Canalblog
Editer l'article Suivre ce blog Administration + Créer mon blog
Publicité
FloreSecurity - Lab
21 janvier 2021

VPNFilter, toujours actif? Mais LOUL!

Trend Micro informe le monde que le programme malveillant VPNFilter, connus pour infecter les routeurs, est toujours actif sur des centaines de routeurs (c'est peu).

 

Désireux de faire parlé d'eux, les oubliés de Trend Micro on oubliait de nous donner la localisation géographique des ordinateurs, histoire que l'on sache ou le groupe APT28 à décider de frapper.

 

Alors dans le doute que certains d'entre-vous ne se soient fait pirater par le programme malveillant, dans un premier temps, je vous renvoie vers une règle de détection pour analyser votre système et déterminer si un module de VPNFilter a été déposé.

Je précise que FloreSecurity ne développe pas de règle YARA. Seulement des procédures de désinfection.

Règle de détection : https://gist.github.com/arunl/e66c9aee232eee7d4881c6e691f020ae

 

Voici la méthode pour supprimer VPNFilter.

Veuillez noter que : le FBI conseillait de seulement redémarrer le routeur infecté, et après analyse il a été observé que VPNFilter persistait.

- Commencez par tenter une réinitialisation mode usine.
Si cela ne retire pas le logiciel malveillant, persistez dans les mesures suivantes.

- Sauvegardez les paramètres du routeur infecté. (Enregistrer les paramètres n'enregistre pas VPNFilter).

- Télécharger la dernière version du Firmware du routeur.
Cela se trouve dans le site support du routeur.

- Déconnectez le routeur.

Éteignez le, compté jusqu'à 30 et rallumez-le.

- Si une nouvelle version est disponible, mettez à jour votre firmware. Si vous possèdes la dernière version, réinstallez.

- Si vous pouvez configurer votre routeur manuellement, il est recommandé de le faire. Sinon, utilisé les paramétrages sauvegarde.

- Désactiver l'administration à distance.

- Modifiez vos identifiants d'administration.

- Reconnectez votre routeur.

 

J'avais écrit sur mon ancien blog un article sur VPNFilter, je pensais le problème résolu, je me suis trompé.

 

Nous avons ici un exemple typique d'une menace qui aurait pu être rendu inutilisable si tout le monde avait fait le nécessaire (des distributeurs des routeurs aux responsables sécurité informatique).

 

Vincent Léon Flores.

Posté par FloreSec73 à 16:13 - Commentaires [] - Permalien [#]
Tags: CybersécuritéBackDoorFloreSecurityVPNFilterAPT28

Partager cet article

Vous aimez ?
0 vote
SolarWinds infecté par Supernova.
Emotet n'est pas mort.
Vous aimerez aussi :
Analyse de l'attaque informatique Russe sur l'Ukraine
Analyse de l'attaque informatique Russe sur l'Ukraine
Démystification - Le Ransomware
Démystification - Le Ransomware
Démystification - La bande a RootKit
Démystification - La bande a RootKit
Emotet n'est pas mort.
Emotet n'est pas mort.
Publicité
Publicité
Commentaires
FloreSecurity - Lab
  • FloreSecurity est une entreprise Savoisienne de sécurité informatique. Vous trouverez ici une partit de ces travaux de recherche en cybersécurité. Bonne visite sur notre blog. Cordialement, Vincent Léon Flores.
  • Accueil du blog
  • Créer un blog avec CanalBlog
Publicité
Recherche
Archives
Publicité