Ako odhaliť škodlivý softvér VPNFilter skôr, ako zničí váš smerovač

Ako odhaliť škodlivý softvér VPNFilter skôr, ako zničí váš smerovač

Router, sieťové zariadenie a malvér internetu vecí je stále bežnejší. Väčšina sa zameriava na infikovanie zraniteľných zariadení a ich pridanie do výkonných botnetov. Smerovače a zariadenia internetu vecí (IoT) sú vždy napájané, vždy online a čakajú na pokyny. Ideálne krmivo pre botnety.





Ale nie všetok malware je rovnaký.



VPNFilter je deštruktívna hrozba škodlivého softvéru pre smerovače, zariadenia IoT a dokonca aj pre niektoré zariadenia so sieťovým úložiskom (NAS). Ako skontrolujete infekciu škodlivým softvérom VPNFilter? A ako to môžeš vyčistiť? Pozrime sa podrobnejšie na VPNFilter.





Čo je to VPNFilter?

VPNFilter je sofistikovaný modulárny variant škodlivého softvéru, ktorý sa primárne zameriava na sieťové zariadenia od širokého spektra výrobcov, ako aj na zariadenia NAS. VPNFilter bol pôvodne nájdený na sieťových zariadeniach Linksys, MikroTik, NETGEAR a TP-Link, ako aj na zariadeniach QNAP NAS, s približne 500 000 infekciami v 54 krajinách.

The tím, ktorý odhalil VPNFilter , Cisco Talos, nedávno aktualizované podrobnosti pokiaľ ide o škodlivý softvér, čo naznačuje, že sieťové zariadenia od výrobcov ako ASUS, D-Link, Huawei, Ubiquiti, UPVEL a ZTE teraz vykazujú infekcie VPNFilter. V čase písania tejto správy však nie sú dotknuté žiadne sieťové zariadenia Cisco.



Malvér je na rozdiel od väčšiny iného malwaru zameraného na IoT, pretože pretrváva aj po reštarte systému, čo sťažuje jeho odstránenie. Zvlášť zraniteľné sú zariadenia používajúce ich predvolené prihlasovacie poverenia alebo so známymi zraniteľnosťami nultého dňa, ktoré nedostali aktualizácie firmvéru.

prečo môj systém používa toľko disku

Čo robí VPNFilter?

VPNFilter je teda „viacstupňovou, modulárnou platformou“, ktorá môže spôsobiť deštruktívne poškodenie zariadení. Okrem toho môže slúžiť aj ako hrozba zberu údajov. VPNFilter funguje v niekoľkých fázach.



Fáza 1: Fáza 1 VPNFilter vytvára na zariadení predmostie kontaktovaním jeho príkazového a riadiaceho servera (C&C) s cieľom stiahnuť ďalšie moduly a čakať na pokyny. Fáza 1 má tiež viac zabudovaných prepúšťaní na lokalizáciu C & C stupňa 2 v prípade zmeny infraštruktúry počas nasadenia. Malvér Fáza 1 VPNFilter je schopný prežiť aj reštart, čo z neho robí robustnú hrozbu.

Fáza 2: Fáza 2 VPNFilter neprebieha ani po reštarte, ale ponúka širšiu škálu funkcií. Fáza 2 môže zhromažďovať súkromné ​​údaje, vykonávať príkazy a zasahovať do správy zariadení. Vo voľnej prírode existujú aj rôzne verzie 2. etapy. Niektoré verzie sú vybavené deštruktívnym modulom, ktorý prepíše oddiel firmvéru zariadenia a potom sa reštartuje, aby bolo zariadenie nepoužiteľné (malware v zásade muruje router, IoT alebo zariadenie NAS).



Fáza 3: Moduly VPNFilter Stage 3 fungujú ako doplnky pre stupeň 2, čím sa rozširuje funkčnosť VPNFilter. Jeden modul funguje ako vyhľadávač paketov, ktorý zhromažďuje prichádzajúcu návštevnosť na zariadení a odcudzuje poverenia. Ďalší umožňuje malwaru Stage 2 bezpečnú komunikáciu pomocou Tor. Cisco Talos tiež našiel jeden modul, ktorý injektuje škodlivý obsah do prenosu prechádzajúceho zariadením, čo znamená, že hacker môže ďalšie využitie využívať na ďalších pripojených zariadeniach prostredníctvom routera, IoT alebo zariadenia NAS.

Moduly VPNFilter navyše „umožňujú odcudzenie poverení webových stránok a monitorovanie protokolov SCADA Modbus“.

Zdieľanie fotografií Meta

Ďalšou zaujímavou (ale nie novo objavenou) funkciou malwaru VPNFilter je použitie online služieb na zdieľanie fotografií na nájdenie adresy IP servera C&C. Analýza Talos zistila, že škodlivý softvér poukazuje na sériu adries URL vo formáte Photobucket. Malvér stiahne prvý obrázok z galérie, na ktorý odkazuje URL, a extrahuje adresu IP servera skrytú v metaúdajoch obrázka.

IP adresa „je extrahovaná zo šiestich celočíselných hodnôt pre zemepisnú šírku a dĺžku GPS v informáciách EXIF.“ Ak sa to nepodarí, malvér fázy 1 sa vráti do bežnej domény (toknowall.com --- viac o tom nižšie), stiahne obrázok a vykoná rovnaký postup.

Cielené čuchanie paketov

Aktualizovaná správa Talos odhalila niekoľko zaujímavých pohľadov na modul čuchania paketov VPNFilter. Namiesto toho, aby sa všetko iba hýbalo, má pomerne prísny súbor pravidiel, ktoré sa zameriavajú na konkrétne typy návštevnosti. Konkrétne ide o prenos z priemyselných riadiacich systémov (SCADA), ktoré sa pripájajú pomocou sietí VPN TP-Link R600, pripojenia na zoznam vopred definovaných adries IP (čo naznačuje pokročilé znalosti ďalších sietí a žiadanú návštevnosť), ako aj dátové pakety so 150 bajtmi alebo väčšie.

