Kako zdaj prepoznati in popraviti zlonamerno programsko opremo VPNFilter (03.28.24)

Vsa zlonamerna programska oprema ni enaka. Dokaz za to je obstoj zlonamerne programske opreme VPNFilter , nove vrste zlonamerne programske opreme usmerjevalnika, ki ima uničujoče lastnosti. Njegova značilnost je ta, da lahko preživi ponovni zagon, za razliko od večine drugih groženj interneta stvari (IoT).

Naj vas ta članek vodi skozi prepoznavanje zlonamerne programske opreme VPNFilter in njenega seznama ciljev. Naučili vas bomo tudi, kako preprečiti, da bi v vašem sistemu najprej naredil opustošenje.

Kaj je zlonamerna programska oprema VPNFilter?

O VPNFilterju razmišljajte kot o uničujoči zlonamerni programski opremi, ki ogroža usmerjevalnike, naprave IoT in celo omrežno povezane naprave za shranjevanje (NAS). Šteje se za izpopolnjeno modularno različico zlonamerne programske opreme, ki cilja predvsem na omrežne naprave različnih proizvajalcev.

Prvotno je bila zlonamerna programska oprema zaznana v omrežnih napravah Linksys, NETGEAR, MikroTik in TP-Link. Odkrit je bil tudi v napravah QNAP NAS. Do danes je približno 54.000 okužb v 54 državah, kar dokazuje njegov ogromen doseg in prisotnost.

Cisco Talos, ekipa, ki je razkrila VPNFilter, ponuja obsežno objavo v spletnem dnevniku o zlonamerni programski opremi in tehničnih podrobnostih okoli nje. Videz omrežne opreme ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti in ZTE ima znake okužbe.

V nasprotju z večino druge zlonamerne programske opreme, usmerjene na IoT, je VPNFilter težko odpraviti, vztraja tudi po ponovnem zagonu sistema. Napadi so ranljivi za naprave, ki uporabljajo privzete poverilnice za prijavo, ali tiste z znanimi ranljivostmi ničelnih dni, ki še niso imele posodobitev vdelane programske opreme.

Naprave, za katere je znano, da jih prizadene VPNFilter Malware

Znano je, da so usmerjevalniki za podjetja in majhne pisarne ali domače pisarne tarča te zlonamerne programske opreme. Upoštevajte naslednje znamke in modele usmerjevalnikov:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Naprave Upvel - neznani modeli
  • ZTE Naprave ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Drugo QNAP Naprave NAS s programsko opremo QTS

Skupni imenovalec večine ciljnih naprav je uporaba privzetih poverilnic. Imajo tudi znane podvige, zlasti za starejše različice.

Kaj naredi škodljiva programska oprema VPNFilter okuženim napravam?

VPNFilter deluje tako, da prizadene naprave povzroča izčrpavajočo škodo in služi kot metoda zbiranja podatkov. Deluje v treh fazah:

1. stopnja

To označuje namestitev in vzdrževanje stalne prisotnosti na ciljni napravi. Zlonamerna programska oprema se bo obrnila na strežnik za ukaze in nadzor (C & amp; C), da bo prenesla dodatne module in počakala navodila. V tej fazi je več vgrajenih presežkov za iskanje C & amp; C stopnje 2, če pride do spremembe infrastrukture med razvijanjem grožnje. VPNFilter 1. stopnje lahko prenese ponovni zagon.

2. stopnja

Ta vsebuje glavni tovor. Čeprav z vnovičnim zagonom ne more vztrajati, ima več zmogljivosti. Sposoben je zbirati datoteke, izvajati ukaze in izvajati eksfiltracijo podatkov in upravljanje naprav. Nadaljuje s svojimi uničujočimi učinki, zato lahko zlonamerna programska oprema napravo opeče, ko prejme ukaz napadalcev. To se izvede s prepisovanjem dela vdelane programske opreme naprave in nadaljnjim ponovnim zagonom. Zaradi kaznivih dejanj je naprava neuporabna.

3. stopnja

Obstaja več njenih znanih modulov, ki delujejo kot vtičniki za 2. stopnjo. Vključujejo vdihavalnik paketov za vohunjenje prometa, usmerjenega skozi napravo, ki omogoča krajo poverilnic spletnega mesta in sledenje protokolom Modbus SCADA. Drug modul omogoča stopnji 2 varno komunikacijo prek Tor. Na podlagi preiskave Cisco Talos en modul posreduje zlonamerno vsebino prometu, ki gre skozi napravo. Tako lahko napadalci še bolj vplivajo na povezane naprave.

6. junija sta bila izpostavljena še dva modula stopnje 3. Prvi se imenuje "ssler" in lahko prek vrat 80 prestreže ves promet, ki gre skozi napravo. Napadalcem omogoča ogled spletnega prometa in ga prestreže za izvajanje človeških napadov v sredini. Zahteve HTTPS lahko na primer spremeni v zahteve HTTP in domnevno šifrirane podatke pošlje varno. Drugi je poimenovan "dstr", ki vključuje ukaz kill za kateri koli modul stopnje 2, ki nima te funkcije. Ko bo izveden, bo odstranil vse sledi zlonamerne programske opreme, preden bo zazidal napravo.

