адреса указанные в разделе IOCs
Особенно,

Цитата:Finally, on May 8, we observed a sharp spike in VPNFilter infection activity. Almost all of the newly acquired victims were located in Ukraine. Also of note, a majority of Ukrainian infections shared a separate stage 2 C2 infrastructure from the rest of the world, on IP 46.151.209[.]33.

8 мая наблюдался резкий всплеск активности заражения VPNFilter. Почти все новые жертвы находились в Украине. Большинство украинских инфекций на втором этапе атаки имело отдельную от остального мира инфраструктуру управления и контроля (англ. command and control (C&C) по адресу IP 46.151.209 [.] 33. (нужно смотреть этот адрес в логах);
2. Если есть IPS/IDS Snort, Suricata (или коммерческие типа Цисок) с сенсорами перед роутерами, то нужно обновить правила и сигнатуры атак.

***smile*** · 25-05-2018 09:06 **RE: Агресія РФ проти України**

(24-05-2018 15:40)SkyNetLPY :
(24-05-2018 14:30)smile : согласно https://blog.talosintelligence.com/2018/...ilter.html
Ну NAS обновляется регулярно, а вот роутер уже давно не получает свежие прошивки от производителя...

см. сайт производителя. возможно, что он по этому поводу выпустил экстренный патч прошивки для своих железок.

между "подозрительным" роутером и интернетом больше никаких подконтрольных тебе устройств нет? типа езернет-маршрутизатора, умеющего в IP (layer 3 switch).
если есть, и они достаточно "умные", то на них можно заблокировать проход на адреса (см. ниже), с которых вирус получает "целеуказание". тогда, даже если роутер заражен, то вирус не будет знать, что ему делать.

список адресов для блокировки :91.121.109.209
217.12.202.40
94.242.222.68
82.118.242.124
46.151.209.33
217.79.179.14
91.214.203.144
95.211.198.231
195.154.180.60
5.149.250.54
91.200.13.76
94.185.80.82
62.210.180.229

ну, и, наконец, всё это хороший повод обновить железо Wink

SkyNetLPY · 25-05-2018 10:12 **RE: Агресія РФ проти України**

(25-05-2018 09:06)smile : ну, и, наконец, всё это хороший повод обновить железо

Это домашняя инфраструктура. За роутером сразу сеть.
Проверю патчи. Кстати, QNAP последнее время не выдавал обновлений. Последнее было в начале мая.

***smile*** · 25-05-2018 10:43 **VPN2**

(25-05-2018 10:12)SkyNetLPY :
(25-05-2018 09:06)smile : ну, и, наконец, всё это хороший повод обновить железо
Это домашняя инфраструктура. За роутером сразу сеть.
Проверю патчи.

IP адрес роутер получает у провайдера реальный? или из "частной" сети? если последнее, то не переймайся вирусом вообще.

Цитата:Кстати, QNAP последнее время не выдавал обновлений. Последнее было в начале мая.

я не видел пока информации о версиях прошивок QNAP, которые уязвимы для вируса. но речь шла о том, что вирус использует давно известные дыры. поэтому можно предположить, что майская прошивка - ок. в общем смотри через ssh/telnet наличие на QNAP спец.папок из поста выше.

ну и да, если на QNAPы нет прохода из интернета, то тоже можно не перейматись. Wink

PS. нашел - Affected products: All QNAP NAS running QTS 4.2.6 build 20170628, 4.3.3 build 20170703, and earlier versions or using the default password for the administrator account.
https://www.qnap.com/en/security-advisory/NAS-201805-24
т.е. майская прошивка - ок, но мог быть заражен ранее, поэтому папки проверить не помешает.

SkyNetLPY · 25-05-2018 11:13 **RE: VPN2**

(25-05-2018 10:43)smile : IP адрес роутер получает у провайдера реальный? или из "частной" сети? если последнее, то не переймайся вирусом вообще.

т.е. майская прошивка - ок, но мог быть заражен ранее, поэтому папки проверить не помешает.

Да, айпишник белый. Это нужно для работы.
По максимуму старался все позакрывать.
NAS доступен снаружи по порту 80.
Папки проверю.
Спасибо за доходчивую консультацию.

***smile*** · 25-05-2018 11:25 **RE: VPN2**

(25-05-2018 11:13)SkyNetLPY : Спасибо за доходчивую консультацию.

не за что.
там по ссылке на qnap'е есть инструкция как почиститься, если шо. Hello!

***smile*** · 25-05-2018 15:43 **RE: ИТ клубочек в рамках клуба**

на глобальном сайте qnap кроме первомайской прошивки появилась за вчера ( 24.05.18 ). Hello!

Гіллястий режим \| Лінійний режим ИТ клубочек в рамках клуба
Автор	Повідомлення