Ako teraz identifikovať a opraviť malvér VPNFilter (04.28.24)

Nie všetky malware sú vytvorené rovnako. Jedným z dôkazov je existencia škodlivého softvéru VPNFilter , nového druhu škodlivého softvéru smerovača, ktorý má deštruktívne vlastnosti. Jednou z jeho charakteristických vlastností je, že dokáže prežiť reštartovanie, na rozdiel od väčšiny ostatných hrozieb internetu vecí (IoT).

Tento článok vás prevedie identifikáciou škodlivého softvéru VPNFilter a jeho zoznamom cieľov. Naučíme vás tiež, ako zabrániť tomu, aby v prvom rade spôsobil chaos vo vašom systéme.

Čo je malvér VPNFilter?

Predstavte si program VPNFilter ako deštruktívny malware, ktorý ohrozuje smerovače, zariadenia IoT alebo dokonca sieťové pripojenie úložné zariadenia (NAS). Považuje sa za sofistikovaný modulárny variant škodlivého softvéru, ktorý je zameraný hlavne na sieťové zariadenia od rôznych výrobcov.

Malvér bol pôvodne detekovaný na sieťových zariadeniach Linksys, NETGEAR, MikroTik a TP-Link. Bol objavený aj na zariadeniach QNAP NAS. K dnešnému dňu existuje okolo 500 000 infekcií v 54 krajinách, čo demonštruje jeho obrovský dosah a prítomnosť.

Cisco Talos, tím, ktorý odhalil VPNFilter, poskytuje rozsiahly blogový príspevok o škodlivom softvéri a technických podrobnostiach okolo neho. Podľa vzhľadu majú sieťové zariadenia od spoločností ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti a ZTE príznaky infekcie.

Na rozdiel od väčšiny ostatných malvérov zameraných na IoT je VPNFilter ťažké vylúčiť, pretože pretrváva aj po reštarte systému. Zraniteľnými voči svojim útokom sú zariadenia, ktoré používajú svoje predvolené prihlasovacie poverenia, alebo zariadenia so známymi chybami zabezpečenia nulového dňa, ktoré ešte nemali aktualizácie firmvéru.

Zariadenia, o ktorých je známe, že ich ovplyvňuje VPNFilter Malware

Je známe, že terčom tohto škodlivého softvéru sú routery pre podniky aj pre malé kancelárie alebo domáce kancelárie. Všimnite si nasledujúce značky a modely routerov:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Zlepšovacie zariadenia - neznáme modely
  • ZTE Devices ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Ostatné QNAP Zariadenia NAS so softvérom QTS

Spoločným menovateľom väčšiny cieľových zariadení je použitie predvolených poverení. Tiež poznajú zneužitia, najmä pre staršie verzie.

Čo robí malware VPNFilter s infikovanými zariadeniami?

VPNFilter pracuje na poškodzujúcich zariadeniach a slúži ako metóda zhromažďovania údajov. Funguje to v troch fázach:

Fáza 1

Toto označuje inštaláciu a udržanie trvalej prítomnosti na cieľovom zariadení. Malvér bude kontaktovať server velenia a riadenia (C & C), aby si stiahol ďalšie moduly a čakal na pokyny. V tejto fáze existuje viac vstavaných prepúšťaní na lokalizáciu stupňov 2 v prípade, že dôjde k zmene infraštruktúry počas nasadenia hrozby. Fáza 1 VPNFilter vydrží reštart.

Fáza 2

Toto predstavuje hlavné užitočné zaťaženie. Aj keď nie je schopný pokračovať v reštarte, má viac schopností. Je schopný zhromažďovať súbory, vykonávať príkazy a vykonávať exfiltráciu údajov a správu zariadení. Malvér môže pokračovať v ničivých účinkoch, vďaka čomu môže zariadenie „murovať“, keď dostane príkaz od útočníkov. To sa vykonáva prepísaním časti firmvéru zariadenia a následným reštartom. Trestné činy spôsobujú, že zariadenie je nepoužiteľné.

