VPNFilter -haittaohjelmien havaitseminen ennen reitittimen tuhoamista

VPNFilter -haittaohjelmien havaitseminen ennen reitittimen tuhoamista

Reitittimen, verkkolaitteen ja esineiden internetin haittaohjelmat ovat yhä yleisempiä. Useimmat keskittyvät haavoittuvien laitteiden tartuttamiseen ja lisäämiseen tehokkaisiin botnet -verkkoihin. Reitittimet ja esineiden internet (IoT) -laitteet ovat aina päällä, aina verkossa ja odottavat ohjeita. Täydellinen botnet -rehu siis.





Mutta kaikki haittaohjelmat eivät ole samanlaisia.



VPNFilter on tuhoisa haittaohjelmien uhka reitittimille, IoT-laitteille ja jopa joillekin NAS-laitteille. Kuinka tarkistat VPNFilter -haittaohjelmatartunnan? Ja miten voit puhdistaa sen? Katsotaanpa tarkemmin VPNFilter.





Mikä on VPNFilter?

VPNFilter on hienostunut modulaarinen haittaohjelmaversio, joka on suunnattu ensisijaisesti useiden valmistajien verkkolaitteille sekä NAS -laitteille. VPNFilter löydettiin alun perin Linksys-, MikroTik-, NETGEAR- ja TP-Link-verkkolaitteista sekä QNAP NAS -laitteista ja noin 500 000 tartuntaa 54 maassa.

The tiimi, joka paljasti VPNFilterin , Cisco Talos, äskettäin päivitetyt tiedot haittaohjelmista, mikä osoittaa, että valmistajien, kuten ASUS, D-Link, Huawei, Ubiquiti, UPVEL ja ZTE, verkkolaitteet näyttävät nyt VPNFilter-infektioita. Tämä ei kuitenkaan vaikuta Cisco -verkkolaitteisiin tätä kirjoitettaessa.



Haittaohjelma on toisin kuin useimmat muut IoT-haittaohjelmat, koska se jatkuu järjestelmän uudelleenkäynnistyksen jälkeen, mikä vaikeuttaa sen poistamista. Erityisen haavoittuvia ovat laitteet, jotka käyttävät oletuskirjautumistietoja tai joiden tiedetään olevan nolla päivän haavoittuvuuksia ja jotka eivät ole saaneet laiteohjelmistopäivityksiä.

kuinka ottaa kuvakaappaus ilman tulostusnäyttöä

Mitä VPNFilter tekee?

VPNFilter on siis monivaiheinen, modulaarinen alusta, joka voi vahingoittaa laitteita. Lisäksi se voi toimia myös uhkana tiedonkeruulle. VPNFilter toimii useissa vaiheissa.



Vaihe 1: VPNFilter Stage 1 luo laitteelle rantapään ja ottaa yhteyttä sen komento- ja ohjauspalvelimeen (C&C) ladatakseen lisämoduuleja ja odottamaan ohjeita. Vaiheessa 1 on myös useita sisäänrakennettuja irtisanomisia, joilla voidaan etsiä vaiheen 2 C & Cs, jos infrastruktuuri muuttuu käyttöönoton aikana. Vaiheen 1 VPNFilter -haittaohjelma pystyy myös selviytymään uudelleenkäynnistyksestä, mikä tekee siitä vahvan uhan.

Vaihe 2: VPNFilter Stage 2 ei jatku uudelleenkäynnistyksen aikana, mutta siinä on laajempi valikoima ominaisuuksia. Vaihe 2 voi kerätä yksityisiä tietoja, suorittaa komentoja ja häiritä laitteen hallintaa. Lisäksi on olemassa erilaisia ​​versioita vaiheesta 2 luonnossa. Jotkut versiot on varustettu tuhoavalla moduulilla, joka korvaa laitteen laiteohjelmiston osion ja käynnistää sen uudelleen, jotta laite ei ole käyttökelpoinen (haittaohjelma palvelee pohjimmiltaan reitittimen, IoT- tai NAS -laitteen).



