Kako uočiti zlonamjerni softver VPNFilter prije nego što uništi vaš usmjerivač

Kako uočiti zlonamjerni softver VPNFilter prije nego što uništi vaš usmjerivač

Zlonamjerni softver usmjerivača, mrežnih uređaja i Interneta stvari sve je češći. Većina se usredotočuje na inficiranje ranjivih uređaja i njihovo dodavanje u moćne botove. Ruteri i uređaji Interneta stvari (IoT) uvijek su uključeni, uvijek na mreži i čekaju upute. Savršena hrana za botnet.





No, nisu svi zlonamjerni programi isti.



VPNFilter destruktivna je prijetnja zlonamjernim softverom usmjerivačima, IoT uređajima, pa čak i nekim mrežnim uređajima za pohranu (NAS). Kako provjeravate postoji li zlonamjeran softver VPNFilter? I kako ga možete očistiti? Pogledajmo pobliže VPNFilter.





Što je VPNFilter?

VPNFilter je sofisticirana modularna varijanta zlonamjernog softvera koja prvenstveno cilja mrežne uređaje širokog spektra proizvođača, kao i NAS uređaje. VPNFilter je isprva pronađen na mrežnim uređajima Linksys, MikroTik, NETGEAR i TP-Link, kao i QNAP NAS uređajima, s oko 500.000 infekcija u 54 zemlje.

The tim koji je otkrio VPNFilter , Cisco Talos, nedavno ažurirani detalji u vezi zlonamjernog softvera, što ukazuje da mrežna oprema proizvođača kao što su ASUS, D-Link, Huawei, Ubiquiti, UPVEL i ZTE sada pokazuje infekcije VPNFilterom. Međutim, u vrijeme pisanja ovog članka to nije utjecalo na mrežne uređaje Cisco.



Zlonamjerni softver nije za razliku od većine drugih zlonamjernih programa usmjerenih na IoT jer se nastavlja nakon ponovnog pokretanja sustava, pa ga je teško iskorijeniti. Posebno su osjetljivi uređaji koji koriste zadane vjerodajnice za prijavu ili s poznatim ranjivostima nula dana koji nisu primili ažuriranja firmvera.

kako deinstalirati google sigurnosnu kopiju i sinkronizaciju

Što radi VPNFilter?

Dakle, VPNFilter je 'višestepena, modularna platforma' koja može uzrokovati destruktivna oštećenja uređaja. Nadalje, može poslužiti i kao prijetnja prikupljanju podataka. VPNFilter radi u nekoliko faza.



Faza 1: VPNFilter Faza 1 uspostavlja plažu na uređaju, kontaktirajući njezin poslužitelja za upravljanje i upravljanje (C&C) radi preuzimanja dodatnih modula i čekanja uputa. Faza 1 također ima više ugrađenih redundansa za lociranje C & C faze 2 u slučaju promjene infrastrukture tijekom implementacije. Zlonamjerni softver Stage 1 VPNFilter također može preživjeti ponovno podizanje sustava, što ga čini snažnom prijetnjom.

Faza 2: VPNFilter Stage 2 ne postoji pri ponovnom pokretanju, ali dolazi sa širim rasponom mogućnosti. Faza 2 može prikupljati privatne podatke, izvršavati naredbe i ometati upravljanje uređajem. Također, u divljini postoje različite verzije 2. stupnja. Neke su verzije opremljene destruktivnim modulom koji prepisuje particiju firmvera uređaja, a zatim se ponovno pokreće kako bi uređaj učinio neupotrebljivim (zlonamjerni softver u osnovi postavlja ruter, IoT ili NAS uređaj).



Faza 3: Moduli VPNFilter Faze 3 rade poput dodataka za Fazu 2, proširujući funkcionalnost VPNFiltera. Jedan modul djeluje kao njuškač paketa koji prikuplja dolazni promet na uređaju i krade vjerodajnice. Drugi omogućuje zlonamjernom softveru 2. stupnja sigurnu komunikaciju pomoću Tor. Cisco Talos je također pronašao jedan modul koji ubacuje zlonamjeran sadržaj u promet koji prolazi kroz uređaj, što znači da haker može isporučiti daljnje iskorištavanja na druge povezane uređaje putem usmjerivača, IoT -a ili NAS uređaja.

Osim toga, moduli VPNFilter 'omogućuju krađu vjerodajnica web stranice i praćenje Modbus SCADA protokola.'

Dijeljenje fotografija Meta

Još jedna zanimljiva (ali ne i novootkrivena) značajka zlonamjernog softvera VPNFilter je njegovo korištenje internetskih usluga za dijeljenje fotografija za pronalaženje IP adrese C&C poslužitelja. Talosova analiza pokazala je da zlonamjerni softver upućuje na niz URL -ova Photobucket. Zlonamjerni softver preuzima prvu sliku u galeriji s URL adresama i izdvaja IP adresu poslužitelja skrivenu unutar metapodataka slike.

IP adresa 'je izvučena iz šest cijelih brojeva za GPS zemljopisnu širinu i dužinu u EXIF ​​informacijama.' Ako to ne uspije, zlonamjerni softver 1. stupnja vraća se na uobičajenu domenu (toknowall.com --- više o tome u nastavku) da preuzme sliku i pokuša isti postupak.

Ciljano njuškanje paketa

Ažurirano Talosovo izvješće otkrilo je neke zanimljive uvide u modul njuškanja paketa VPNFilter. Umjesto da samo sve izobliči, ima prilično strog skup pravila koja ciljaju na određene vrste prometa. Konkretno, promet iz industrijskih upravljačkih sustava (SCADA) koji se povezuju pomoću TP-Link R600 VPN-a, veze s popisom unaprijed definiranih IP adresa (što ukazuje na napredno poznavanje drugih mreža i poželjnog prometa), kao i podatkovni paketi od 150 bajtova ili veće.

