Jak wykryć złośliwe oprogramowanie VPNFilter, zanim zniszczy twój router?

Jak wykryć złośliwe oprogramowanie VPNFilter, zanim zniszczy twój router?

Złośliwe oprogramowanie do routerów, urządzeń sieciowych i Internetu rzeczy jest coraz bardziej powszechne. Większość skupia się na infekowaniu podatnych urządzeń i dodawaniu ich do potężnych botnetów. Routery i urządzenia Internetu rzeczy (IoT) są zawsze włączone, zawsze online i czekają na instrukcje. Zatem idealna pasza dla botnetów.





Ale nie wszystkie złośliwe programy są takie same.



VPNFilter to destrukcyjne zagrożenie złośliwym oprogramowaniem dla routerów, urządzeń IoT, a nawet niektórych urządzeń sieciowej pamięci masowej (NAS). Jak sprawdzić, czy nie ma infekcji złośliwym oprogramowaniem VPNFilter? A jak możesz to posprzątać? Przyjrzyjmy się bliżej VPNFilter.





Co to jest filtr VPN?

VPNFilter to wyrafinowany modułowy wariant złośliwego oprogramowania, którego celem są przede wszystkim urządzenia sieciowe różnych producentów, a także urządzenia NAS. VPNFilter został początkowo znaleziony na urządzeniach sieciowych Linksys, MikroTik, NETGEAR i TP-Link, a także na urządzeniach QNAP NAS, z około 500 000 infekcji w 54 krajach.

ten zespół, który odkrył VPNFilter , Cisco Talos, ostatnio zaktualizowane szczegóły w odniesieniu do szkodliwego oprogramowania, wskazując, że urządzenia sieciowe takich producentów jak ASUS, D-Link, Huawei, Ubiquiti, UPVEL i ZTE wykazują teraz infekcje VPNFilter. Jednak w chwili pisania tego tekstu nie dotyczy to żadnych urządzeń sieciowych Cisco.



Szkodnik ten różni się od większości innych szkodliwych programów skoncentrowanych na IoT, ponieważ utrzymuje się po ponownym uruchomieniu systemu, co utrudnia jego wyeliminowanie. Szczególnie narażone są urządzenia korzystające z domyślnych danych logowania lub ze znanymi lukami zero-day, które nie otrzymały aktualizacji oprogramowania układowego.

jak przyspieszyć komputer z systemem Windows 10

Co robi VPNFilter?

Tak więc VPNFilter to „wieloetapowa, modułowa platforma”, która może powodować destrukcyjne uszkodzenia urządzeń. Co więcej, może również służyć jako zagrożenie gromadzenia danych. VPNFilter działa w kilku etapach.



Scena 1: VPNFilter Stage 1 ustanawia przyczółek na urządzeniu, kontaktując się z jego serwerem dowodzenia i kontroli (C&C), aby pobrać dodatkowe moduły i czekać na instrukcje. Etap 1 ma również wiele wbudowanych nadmiarowości, aby zlokalizować C&C Etapu 2 w przypadku zmiany infrastruktury podczas wdrażania. Szkodliwe oprogramowanie VPNFilter Stage 1 jest również w stanie przetrwać ponowne uruchomienie, co czyni go poważnym zagrożeniem.

Etap 2: VPNFilter Stage 2 nie utrzymuje się po ponownym uruchomieniu, ale ma szerszy zakres możliwości. Etap 2 może zbierać prywatne dane, wykonywać polecenia i zakłócać zarządzanie urządzeniami. Ponadto istnieją różne wersje Stage 2 na wolności. Niektóre wersje są wyposażone w destrukcyjny moduł, który nadpisuje partycję oprogramowania sprzętowego urządzenia, a następnie uruchamia się ponownie, aby uczynić urządzenie bezużytecznym (złośliwe oprogramowanie blokuje w zasadzie router, IoT lub urządzenie NAS).