Vaihe 3: VPNFilter Stage 3 -moduulit toimivat kuten vaiheen 2 laajennukset, mikä laajentaa VPNFilterin toimintoja. Yksi moduuli toimii pakettien hajottajana, joka kerää laitteeseen tulevan liikenteen ja varastaa tunnistetiedot. Toinen mahdollistaa vaiheen 2 haittaohjelmien kommunikoida turvallisesti Torin avulla. Cisco Talos löysi myös yhden moduulin, joka ruiskuttaa haitallista sisältöä laitteen kautta kulkevaan liikenteeseen, mikä tarkoittaa, että hakkeri voi toimittaa lisähyötyjä muille yhdistetyille laitteille reitittimen, IoT- tai NAS -laitteen kautta.

Lisäksi VPNFilter -moduulit 'mahdollistavat verkkosivuston kirjautumistietojen varastamisen ja Modbus SCADA -protokollien valvonnan'.

Kuvien jakamisen meta

Toinen mielenkiintoinen (mutta ei äskettäin löydetty) VPNFilter -haittaohjelman ominaisuus on se, että se käyttää online -valokuvien jakamispalveluja löytääkseen C & C -palvelimensa IP -osoitteen. Talos -analyysi havaitsi, että haittaohjelma viittaa sarjaan Photobucket -URL -osoitteita. Haittaohjelma lataa gallerian ensimmäisen kuvan URL -viittauksista ja poimii kuvan metatietoihin piilotetun palvelimen IP -osoitteen.

IP -osoite 'poimitaan EXIF ​​-tietojen GPS -leveys- ja pituusasteiden kuudesta kokonaislukuarvosta.' Jos tämä epäonnistuu, vaiheen 1 haittaohjelma palaa tavalliseen verkkotunnukseen (toknowall.com --- lisää tästä alla) lataamaan kuvan ja yrittämään samaa prosessia.

Kohdennettu pakettien haistelu

Päivitetty Talos -raportti paljasti mielenkiintoisia oivalluksia VPNFilter -pakettien halausmoduulista. Sen sijaan, että heittäisivät kaiken ylös, sillä on melko tiukat säännöt, jotka kohdistuvat tietyntyyppiseen liikenteeseen. Erityisesti liikenne teollisista ohjausjärjestelmistä (SCADA), jotka muodostavat yhteyden TP-Link R600 VPN -verkkojen avulla, yhteydet ennalta määritettyjen IP-osoitteiden luetteloon (mikä kertoo muiden verkkojen edistyneestä tietämyksestä ja toivotusta liikenteestä) sekä 150 tavun datapaketit tai isompi.

Craig William, vanhempi teknologiajohtaja ja Talosin maailmanlaajuinen tiedotuspäällikkö, kertoi Ars '' He etsivät hyvin erityisiä asioita. He eivät yritä kerätä niin paljon liikennettä kuin pystyvät. He etsivät tiettyjä hyvin pieniä asioita, kuten kirjautumistietoja ja salasanoja. Meillä ei ole paljon tietoa siitä, paitsi että se näyttää uskomattoman kohdennetulta ja uskomattoman hienostuneelta. Yritämme edelleen selvittää, keille he käyttivät sitä. '

Mistä VPNFilter tuli?

VPNFilterin uskotaan olevan valtion rahoittaman hakkerointiryhmän työtä. Alkuperäinen VPNFilter-infektion nousu tuntui pääasiassa kaikkialla Ukrainassa, ensimmäiset sormet osoittivat Venäjän tukemia sormenjälkiä ja hakkerointiryhmä Fancy Bear.

Tällainen haittaohjelman hienostuneisuus ei kuitenkaan ole selvää alkuperää, eikä hakkerointiryhmä, kansallisvaltio tai muu, ole astunut eteenpäin vaatimaan haittaohjelmaa. Kun otetaan huomioon haittaohjelmia koskevat yksityiskohtaiset säännöt ja SCADA: n ja muiden teollisuusjärjestelmäprotokollien kohdentaminen, kansallisvaltion toimija vaikuttaa todennäköisimmältä.

