Cum să detectați VPNFilter malware înainte ca acesta să vă distrugă routerul

Cum să detectați VPNFilter malware înainte ca acesta să vă distrugă routerul

Routerul, dispozitivul de rețea și malware-ul Internet of Things sunt din ce în ce mai frecvente. Cei mai mulți se concentrează pe infectarea dispozitivelor vulnerabile și pe adăugarea lor la botnet-uri puternice. Routerele și dispozitivele Internet of Things (IoT) sunt întotdeauna alimentate, întotdeauna online și așteaptă instrucțiuni. Furaje perfecte pentru botnet, atunci.





Dar nu toate malware-urile sunt la fel.



VPNFilter este o amenințare malware distructivă pentru routerele, dispozitivele IoT și chiar unele dispozitive de stocare conectate la rețea (NAS). Cum verificați dacă există o infecție malware VPNFilter? Și cum o poți curăța? Să aruncăm o privire mai atentă la VPNFilter.





Ce este VPNFilter?

VPNFilter este o variantă sofisticată modulară de malware care vizează în principal dispozitive de rețea de la o gamă largă de producători, precum și dispozitive NAS. VPNFilter a fost găsit inițial pe dispozitivele de rețea Linksys, MikroTik, NETGEAR și TP-Link, precum și pe dispozitivele QNAP NAS, cu aproximativ 500.000 de infecții în 54 de țări.

The echipa care a descoperit VPNFilter , Cisco Talos, detalii actualizate recent în ceea ce privește malware-ul, indicând faptul că echipamentele de rețea de la producători precum ASUS, D-Link, Huawei, Ubiquiti, UPVEL și ZTE prezintă acum infecții VPNFilter. Cu toate acestea, la momentul scrierii, niciun dispozitiv de rețea Cisco nu este afectat.



Programul malware este diferit de majoritatea celorlalte programe malware centrate pe IoT, deoarece persistă după repornirea sistemului, ceea ce face dificilă eradicarea. Dispozitivele care folosesc acreditările lor de autentificare implicite sau cu vulnerabilități cunoscute de zero zile care nu au primit actualizări de firmware sunt deosebit de vulnerabile.

unde pot imprima documente din e-mailul meu

Ce face VPNFilter?

Deci, VPNFilter este o „platformă modulară în mai multe etape” care poate provoca daune distructive dispozitivelor. Mai mult, poate servi și ca o amenințare de colectare a datelor. VPNFilter funcționează în mai multe etape.



Etapa 1: VPNFilter Stage 1 stabilește un cap de plajă pe dispozitiv, contactând serverul de comandă și control (C&C) pentru a descărca module suplimentare și aștepta instrucțiuni. Etapa 1 are, de asemenea, mai multe redundanțe încorporate pentru a localiza etapele 2 C&C în cazul schimbării infrastructurii în timpul implementării. Malware-ul Stage 1 VPNFilter este, de asemenea, capabil să supraviețuiască unei reporniri, făcându-l o amenințare robustă.

Etapa 2: VPNFilter Etapa 2 nu persistă printr-o repornire, dar vine cu o gamă mai largă de capabilități. Etapa 2 poate colecta date private, executa comenzi și interfera cu gestionarea dispozitivelor. De asemenea, există diferite versiuni ale Etapei 2 în sălbăticie. Unele versiuni sunt echipate cu un modul distructiv care suprascrie o partiție a firmware-ului dispozitivului, apoi repornește pentru a face dispozitivul inutilizabil (malware-ul împiedică routerul, IoT sau dispozitivul NAS, practic).



Etapa 3: Modulele VPNFilter Stage 3 funcționează ca pluginuri pentru Etapa 2, extinzând funcționalitatea VPNFilter. Un modul acționează ca un sniffer de pachete care colectează traficul de pe dispozitiv și fură acreditările. Altul permite malware-ului din etapa 2 să comunice în siguranță folosind Tor. Cisco Talos a găsit, de asemenea, un modul care injectează conținut rău intenționat în traficul care trece prin dispozitiv, ceea ce înseamnă că hackerul poate livra exploatări către alte dispozitive conectate printr-un router, IoT sau dispozitiv NAS.