Etap 3: Moduły VPNFilter Stage 3 działają jak wtyczki do Stage 2, rozszerzając funkcjonalność VPNFilter. Jeden moduł działa jako sniffer pakietów, który zbiera ruch przychodzący na urządzeniu i kradnie dane uwierzytelniające. Inny pozwala złośliwemu oprogramowaniu Stage 2 na bezpieczną komunikację za pomocą Tora. Cisco Talos znalazł również jeden moduł, który wprowadza złośliwą zawartość do ruchu przechodzącego przez urządzenie, co oznacza, że ​​haker może dostarczać kolejne exploity do innych podłączonych urządzeń za pośrednictwem routera, IoT lub urządzenia NAS.

Ponadto moduły VPNFilter „pozwalają na kradzież danych uwierzytelniających witryny i monitorowanie protokołów Modbus SCADA”.

Meta udostępniania zdjęć

Inną interesującą (ale nie nowo odkrytą) funkcją złośliwego oprogramowania VPNFilter jest wykorzystanie internetowych usług udostępniania zdjęć w celu znalezienia adresu IP jego serwera C&C. Analiza Talos wykazała, że ​​złośliwe oprogramowanie wskazuje na serię adresów URL Photobucket. Szkodnik pobiera pierwszy obraz w galerii, do którego odwołuje się adres URL, i wyodrębnia adres IP serwera ukryty w metadanych obrazu.

Adres IP „jest wyodrębniany z sześciu wartości całkowitych dla szerokości i długości geograficznej GPS w informacjach EXIF”. Jeśli to się nie powiedzie, złośliwe oprogramowanie Stage 1 powraca do zwykłej domeny (toknowall.com — więcej na ten temat poniżej), aby pobrać obraz i wykonać ten sam proces.

Ukierunkowane podsłuchiwanie pakietów

Zaktualizowany raport Talos ujawnił kilka interesujących spostrzeżeń na temat modułu sniffingu pakietów VPNFilter. Zamiast po prostu odkurzać wszystko, ma dość ścisły zestaw reguł, które dotyczą określonych rodzajów ruchu. W szczególności ruch z przemysłowych systemów sterowania (SCADA) łączących się za pomocą sieci VPN TP-Link R600, połączenia z listą predefiniowanych adresów IP (wskazujące na zaawansowaną znajomość innych sieci i pożądany ruch), a także pakiety danych o długości 150 bajtów lub większy.

Craig William, starszy lider ds. technologii i menedżer ds. globalnego zasięgu w firmie Talos, powiedział Ars , „Oni szukają bardzo konkretnych rzeczy. Nie próbują zebrać tak dużego ruchu, jak tylko mogą. Zależy im na bardzo drobnych rzeczach, takich jak poświadczenia i hasła. Nie mamy zbyt wielu informacji na ten temat, poza tym, że wydaje się to niewiarygodnie ukierunkowane i niewiarygodnie wyrafinowane. Wciąż próbujemy dowiedzieć się, na kim tego używali.

Skąd pochodzi VPNFilter?

Uważa się, że VPNFilter jest dziełem sponsorowanej przez państwo grupy hakerskiej . To, że początkowy wzrost infekcji VPNFilter był odczuwalny głównie na całej Ukrainie, pierwsze palce wskazywały na odciski palców wspierane przez Rosję i grupę hakerską Fancy Bear.

Jednak ze względu na stopień zaawansowania złośliwego oprogramowania nie ma jasnej genezy i żadna grupa hakerska, państwo narodowe lub inne, nie wystąpiła, aby odebrać to złośliwe oprogramowanie. Biorąc pod uwagę szczegółowe zasady dotyczące złośliwego oprogramowania oraz celowanie w SCADA i inne protokoły systemów przemysłowych, najbardziej prawdopodobny wydaje się podmiot będący państwem narodowym.