Riippumatta siitä, mitä ajattelen, FBI uskoo, että VPNFilter on Fancy Bear -luomus. Toukokuussa 2018 FBI takavarikoi verkkotunnuksen --- ToKnowAll.com --- jota arveltiin käyttävän vaiheen 2 ja vaiheen 3 VPNFilter-haittaohjelmien asentamiseen ja komentoon. Verkkotunnuksen takavarikko varmasti auttoi estämään VPNFilterin välittömän leviämisen, mutta ei katkaissut päävaltimoa; Ukrainan SBU otti VPNFilter-hyökkäyksen kemialliseen käsittelylaitokseen heinäkuussa 2018, yhden.

kuinka estää roskapostit Androidissa

VPNFilter muistuttaa myös BlackEnergy-haittaohjelmaa, APT-troijalaista, jota käytetään monenlaisia ​​ukrainalaisia ​​kohteita vastaan. Vaikka tämä on kaukana täydellisistä todisteista, Ukrainan systeeminen kohdentaminen johtuu pääasiassa hakkereista, joilla on Venäjän siteitä.

Olenko saanut tartunnan VPNFilterillä?

On mahdollista, että reitittimessäsi ei ole VPNFilter -haittaohjelmaa. Mutta on aina parempi olla turvassa kuin pahoillani:

  1. Tarkista tämä luettelo reitittimeesi. Jos et ole listalla, kaikki on kunnossa.
  2. Voit siirtyä Symantec VPNFilter Check -sivustoon. Valitse käyttöehdot -ruutu ja paina sitten Suorita VPNFilter Check painike keskellä. Testi päättyy muutamassa sekunnissa.

Olen tartunnan saanut VPNFilter: Mitä teen?

Jos Symantecin VPN -suodattimen tarkistus vahvistaa, että reititin on saanut tartunnan, sinulla on selkeä toimintatapa.

  1. Nollaa reititin ja suorita VPNFilter Check uudelleen.
  2. Palauta reitittimen tehdasasetukset.
  3. Lataa reitittimesi uusin laiteohjelmisto ja suorita puhdas laiteohjelmiston asennus mieluiten ilman, että reititin muodostaa online -yhteyden prosessin aikana.

Tämän lisäksi sinun on suoritettava täydelliset järjestelmän tarkistukset jokaiselta laitteelta, joka on kytketty tartunnan saaneeseen reitittimeen.

Sinun on aina vaihdettava reitittimen oletuskirjautumistiedot sekä kaikki IoT- tai NAS -laitteet (IoT -laitteet eivät tee tätä tehtävää helpoksi), jos se on mahdollista. Lisäksi on näyttöä siitä, että VPNFilter voi kiertää joitakin palomuureja, sellainen, joka on asennettu ja määritetty oikein auttaa pitämään paljon muuta ikävää tavaraa poissa verkostostasi.

Varo reitittimen haittaohjelmia!

Reitittimen haittaohjelmat ovat yhä yleisempiä. IoT -haittaohjelmat ja haavoittuvuudet ovat kaikkialla, ja kun laitteiden määrä tulee verkkoon, se vain pahenee. Reitittimesi on kotisi tiedon keskipiste. Se ei kuitenkaan saa läheskään yhtä paljon turvallisuushuomiota kuin muut laitteet.

Yksinkertaisesti sanottuna, reitittimesi ei ole turvallinen, kuten luulet.

Jaa Jaa Tweet Sähköposti Aloittelijan opas puheen animointiin

Puheen animointi voi olla haaste. Jos olet valmis aloittamaan vuoropuhelun lisäämisen projektiin, jaamme prosessin puolestasi.

Lue seuraava Liittyvät aiheet
  • Turvallisuus
  • Reititin
  • Online -suojaus
  • Esineiden internet
  • Haittaohjelma
Kirjailijasta Gavin Phillips(945 artikkelia julkaistu)

Gavin on Windows- ja Technology Explainedin Junior Editor, säännöllisesti Really Hyödyllisen podcastin toimittaja ja säännöllinen tuotearvioija. Hänellä on BA (Hons) Contemporary Writing ja digitaaliset taidekäytännöt, jotka on ryöstetty Devonin kukkuloilta, sekä yli vuosikymmenen ammattikirjallinen kokemus. Hän nauttii runsaasti teetä, lautapelejä ja jalkapalloa.

kohdistin liikkuu omissa ikkunoissa 10
Lisää Gavin Phillipsiltä

tilaa uutiskirjeemme

Liity uutiskirjeeseemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia ​​e -kirjoja ja ainutlaatuisia tarjouksia!

Klikkaa tästä tilataksesi