Fáza 3

Existuje niekoľko známych modulov, ktoré slúžia ako doplnky pre fázu 2. Patrí medzi ne sledovač paketov zameraných na špehovanie prenosu smerovaného cez zariadenie, ktorý umožňuje krádež poverení webovej stránky sledovanie SCADA protokolov Modbus. Ďalší modul umožňuje bezpečnú komunikáciu fázy 2 prostredníctvom siete Tor. Na základe vyšetrovania spoločnosti Cisco Talos poskytuje jeden modul škodlivý obsah prenosu, ktorý prechádza zariadením. Útočníci tak môžu ďalej ovplyvňovať pripojené zariadenia.

6. júna boli vystavené ďalšie dva moduly fázy 3. Prvý z nich sa volá „ssler“ a dokáže zachytiť všetku komunikáciu prechádzajúcu zariadením pomocou portu 80. Umožňuje útočníkom zobraziť webový prenos a zachytiť ho, aby vykonal útoky človeka v prostriedku. Môže napríklad zmeniť požiadavky HTTPS na HTTP, čím údajne bezpečne zašle údaje. Druhý je nazvaný „dstr“, ktorý obsahuje príkaz kill pre akýkoľvek modul fázy 2, ktorý nemá túto funkciu. Po spustení odstráni všetky stopy malvéru skôr, ako zariadenie zamuruje.

Tu je ďalších sedem modulov fázy 3 odhalených 26. septembra:
  • htpx - funguje rovnako ako ssler presmerováva a kontroluje všetku komunikáciu HTTP prechádzajúcu infikovaným zariadením, aby bolo možné identifikovať a prihlásiť všetky spustiteľné súbory systému Windows. Môže prechádzať infikovanými smerovačmi a spustiť tak spustiteľné súbory trójskeho koňa, čo útočníkom umožňuje inštalovať malvér na rôzne počítače pripojené k rovnakej sieti.
  • ndbr - toto sa považuje za multifunkčný nástroj SSH.
  • nm - tento modul je zbraňou na mapovanie siete na skenovanie miestnej podsiete .
  • netfilter - tento nástroj na odmietnutie služby môže blokovať prístup k niektorým šifrovaným aplikáciám.
  • portforwarding - smeruje sieťový prenos na infraštruktúru určenú útočníkmi.
  • socks5proxy - umožňuje vytvorenie proxy servera SOCKS5 na zraniteľných zariadeniach.
Odhalenie pôvodu VPNFilteru

Toto malware je pravdepodobne dielom hackerskej entity sponzorovanej štátom. Počiatočné infekcie pocítili predovšetkým na Ukrajine, ktoré tento čin ľahko pripísali hackerskej skupine Fancy Bear a skupinám podporovaným Ruskom.

Toto však ilustruje zložitú povahu VPNFilter. Nemožno ju spájať s jasným pôvodom a konkrétnou hackerskou skupinou a niekto musí ešte len vykročiť, aby sa za ňu prihlásil. O sponzorovi národného štátu sa špekuluje, pretože SCADA má spolu s ďalšími protokolmi priemyselných systémov komplexné pravidlá a zameranie na malvér.

Ak by ste sa však mali opýtať FBI, VPNFilter je duchovným dieťaťom spoločnosti Fancy Bear. V máji 2018 sa agentúra zmocnila domény ToKnowAll.com, o ktorej sa myslelo, že pomáha pri inštalácii a riadení 2. a 3. stupňa VPNFiltra. Zadržanie pomohlo zastaviť šírenie škodlivého softvéru, nepodarilo sa mu však vyrovnať sa s hlavným obrázkom.

