Kako sada prepoznati i popraviti zlonamjerni softver VPNFilter (04.25.24)

Nisu svi zlonamjerni programi jednaki. Jedan od dokaza za to je postojanje zlonamjernog softvera VPNFilter , nove vrste zlonamjernih programa usmjerivača koji ima destruktivna svojstva. Jedna posebna karakteristika koju ima je da može preživjeti ponovno podizanje sustava, za razliku od većine drugih prijetnji Interneta stvari (IoT).

Neka vas ovaj članak vodi kroz identificiranje zlonamjernog softvera VPNFilter, kao i njegov popis ciljeva. Također ćemo vas naučiti kako uopće spriječiti da ne pustoši vaš sustav.

Što je zlonamjerni softver VPNFilter?

Zamislite VPNFilter kao destruktivni zlonamjerni softver koji prijeti usmjerivačima, IoT uređajima, pa čak i povezanim s mrežom. uređaji za pohranu (NAS). Smatra se sofisticiranom modularnom inačicom zlonamjernog softvera koja uglavnom cilja mrežne uređaje različitih proizvođača.

U početku je zlonamjerni softver otkriven na mrežnim uređajima Linksys, NETGEAR, MikroTik i TP-Link. Otkriven je i u QNAP NAS uređajima. Do danas postoji oko 500 000 infekcija u 54 države, što pokazuje njegov masovni doseg i prisutnost.

Cisco Talos, tim koji je izložio VPNFilter, pruža opsežan post na blogu o malwareu i tehničkim detaljima oko njega. Izgleda da mrežna oprema ASUS-a, D-Link, Huawei, UPVEL, Ubiqiuiti i ZTE ima znakove zaraze.

Za razliku od većine ostalih malware-a usmjerenih na IoT, VPNFilter je teško eliminirati jer ga je traje i nakon ponovnog pokretanja sustava. Pokazali su se ranjivima na njegove napade uređaji koji koriste zadane vjerodajnice za prijavu ili oni s poznatim ranjivostima nultog dana koji još nisu imali ažuriranja firmvera.

Uređaji na koje zna da utječe zlonamjerni softver VPNFilter

Poznato je da su usmjerivači za poslovne i male urede ili za kućni ured meta ovog zlonamjernog softvera. Obratite pažnju na sljedeće marke i modele usmjerivača:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Upvel uređaji -nepoznati modeli
  • ZTE uređaji ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Ostali QNAP NAS uređaji s QTS softverom

Zajednički nazivnik među većinom ciljanih uređaja je njihova upotreba zadanih vjerodajnica. Također imaju poznate eksploatacije, posebno za starije verzije.

Što zlonamjerni softver VPNFilter čini zaraženim uređajima?

VPNFilter djeluje na nanošenje iscrpljujuće štete pogođenim uređajima, a služi i kao metoda prikupljanja podataka. Radi u tri faze:

Faza 1

To označava instalaciju i održavanje trajne prisutnosti na ciljnom uređaju. Zlonamjerni softver kontaktirat će poslužitelj za naredbe i kontrolu (C & amp; C) kako bi preuzeo dodatne module i pričekao upute. U ovoj fazi postoji više ugrađenih viškova za lociranje C i C stupnja 2 u slučaju da se dogodi infrastrukturna promjena dok je prijetnja postavljena. VPNFilter faze 1 može podnijeti ponovno pokretanje.

Faza 2

Ovo sadrži glavnu nosivost. Iako nije u stanju ustrajati kroz ponovno pokretanje, ima više mogućnosti. U mogućnosti je prikupljati datoteke, izvršavati naredbe i izvoditi eksfiltraciju podataka i upravljanje uređajima. Nastavljajući s destruktivnim učincima, zlonamjerni softver može "opeći" uređaj nakon što primi naredbu od napadača. To se izvršava prepisivanjem dijela firmware-a uređaja i naknadnim ponovnim pokretanjem. Kaznena djela čine uređaj neupotrebljivim.

Faza 3

Postoji nekoliko poznatih modula koji djeluju kao dodaci za Fazu 2. Sadrže njuškalicu paketa za špijuniranje prometa usmjerenog kroz uređaj, omogućavajući krađu vjerodajnica i praćenje Modbus SCADA protokola. Drugi modul omogućuje Stage 2 sigurnu komunikaciju putem Tor-a. Na temelju istrage Cisco Talos, jedan modul pruža zlonamjeran sadržaj prometu koji prolazi kroz uređaj. Na ovaj način napadači mogu dalje utjecati na povezane uređaje.

6. lipnja izložena su još dva modula Stage 3. Prvi se naziva "ssler" i može presresti sav promet koji prolazi kroz uređaj pomoću porta 80. Omogućuje napadačima da vide web promet i presretnu ga kako bi izvršili čovjeka u srednjim napadima. Na primjer, može promijeniti HTTPS zahtjeve u HTTP, nesigurno šaljući navodno šifrirane podatke. Drugi je nazvan "dstr", koji uključuje naredbu kill za bilo koji modul Stage 2 kojem ova značajka nedostaje. Jednom kad se izvrši, uklonit će sve tragove zlonamjernog softvera prije nego što opekne uređaj.

