Kako odkriti zlonamerno programsko opremo VPNFilter, preden uniči vaš usmerjevalnik

Kako odkriti zlonamerno programsko opremo VPNFilter, preden uniči vaš usmerjevalnik

Zlonamerna programska oprema usmerjevalnika, omrežne naprave in interneta stvari je vse pogostejša. Večina se osredotoča na okužbo ranljivih naprav in njihovo dodajanje v zmogljive botnete. Usmerjevalniki in naprave interneta stvari (IoT) so vedno vklopljene, vedno na spletu in čakajo na navodila. Popolna krma za botnet.





Toda vsa zlonamerna programska oprema ni enaka.



VPNFilter je uničujoča grožnja zlonamerne programske opreme usmerjevalnikom, napravam IoT in celo nekaterim omrežnim napravam za shranjevanje (NAS). Kako preverite okužbo z zlonamerno programsko opremo VPNFilter? In kako ga lahko očistite? Poglejmo si podrobneje VPNFilter.





Kaj je VPNFilter?

VPNFilter je prefinjena modularna različica zlonamerne programske opreme, ki je namenjena predvsem omrežnim napravam širokega spektra proizvajalcev in naprav NAS. VPNFilter so sprva našli v omrežnih napravah Linksys, MikroTik, NETGEAR in TP-Link, pa tudi v napravah NAS QNAP, s približno 500.000 okužbami v 54 državah.

The ekipa, ki je odkrila VPNFilter , Cisco Talos, nedavno posodobljene podrobnosti glede zlonamerne programske opreme, kar kaže, da omrežna oprema proizvajalcev, kot so ASUS, D-Link, Huawei, Ubiquiti, UPVEL in ZTE, zdaj kaže na okužbe VPNFilter. Vendar v času pisanja to ne vpliva na omrežne naprave Cisco.



Zlonamerna programska oprema je v nasprotju z večino drugih zlonamerne programske opreme, osredotočene na IoT, ker vztraja tudi po ponovnem zagonu sistema, zato jo je težko odstraniti. Posebno ranljive so naprave, ki uporabljajo privzete poverilnice za prijavo ali z znanimi ranljivostmi ničelnega dne, ki niso prejele posodobitev vdelane programske opreme.

prenos datotek z enega računalnika na drugega

Kaj počne VPNFilter?

VPNFilter je torej 'večstopenjska modularna platforma', ki lahko povzroči uničujoče poškodbe naprav. Poleg tega lahko služi tudi kot grožnja pri zbiranju podatkov. VPNFilter deluje v več fazah.



1. stopnja: Stopnja 1 VPNFilter vzpostavi osnovo na napravi in ​​se obrne na njen ukazni in nadzorni strežnik (C&C), da prenese dodatne module in počaka na navodila. Stopnja 1 ima tudi več vgrajenih odvečnosti za iskanje C & C stopnje 2 v primeru spremembe infrastrukture med uvajanjem. Zlonamerna programska oprema stopnje 1 VPNFilter lahko preživi tudi ponovni zagon, zaradi česar je močna grožnja.

2. stopnja: Stopnja 2 VPNFilter ne vztraja pri ponovnem zagonu, vendar ima širše zmogljivosti. 2. stopnja lahko zbira zasebne podatke, izvaja ukaze in moti upravljanje naprav. Prav tako obstajajo različne različice 2. stopnje v naravi. Nekatere različice so opremljene z uničujočim modulom, ki prepiše particijo vdelane programske opreme naprave, nato pa se znova zažene, da postane naprava neuporabna (zlonamerna programska oprema v bistvu opeče usmerjevalnik, IoT ali napravo NAS).



3. stopnja: Moduli stopnje 3 VPNFilter delujejo kot vtičniki za stopnjo 2 in razširjajo funkcionalnost VPNFilter. En modul deluje kot iskalnik paketov, ki zbira dohodni promet v napravi in ​​ukrade poverilnice. Drugi omogoča, da zlonamerna programska oprema stopnje 2 varno komunicira z Tor. Cisco Talos je odkril tudi en modul, ki zlonamerno vsebino vnaša v promet, ki poteka skozi napravo, kar pomeni, da lahko heker posreduje nadaljnje izkoriščanja drugim povezanim napravam prek usmerjevalnika, interneta stvari ali naprave NAS.

Poleg tega moduli VPNFilter 'omogočajo krajo poverilnic spletnega mesta in spremljanje protokolov Modbus SCADA'.

Skupna raba fotografij Meta

Druga zanimiva (vendar ne na novo odkrita) lastnost zlonamerne programske opreme VPNFilter je uporaba spletnih storitev za izmenjavo fotografij za iskanje naslova IP strežnika C&C. Talosova analiza je pokazala, da zlonamerna programska oprema kaže na vrsto URL -jev Photobucket. Zlonamerna programska oprema prenese prvo sliko v galeriji z naslovom URL in izvleče naslov IP strežnika, skrit v metapodatkih slike.

Naslov IP 'je izvlečen iz šestih celoštevilskih vrednosti za zemljepisno širino in dolžino GPS v podatkih EXIF.' Če to ne uspe, se zlonamerna programska oprema stopnje 1 vrne na običajno domeno (toknowall.com --- več o tem spodaj), da prenese sliko in poskusi isti postopek.

Ciljno vohanje paketov

Posodobljeno poročilo Talos je razkrilo nekaj zanimivih vpogledov v modul za vohanje paketov VPNFilter. Namesto, da bi vse zgoščil, ima precej strog niz pravil, ki ciljajo na posebne vrste prometa. Natančneje, promet iz industrijskih nadzornih sistemov (SCADA), ki se povezujejo prek VPN-jev TP-Link R600, povezave s seznamom vnaprej določenih naslovov IP (ki označujejo napredno poznavanje drugih omrežij in zaželen promet), pa tudi podatkovni paketi po 150 bajtov ali večji.