Tu je še sedem modulov 3. stopnje, razkritih 26. septembra:
  • htpx - deluje tako kot ssler, preusmerjanje in pregledovanje celotnega prometa HTTP, ki gre skozi okuženo napravo, da se prepoznajo in zabeležijo vse izvršljive datoteke sistema Windows. Izvedene izvršljive datoteke lahko Trojan-ize izvaja med okuženimi usmerjevalniki, ki napadalcem omogočajo namestitev zlonamerne programske opreme na različne računalnike, povezane v isto omrežje.
  • ndbr - To velja za večnamensko orodje SSH.
  • nm - Ta modul je orožje za preslikavo omrežja za skeniranje lokalne podomrežje .
  • netfilter - Ta pripomoček za zavrnitev storitve lahko blokira dostop do nekaterih šifriranih aplikacij.
  • portforwarding - posreduje omrežni promet do infrastrukture, ki jo določijo napadalci.
  • socks5proxy - Omogoča namestitev proxyja SOCKS5 na ranljivih napravah.
Razkrit izvor VPNFilter

To zlonamerna programska oprema je verjetno delo države, ki jo financira taksist. Začetne okužbe so v glavnem čutili v Ukrajini, saj so to dejanje zlahka pripisali hekerski skupini Fancy Bear in skupinam, ki jih podpira Rusija.

To pa ponazarja prefinjeno naravo VPNFilter. Ni ga mogoče povezati z jasnim poreklom in določeno hekersko skupino, nekdo pa še ni korak naprej, da bi zanj prevzel odgovornost. O sponzorju nacionalne države se domneva, ker ima SCADA skupaj z drugimi protokoli industrijskih sistemov izčrpna pravila in ciljanje na zlonamerno programsko opremo.

Če bi morali vprašati FBI, pa je VPNFilter zamisel Fancy Beara. Maja maja je agencija zasegla domeno ToKnowAll.com, ki naj bi bila ključnega pomena pri namestitvi in ​​vodenju Stage 2 in 3 VPNFilter. Zaseg je pomagal ustaviti širjenje zlonamerne programske opreme, vendar se ni uspel spoprijeti z glavno sliko.

FBI v svoji objavi 25. maja izda nujno zahtevo, naj uporabniki znova zaženejo svoje usmerjevalnike Wi-Fi doma, da ustavijo velik napad zlonamerne programske opreme na tujem. Takrat je agencija tujih kiber kriminalcev za ogrožanje majhnih pisarniških in domačih usmerjevalnikov Wi-Fi - skupaj z drugimi omrežnimi napravami - določila za sto tisoč.

Sem le navaden uporabnik - kaj pomeni napad VPNFilter Jaz?

Dobra novica je, da vaš usmerjevalnik verjetno ne bo skrival moteče zlonamerne programske opreme, če ste preverili seznam usmerjevalnikov VPNFilter, ki smo ga navedli zgoraj. Ampak vedno je najbolje, če gremo previdno. Symantec, na primer, zažene VPNFilter Check, tako da lahko preizkusite, ali ste prizadeti ali ne. Zagon preverjanja traja le nekaj sekund.

Zdaj je to stvar. Kaj če ste dejansko okuženi? Raziščite te korake:
  • Ponastavite usmerjevalnik. Nato še enkrat zaženite VPNFilter Check.
  • Ponastavite usmerjevalnik na tovarniške nastavitve.
  • Razmislite o onemogočanju nastavitev oddaljenega upravljanja v svoji napravi.
  • Prenesite najnovejšo vdelano programsko opremo za usmerjevalnik. Dokončajte čisto namestitev vdelane programske opreme, v najboljšem primeru, ne da bi usmerjevalnik vzpostavil spletno povezavo, medtem ko je postopek v teku.
  • Dokončajte celotno skeniranje sistema v računalniku ali napravi, ki je bila povezana z okuženim usmerjevalnikom. Ne pozabite uporabiti zanesljivega orodja za optimizacijo računalnika, ki bo delovalo skupaj z vašim zaupanja vrednim optičnim bralnikom.
  • Zavarujte svoje povezave. Zaščitite se z visokokakovostnim plačljivim VPN-jem z dosežki vrhunske zasebnosti in varnosti v spletu.
  • Navadite se spreminjati privzete poverilnice za prijavo vašega usmerjevalnika ter drugih naprav IoT ali NAS .
  • Namestite in pravilno konfigurirajte požarni zid, da prepreči, da bi slabe stvari ostale v vašem omrežju.
  • Zaščitite svoje naprave z močnimi, enoličnimi gesli.
  • Omogočite šifriranje .

Če potencialno vpliva na vaš usmerjevalnik, je morda dobro, da na spletnem mestu proizvajalca poiščete kakršne koli nove informacije in ukrepe za zaščito svojih naprav. To je takojšen korak, saj vse vaše informacije gredo skozi usmerjevalnik. Ko je usmerjevalnik ogrožen, sta ogroženi zasebnost in varnost vaših naprav.

Povzetek

Zlonamerna programska oprema VPNFilter bi lahko bila ena najmočnejših in najbolj neuničljivih groženj v zadnjem času za poslovne in male pisarniške ali domače usmerjevalnike zgodovino. Prvotno je bil zaznan v omrežnih napravah Linksys, NETGEAR, MikroTik in TP-Link ter napravah QNAP NAS. Seznam prizadetih usmerjevalnikov lahko najdete zgoraj.

VPNFilterja ni mogoče prezreti po sprožitvi približno 500.000 okužb v 54 državah. Deluje v treh stopnjah in onemogoči delovanje usmerjevalnikov, zbira informacije, ki gredo skozi usmerjevalnike, in celo blokira omrežni promet. Odkrivanje in analiziranje njegove mrežne dejavnosti ostaja težko delo.

V tem članku smo opisali načine za zaščito pred zlonamerno programsko opremo in korake, ki jih lahko izvedete, če je bil usmerjevalnik ogrožen. Posledice so strašne, zato nikoli ne smete opravljati pomembne naloge preverjanja naprav.


YouTube Video.: Kako zdaj prepoznati in popraviti zlonamerno programsko opremo VPNFilter

03, 2024