Craig William, vedúci technologický líder a globálny manažér dosahu v spoločnosti Talos, povedal Ars „Hľadajú veľmi konkrétne veci. Nesnažia sa získať toľko návštevnosti, koľko môžu. Ide o niektoré veľmi malé veci, ako sú poverenia a heslá. Nemáme o tom veľa informácií, než sa zdá byť neuveriteľne cielené a neuveriteľne sofistikované. Stále sa snažíme zistiť, na koho to používajú. “

Odkiaľ pochádza VPNFilter?

Verí sa, že VPNFilter je dielom štátom podporovanej hackerskej skupiny. Že počiatočný nárast infekcie VPNFilter bol pociťovaný predovšetkým na Ukrajine, počiatočné prsty poukazovali na odtlačky prstov podporované Ruskom a hackerskú skupinu Fancy Bear.

Takáto sofistikovanosť škodlivého softvéru však neexistuje. Neexistuje žiadna jasná genéza a žiadna hackerská skupina, štát alebo iný štát, nevystúpila a neprihlásila sa k malvéru. Vzhľadom na podrobné pravidlá pre malware a zacielenie na protokoly SCADA a ďalšie priemyselné systémy sa javí ako najpravdepodobnejší aktér národného štátu.

Bez ohľadu na to, čo si myslím, FBI verí, že VPNFilter je výtvor Fancy Bear. V máji 2018 FBI chytil doménu --- ToKnowAll.com --- to sa predpokladalo, že bolo použité na inštaláciu a ovládanie malvéru Stage 2 and Stage 3 VPNFilter. Zabavenie domény určite pomohlo zastaviť okamžité šírenie VPNFilteru, ale neprerušilo hlavnú tepnu; ukrajinská SBU stiahla útok VPNFilter na chemický závod v júli 2018.

kde môžem sledovať filmy online

VPNFilter sa tiež podobá na malware BlackEnergy, trojský kôň APT používaný proti širokému spektru ukrajinských cieľov. Aj keď to nie je ani zďaleka úplný dôkaz, systémové zameranie Ukrajiny pochádza predovšetkým z hackerských skupín s ruskými väzbami.

Som nakazený filtrom VPN?

Je pravdepodobné, že váš smerovač neobsahuje malware VPNFilter. Ale vždy je lepšie byť v bezpečí, ako ľutovať:

  1. Pozrite sa na tento zoznam pre váš router. Ak nie ste na zozname, je všetko v poriadku.
  2. Môžete zamieriť na stránku Symantec VPNFilter Check. Začiarknite políčko zmluvných podmienok a potom kliknite na tlačidlo Spustite kontrolu VPNFilter tlačidlo v strede. Test sa dokončí do niekoľkých sekúnd.

Som nakazený filtrom VPN: Čo mám robiť?

Ak kontrola filtra Symantec VPNFilter potvrdí, že je váš smerovač napadnutý, máte jasný postup.

  1. Resetujte smerovač a potom znova spustite kontrolu VPNFilter.
  2. Obnovte výrobné nastavenia smerovača.
  3. Stiahnite si najnovší firmvér pre svoj smerovač a dokončite čistú inštaláciu firmvéru, pokiaľ možno bez toho, aby sa router počas procesu pripojil online.

Ďalej musíte vykonať úplné skenovanie systému na každom zariadení pripojenom k ​​infikovanému smerovaču.

Ak je to možné, mali by ste vždy zmeniť predvolené prihlasovacie poverenia smerovača a všetkých zariadení IoT alebo NAS (zariadenia IoT túto úlohu neuľahčujú). Aj keď existujú dôkazy o tom, že VPNFilter môže obísť niektoré brány firewall, mať nainštalovaný a správne nakonfigurovaný pomôže udržať vo vašej sieti mnoho ďalších škaredých vecí.

Dávajte si pozor na škodlivý softvér smerovača!

Routerový malware je stále bežnejší. Malware a zraniteľné miesta v oblasti internetu vecí sú všade a s počtom zariadení prichádzajúcich online sa bude len zhoršovať. Váš smerovač je ústredným bodom pre údaje vo vašej domácnosti. Napriek tomu sa mu nevenuje taká pozornosť zabezpečenia ako iným zariadeniam.

Jednoducho povedané, váš smerovač nie je bezpečný, ako si myslíte.

zdieľam zdieľam Tweet E -mail Príručka pre začiatočníkov k animovanej reči

Animovaná reč môže byť výzvou. Ak ste pripravení začať pridávať dialógy do svojho projektu, proces za vás rozložíme.

Čítajte ďalej Súvisiace témy
  • Zabezpečenie
  • Router
  • Zabezpečenie online
  • Internet vecí
  • Malvér
O autorovi Gavin Phillips(945 publikovaných článkov)

Gavin je juniorský editor pre Windows a vysvetlené technológie, pravidelný prispievateľ do skutočne užitočného podcastu a pravidelný recenzent produktov. Má súčasné písanie BA (Hons) s digitálnymi umeleckými postupmi vyplenené z kopcov Devonu a viac ako desať rokov profesionálnych skúseností s písaním. Má rád veľa čaju, stolné hry a futbal.

najlepší stolný počítač pre malé firmy
Viac od Gavina Phillipsa

prihlásiť sa ku odberu noviniek

Pripojte sa k nášmu bulletinu a získajte technické tipy, recenzie, bezplatné elektronické knihy a exkluzívne ponuky!

Kliknutím sem sa prihlásite na odber