Craig William, višji tehnološki vodja in globalni vodja stikov pri podjetju Talos, je povedal Ars , 'Iščejo zelo specifične stvari. Ne poskušajo zbrati čim več prometa. Iščejo nekatere zelo majhne stvari, kot so poverilnice in gesla. O tem nimamo veliko informacij, razen če se zdi neverjetno ciljno usmerjen in neverjetno prefinjen. Še vedno poskušamo ugotoviti, na koga so to uporabljali. '

Od kod prihaja VPNFilter?

VPNFilter naj bi bil delo hekerske skupine, ki jo sponzorira država. Da je bil začetni val okužbe z virusom VPNFilter pretežno čutiti po vsej Ukrajini, so prvi prsti kazali na prstne odtise, ki jih podpira Rusija, in na hekersko skupino Fancy Bear.

Vendar je takšna prefinjenost zlonamerne programske opreme, da ni jasne geneze in nobena hekerska skupina, nacionalna država ali kako drugače, ni stopila naprej in zahtevala zlonamerno programsko opremo. Glede na podrobna pravila o zlonamerni programski opremi in ciljanje na SCADA in druge protokole industrijskih sistemov se zdi akter nacionalne države najverjetnejši.

Ne glede na to, kar mislim, FBI verjame, da je VPNFilter stvaritev Fancy Bear. Maja 2018 je FBI zasegel domeno --- ToKnowAll.com --- to je bilo mišljeno za namestitev in upravljanje zlonamerne programske opreme stopnje 2 in stopnje 3 VPNFilter. Zaseg domene je zagotovo pomagal ustaviti takojšnje širjenje VPNFilterja, vendar ni prekinil glavne arterije; ukrajinski SBU je julija 2018 na primer uničil napad VPNFilter na obrat za kemično predelavo.

najboljše aplikacije za prenosnik Windows 10 brezplačno prenesete

VPNFilter je podoben tudi zlonamerni programski opremi BlackEnergy, trojancu APT, ki se uporablja proti številnim ukrajinskim ciljem. Še enkrat, čeprav to še zdaleč ni popoln dokaz, sistemsko ciljanje na Ukrajino pretežno izvira iz hekerskih skupin z ruskimi vezmi.

Ali sem okužen z VPNFilterjem?

Verjetno vaš usmerjevalnik ne vsebuje zlonamerne programske opreme VPNFilter. Vedno pa je bolje biti varen kot žal:

  1. Preverite ta seznam za vaš usmerjevalnik. Če vas ni na seznamu, je vse v redu.
  2. Lahko se odpravite na spletno mesto Symantec VPNFilter Check. Potrdite polje z določili in pogoji, nato pritisnite Zaženite VPNFilter Check gumb na sredini. Test se zaključi v nekaj sekundah.

Okužen sem z VPNFilter: Kaj naj storim?

Če Symantec VPNFilter Check potrdi, da je vaš usmerjevalnik okužen, imate jasne ukrepe.

  1. Ponastavite usmerjevalnik, nato znova zaženite preverjanje filtra VPN.
  2. Ponastavite usmerjevalnik na tovarniške nastavitve.
  3. Prenesite najnovejšo vdelano programsko opremo za usmerjevalnik in dokončajte čisto namestitev vdelane programske opreme, po možnosti brez usmerjevalnika med postopkom vzpostavitve spletne povezave.

Poleg tega morate dokončati celotno skeniranje sistema na vsaki napravi, povezani z okuženim usmerjevalnikom.

Če je le mogoče, morate vedno spremeniti privzete poverilnice za prijavo usmerjevalnika in katere koli naprave IoT ali NAS (naprave IoT tega opravila ne olajšajo). Čeprav obstajajo dokazi, da se lahko VPNFilter izogne ​​nekaterim požarnim zidom, z nameščenim in pravilno konfiguriranim bo pomagal preprečiti veliko drugih grdih stvari iz vašega omrežja.

Pazite na zlonamerno programsko opremo usmerjevalnika!

Zlonamerna programska oprema usmerjevalnika je vse pogostejša. Zlonamerna programska oprema in ranljivosti IoT so povsod, s številom naprav, ki prihajajo na splet, pa se bodo le še poslabšale. Vaš usmerjevalnik je osrednja točka za podatke v vašem domu. Vendar pa ne dobiva toliko varnostne pozornosti kot druge naprave.

Preprosto povedano, vaš usmerjevalnik ni varen, kot mislite.

Deliti Deliti Cvrkutati E-naslov Vodnik za začetnike po animaciji govora

Animacija govora je lahko izziv. Če ste pripravljeni na začetek dodajanja dialoga v svoj projekt, bomo za vas razčlenili postopek.

Preberite Naprej Sorodne teme
  • Varnost
  • Usmerjevalnik
  • Spletna varnost
  • Internet stvari
  • Zlonamerna programska oprema
O avtorju Gavin Phillips(945 objavljenih člankov)

Gavin je mlajši urednik za Windows in Technology Explained, redni sodelavec v Zares uporabnem podcastu in redni recenzent izdelkov. Ima diplomo iz sodobnega pisanja z odliko z odliko z digitalnimi umetniškimi praksami, izkopano iz hribov Devona, pa tudi več kot desetletje profesionalnih pisnih izkušenj. Uživa v velikih količinah čaja, družabnih iger in nogometa.

najboljši namizni računalnik za mala podjetja
Več od Gavina Phillipsa

Naročite se na naše novice

Pridružite se našemu glasilu za tehnične nasvete, ocene, brezplačne e -knjige in ekskluzivne ponudbe!

Kliknite tukaj, da se naročite