Craig William, viši tehnološki vođa i globalni menadžer u Talosu, rekao je Arsu , 'Traže vrlo specifične stvari. Ne pokušavaju prikupiti što veći promet. Traže određene vrlo male stvari poput vjerodajnica i lozinki. Nemamo mnogo podataka o tome osim što se čini nevjerojatno ciljanim i nevjerojatno sofisticiranim. Još pokušavamo otkriti na kome su to koristili. '

Odakle je došao VPNFilter?

Smatra se da je VPNFilter djelo hakerske skupine koju sponzorira država. Da se početni val infekcije VPNFilterom pretežno osjetio u cijeloj Ukrajini, početni prsti ukazivali su na otiske prstiju koje podržava Rusija i hakersku skupinu Fancy Bear.

Međutim, takva je sofisticiranost zlonamjernog softvera da nema jasne geneze i da nijedna hakerska skupina, nacionalna država ili na neki drugi način, nije istupila naprijed tvrdeći da je zlonamjerni softver. S obzirom na detaljna pravila o zlonamjernom softveru i ciljanje SCADA-e i drugih protokola industrijskog sustava, čini se da je akter nacionalne države najvjerojatniji.

Bez obzira na to što ja mislim, FBI vjeruje da je VPNFilter kreacija Fancy Bear. U svibnju 2018. FBI oduzeo domenu --- ToKnowAll.com --- za koje se mislilo da je korišteno za instaliranje i upravljanje zlonamjernim softverom VPNFilter 2. i 3. faze. Oduzimanje domene zasigurno je pomoglo u zaustavljanju trenutnog širenja VPNFiltera, ali nije prekinulo glavnu arteriju; ukrajinski SBU je u srpnju 2018., na primjer, srušio napad VPNFiltera na tvornicu kemijske prerade.

koliko spotify plaća umjetnicima 2017

VPNFilter također ima sličnosti sa zlonamjernim softverom BlackEnergy, APT trojancem koji se koristi protiv širokog raspona ukrajinskih ciljeva. Opet, iako je to daleko od potpunih dokaza, sustavno ciljanje Ukrajine pretežno proizlazi iz hakerskih skupina s ruskim vezama.

Jesam li zaražen VPNFilterom?

Velike su šanse da vaš usmjerivač ne sadrži zlonamjerni softver VPNFilter. Ali uvijek je bolje biti siguran nego žaliti:

  1. Provjerite ovaj popis za vaš usmjerivač. Ako niste na popisu, sve je u redu.
  2. Možete se uputiti na web mjesto Symantec VPNFilter Check. Potvrdite okvir s uvjetima i odredbama, a zatim pritisnite Pokrenite VPNFilter Check gumb u sredini. Test se završava u roku od nekoliko sekundi.

Zaražen sam VPNFilterom: što da radim?

Ako Symantec VPNFilter Check potvrdi da je vaš usmjerivač zaražen, imate jasan postupak.

  1. Resetirajte usmjerivač, a zatim ponovno pokrenite provjeru VPNFiltera.
  2. Vratite usmjerivač na tvorničke postavke.
  3. Preuzmite najnoviji firmver za svoj usmjerivač i dovršite čistu instalaciju firmvera, po mogućnosti bez usmjerivača za povezivanje na mreži tijekom procesa.

Nadalje, morate dovršiti potpuno skeniranje sustava na svakom uređaju spojenom na zaraženi usmjerivač.

Uvijek biste trebali promijeniti zadane vjerodajnice za prijavu na usmjerivaču, kao i na svim IoT ili NAS uređajima (IoT uređaji ne olakšavaju ovaj zadatak) ako je to uopće moguće. Također, iako postoje dokazi da VPNFilter može izbjeći neke vatrozide, imati instaliranu i ispravno konfiguriranu pomoći će zadržati mnoge druge neugodne stvari izvan vaše mreže.

Pazite na zlonamjerni softver usmjerivača!

Zlonamjerni softver usmjerivača sve je češći. IoT zlonamjerni softver i ranjivosti prisutni su posvuda, a s brojem uređaja koji dolaze na mrežu samo će se pogoršati. Vaš usmjerivač je žarišna točka za podatke u vašem domu. Ipak, ne dobiva gotovo toliko sigurnosne pozornosti kao drugi uređaji.

Jednostavno rečeno, vaš usmjerivač nije siguran kako mislite.

Udio Udio Cvrkut E -pošta Vodič za animaciju govora za početnike

Oživljavanje govora može biti izazov. Ako ste spremni započeti dodavanje dijaloga u svoj projekt, mi ćemo za vas razbiti postupak.

Pročitajte Dalje Povezane teme
  • Sigurnost
  • Ruter
  • Mrežna sigurnost
  • Internet stvari
  • Zlonamjerni softver
O autoru Gavin Phillips(945 objavljenih članaka)

Gavin je mlađi urednik za Windows i Explained Technology, redoviti suradnik Really Useful Podcasta i redoviti recenzent proizvoda. Ima diplomu suvremenog pisanja (Hons) sa suvremenom digitalnom umjetnošću opljačkanu s brda Devona, kao i više od desetljeća profesionalnog iskustva u pisanju. Uživa u obilnim količinama čaja, društvenih igara i nogometa.

mogu li besplatno nadograditi s windows xp na windows 7?
Više od Gavina Phillipsa

Pretplatite se na naše obavijesti

Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e -knjige i ekskluzivne ponude!

Kliknite ovdje za pretplatu