Niezależnie od tego, co myślę, FBI uważa, że ​​VPNFilter to dzieło Fancy Bear. W maju 2018 r. FBI przejął domenę ---ToKnowAll.com---to, jak sądzono, zostało użyte do zainstalowania i wywoływania złośliwego oprogramowania VPNFilter Stage 2 i Stage 3. Zajęcie domeny z pewnością pomogło powstrzymać natychmiastowe rozprzestrzenianie się VPNFilter, ale nie przecięło głównej arterii; Ukraińska SBU zlikwidowała między innymi atak VPNFilter na fabrykę chemiczną w lipcu 2018 roku.

komputer ciągle budzi się ze snu

VPNFilter wykazuje również podobieństwa do szkodliwego oprogramowania BlackEnergy, trojana APT używanego przeciwko szerokiej gamie ukraińskich celów. Ponownie, choć jest to dalekie od pełnego dowodu, systemowe atakowanie Ukrainy wynika głównie z hakowania grup mających powiązania z Rosją.

Czy jestem zainfekowany VPNFilter?

Możliwe, że Twój router nie zawiera złośliwego oprogramowania VPNFilter. Ale zawsze lepiej być bezpiecznym niż żałować:

  1. Sprawdź tę listę dla twojego routera. Jeśli nie ma Cię na liście, wszystko jest w porządku.
  2. Możesz przejść do witryny Symantec VPNFilter Check. Sprawdź pole warunków, a następnie naciśnij Uruchom sprawdzanie filtra VPN przycisk pośrodku. Test kończy się w ciągu kilku sekund.

Jestem zainfekowany VPNFilter: co mam zrobić?

Jeśli narzędzie Symantec VPNFilter Check potwierdzi, że router jest zainfekowany, masz jasny plan działania.

  1. Zresetuj router, a następnie ponownie uruchom VPNFilter Check.
  2. Zresetuj router do ustawień fabrycznych.
  3. Pobierz najnowsze oprogramowanie układowe routera i zakończ czystą instalację oprogramowania układowego, najlepiej bez nawiązywania przez router połączenia online podczas tego procesu.

Ponadto musisz wykonać pełne skanowanie systemu na każdym urządzeniu podłączonym do zainfekowanego routera.

Zawsze powinieneś zmienić domyślne dane logowania routera, a także wszelkich urządzeń IoT lub NAS (urządzenia IoT nie ułatwiają tego zadania), jeśli to w ogóle możliwe. Ponadto, chociaż istnieją dowody na to, że VPNFilter może obejść niektóre zapory, posiadanie jednego zainstalowanego i poprawnie skonfigurowanego pomoże utrzymać wiele innych nieprzyjemnych rzeczy poza siecią.

Uważaj na złośliwe oprogramowanie routera!

Złośliwe oprogramowanie routera jest coraz bardziej powszechne. Złośliwe oprogramowanie i luki w zabezpieczeniach IoT są wszędzie, a wraz z liczbą urządzeń dostępnych w trybie online będzie się tylko pogarszać. Twój router jest centralnym punktem danych w Twoim domu. Jednak nie poświęca się mu prawie tak dużo uwagi bezpieczeństwa, jak inne urządzenia.

Mówiąc najprościej, Twój router nie jest tak bezpieczny, jak myślisz.

Udział Udział Ćwierkać E-mail Przewodnik dla początkujących dotyczący animacji mowy

Animowanie mowy może być wyzwaniem. Jeśli jesteś gotowy, aby rozpocząć dodawanie dialogu do swojego projektu, podzielimy ten proces za Ciebie.

Czytaj dalej Powiązane tematy
  • Bezpieczeństwo
  • Router
  • Bezpieczeństwo w Internecie
  • Internet przedmiotów
  • Złośliwe oprogramowanie
O autorze Gavin Phillips(945 opublikowanych artykułów)

Gavin jest Junior Editor for Windows and Technology Explained, stałym współpracownikiem podcastu Really Useful i regularnym recenzentem produktów. Posiada tytuł licencjata (z wyróżnieniem) współczesnego pisania z praktykami sztuki cyfrowej splądrowanej ze wzgórz Devon, a także ponad dziesięcioletnie doświadczenie zawodowe w pisaniu. Lubi obfite ilości herbaty, gry planszowe i piłkę nożną.

jak ominąć konto Google na Androidzie
Więcej od Gavina Phillipsa

Zapisz się do naszego newslettera

Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!

Kliknij tutaj, aby zasubskrybować