Vo svojom oznámení z 25. mája FBI vydáva naliehavú žiadosť, aby používatelia doma reštartovali svoje Wi-Fi smerovače, aby zastavili veľký útok škodlivého softvéru so zahraničím. V tom čase agentúra určila zahraničných zločincov za kompromitovanie malých kancelárskych a domácich smerovačov Wi-Fi - spolu s ďalšími sieťovými zariadeniami - o stotisíc.

Som iba obyčajný používateľ - na čo znamená filter VPNFilter Ja?

Dobrou správou je, že váš smerovač pravdepodobne nebude skrývať škodlivý softvér, ak ste skontrolovali zoznam smerovačov VPNFilter, ktorý sme poskytli vyššie. Najlepšie je však vždy sa mýliť na strane opatrnosti. Spoločnosť Symantec pre jedného spúšťa kontrolu filtra VPN, aby ste mohli otestovať, či sa vás to týka alebo nie. Spustenie kontroly trvá len pár sekúnd.

Teraz je to tu. Čo ak ste skutočne infikovaní? Preskúmajte tieto kroky:
  • Obnovte smerovač. Ďalej znova spustite kontrolu VPNFilter.
  • Obnovte pôvodné nastavenie smerovača.
  • Zvážte zakázanie nastavení vzdialenej správy vo svojom zariadení.
  • Stiahnite si najaktuálnejší firmvér smerovača. Dokončite čistú inštaláciu firmvéru, ideálne bez toho, aby sa router počas procesu online pripojil.
  • Dokončite úplnú kontrolu systému vo svojom počítači alebo zariadení, ktoré bolo pripojené k infikovanému smerovaču. Nezabudnite na prácu so spoľahlivým skenerom škodlivého softvéru použiť spoľahlivý nástroj na optimalizáciu počítača.
  • Zabezpečte svoje pripojenia. Chráňte sa vďaka vysoko kvalitnej platenej sieti VPN so špičkovým súkromím a zabezpečením online.
  • Zvyknite si meniť predvolené prihlasovacie údaje svojho smerovača, ako aj iných zariadení internetu vecí alebo NAS. .
  • Nechajte si nainštalovať a správne nakonfigurovať bránu firewall, aby ste do svojej siete nedostali to zlé.
  • Zabezpečte svoje zariadenia silnými jedinečnými heslami.
  • Povoliť šifrovanie .

Ak je váš smerovač potenciálne ovplyvnený, môže byť dobré skontrolovať na webe výrobcu všetky nové informácie a kroky potrebné na ochranu vašich zariadení. Je to okamžitý krok, pretože všetky vaše informácie prechádzajú cez váš smerovač. Ak dôjde k narušeniu smerovania, ide o ochranu osobných údajov a zabezpečenie vašich zariadení.

Zhrnutie

Malvér VPNFilter môže byť tiež jednou z najsilnejších a najnezničiteľnejších hrozieb, ktoré môžu za posledné roky zasiahnuť podnikové a malé kancelárie alebo domáce smerovače. história. Pôvodne to bolo zistené na sieťových zariadeniach Linksys, NETGEAR, MikroTik a TP-Link a QNAP NAS zariadeniach. Zoznam postihnutých smerovačov nájdete vyššie.

VPNFilter nemožno ignorovať po spustení približne 500 000 infekcií v 54 krajinách. Funguje v troch fázach a znefunkčňuje smerovače, zhromažďuje informácie, ktoré smerovačmi prechádzajú, a dokonca blokuje sieťový prenos. Zistiť, ako aj analyzovať jeho sieťové aktivity, je naďalej ťažkým podnikaním.

V tomto článku sme načrtli spôsoby, ako sa chrániť pred škodlivým softvérom, a kroky, ktoré môžete podniknúť v prípade napadnutia vášho smerovača. Dôsledky sú strašné, takže by ste nikdy nemali sedieť pri dôležitej úlohe kontroly svojich zariadení.

YouTube Video: Ako teraz identifikovať a opraviť malvér VPNFilter

04, 2024