Evo još sedam modula Stage 3 otkrivenih 26. rujna:
  • htpx - Radi baš kao i ssler, preusmjeravanje i pregled cjelokupnog HTTP prometa koji prolazi kroz zaraženi uređaj kako bi se prepoznale i evidentirale bilo koje Windows izvršne datoteke. Trojanski može izvršiti izvršne datoteke dok prolazi kroz zaražene usmjerivače, što napadačima omogućuje instaliranje zlonamjernog softvera na razne strojeve povezane na istu mrežu.
  • ndbr - Ovo se smatra višenamjenskim SSH alatom.
  • nm - Ovaj modul je oružje za mapiranje mreže za skeniranje lokalne podmreže .
  • netfilter - Ovaj uslužni program za uskraćivanje usluge može blokirati pristup nekim šifriranim aplikacijama.
  • portforwarding - Prosljeđuje mrežni promet na infrastrukturu koju određuju napadači.
  • socks5proxy - Omogućuje uspostavljanje SOCKS5 proxyja na ranjivim uređajima.
Otkriveno porijeklo VPNFiltera

Ovo zlonamjerni softver vjerojatno je djelo hakerskog tijela kojeg financira država. Početne infekcije prvenstveno su se osjetile u Ukrajini, što je lako pripisati hakerskoj grupi Fancy Bear i skupinama koje podržavaju Rusi.

To, međutim, ilustrira sofisticiranu prirodu VPNFiltera. Ne može se povezati s jasnim podrijetlom i određenom hakerskom skupinom, a netko tek treba istupiti i preuzeti odgovornost za to. Nagađa se da sponzor nacionalne države budući da SCADA, zajedno s ostalim protokolima industrijskog sustava, ima sveobuhvatna pravila i ciljanje zlonamjernog softvera.

Ako biste to trebali pitati FBI, VPNFilter je zamisao Fancy Beara. Još u svibnju 2018. agencija je zaplijenila domenu ToKnowAll.com, za koju se smatra da je od ključne važnosti za instaliranje i zapovijedanje VPNFiltera Stage 2 i 3. Oduzimanje je pomoglo zaustaviti širenje zlonamjernog softvera, ali nije uspjelo riješiti glavnu sliku.

U svojoj najavi od 25. svibnja, FBI izdaje hitan zahtjev za korisnike da ponovo pokrenu svoje Wi-Fi usmjerivače kod kuće kako bi zaustavili veliki napad malvera na inozemnoj bazi. U to je vrijeme agencija stranih cyber kriminalaca zbog kompromitiranja malih uredskih i kućnih Wi-Fi usmjerivača - zajedno s ostalim mrežnim uređajima - odredila za stotinjak tisuća.

Ja sam samo obični korisnik - što VPNFilter Attack znači Ja?

Dobra vijest je da vaš usmjerivač vjerojatno neće skrivati ​​dosadni zlonamjerni softver ako ste provjerili popis usmjerivača VPNFilter koji smo naveli gore. Ali uvijek je najbolje pogriješiti zbog opreza. Symantec, primjerice, pokreće provjeru VPNFiltera kako biste mogli testirati jeste li pogođeni ili niste. Potrebno je samo nekoliko sekundi da se pokrene provjera.

Sad je stvar u tome. Što ako ste zapravo zaraženi? Istražite ove korake:
  • Resetirajte usmjerivač. Zatim pokrenite VPNFilter Check još jednom.
  • Vratite usmjerivač na tvorničke postavke.
  • Razmislite o onemogućavanju bilo kakvih postavki daljinskog upravljanja na uređaju.
  • Preuzmite najnoviji firmver za usmjerivač. Dovršite čistu instalaciju firmvera, idealno je da usmjerivač ne uspostavlja internetsku vezu dok je postupak u tijeku.
  • Dovršite cjelovito skeniranje sustava na računalu ili uređaju koji je povezan s zaraženim usmjerivačem. Ne zaboravite upotrijebiti pouzdani alat za optimizaciju računala kako biste radili zajedno s pouzdanim skenerom zlonamjernog softvera.
  • Osigurajte svoje veze. Zaštitite se visokokvalitetnim VPN-om uz plaćanje s evidencijom vrhunske privatnosti i sigurnosti na mreži.
  • Naviknite se mijenjati zadane vjerodajnice za prijavu na usmjerivač, kao i na druge IoT ili NAS uređaje .
  • Instalirajte i pravilno konfigurirajte vatrozid kako ne bi došlo do loših stvari iz vaše mreže.
  • Osigurajte svoje uređaje jakim, jedinstvenim lozinkama.
  • Omogućite šifriranje .

Ako potencijalno utječe na vaš usmjerivač, bilo bi dobro da na web mjestu proizvođača provjerite ima li novih podataka i koraka kako biste zaštitili svoje uređaje. Ovo je neposredan korak, budući da svi vaši podaci prolaze kroz vaš usmjerivač. Kada je usmjerivač ugrožen, ugroženi su privatnost i sigurnost vaših uređaja.

Sažetak

Zlonamjerni softver VPNFilter mogao bi u posljednje vrijeme biti jedna od najjačih i najneuništivijih prijetnji udaru poslovnih i malih uredskih ili kućnih usmjerivača u posljednje vrijeme. povijesti. U početku je otkriven na mrežnim uređajima Linksys, NETGEAR, MikroTik i TP-Link te QNAP NAS uređajima. Popis pogođenih usmjerivača možete pronaći gore.

VPNFilter se ne može zanemariti nakon pokretanja nekih 500 000 zaraza u 54 zemlje. Radi u tri faze i onemogućuje usmjerivače, prikuplja informacije koje prolaze kroz usmjerivače, pa čak i blokira mrežni promet. Otkrivanje, kao i analiza njegove mrežne aktivnosti, i dalje je težak pothvat.

U ovom smo članku izložili načine kako se zaštititi od zlonamjernog softvera i korake koje možete poduzeti ako je vaš usmjerivač ugrožen. Posljedice su strašne, pa nikada ne biste trebali obavljati važan zadatak provjere svojih uređaja.

Youtube video: Kako sada prepoznati i popraviti zlonamjerni softver VPNFilter

04, 2024