În plus, modulele VPNFilter „permit furtul acredităților site-ului web și monitorizarea protocoalelor Modbus SCADA”.

Meta de partajare a fotografiilor

O altă caracteristică interesantă (dar nu recent descoperită) a malware-ului VPNFilter este utilizarea serviciilor online de partajare a fotografiilor pentru a găsi adresa IP a serverului său C&C. Analiza Talos a constatat că malware-ul indică o serie de adrese URL Photobucket. Programul malware descarcă prima imagine din galerie referințele URL și extrage o adresă IP a serverului ascunsă în metadatele imaginii.

Adresa IP „este extrasă din șase valori întregi pentru latitudinea și longitudinea GPS în informațiile EXIF.” Dacă acest lucru eșuează, malware-ul din etapa 1 revine la un domeniu obișnuit (toknowall.com --- mai multe despre acest lucru mai jos) pentru a descărca imaginea și a încerca același proces.

Adulmecarea pachetelor vizate

Raportul Talos actualizat a dezvăluit câteva informații interesante despre modulul de detectare a pachetelor VPNFilter. Mai degrabă decât simpla acaparare a tuturor, are un set destul de strict de reguli care vizează anumite tipuri de trafic. Mai exact, traficul de la sistemele de control industrial (SCADA) care se conectează utilizând VPN-uri TP-Link R600, conexiuni la o listă de adrese IP predefinite (care indică o cunoaștere avansată a altor rețele și trafic dorit), precum și pachete de date de 150 de octeți sau mai mare.

Craig William, lider senior în tehnologie și manager global de informare la Talos, i-a spus lui Ars „Caută lucruri foarte specifice. Nu încearcă să adune cât mai mult trafic. Urmăresc anumite lucruri foarte mici, cum ar fi acreditări și parole. Nu avem multe informații despre asta, în afară de faptul că pare incredibil de vizat și incredibil de sofisticat. Încă încercăm să ne dăm seama pe cine foloseau asta.

De unde a venit VPNFilter?

Se consideră că VPNFilter este opera unui grup de hacking sponsorizat de stat. Că creșterea inițială a infecției VPNFilter a fost resimțită în principal în toată Ucraina, degetele inițiale arătând spre amprentele cu sprijin rusesc și grupul de hacking, Fancy Bear.

Cu toate acestea, o astfel de sofisticare a malware-ului nu există o geneză clară și niciun grup de hacking, stat național sau altfel, nu a făcut un pas înainte pentru a revendica malware-ul. Având în vedere regulile detaliate privind malware-ul și direcționarea SCADA și a altor protocoale ale sistemului industrial, un actor de stat național pare cel mai probabil.

Indiferent de ceea ce cred, FBI crede că VPNFilter este o creație Fancy Bear. În mai 2018, FBI-ul a confiscat un domeniu --- ToKnowAll.com --- se credea că a fost folosit pentru a instala și comanda malware-ul Etapa 2 și Etapa 3 VPNFilter. Sechestrarea domeniului a contribuit cu siguranță la oprirea răspândirii imediate a VPNFilter, dar nu a rupt artera principală; SBU ucrainean a luat în jos un atac VPNFilter asupra unei fabrici de prelucrare chimică în iulie 2018, pentru unul.

cum să ștergeți RAM pe Windows 10

VPNFilter prezintă, de asemenea, similarități cu malware-ul BlackEnergy, un troian APT utilizat împotriva unei game largi de ținte ucrainene. Din nou, deși acest lucru este departe de a fi dovezi complete, direcționarea sistemică a Ucrainei provine în principal din hacking-urile grupurilor cu legături rusești.

Sunt infectat cu VPNFilter?

Este posibil ca routerul dvs. să nu găzduiască malware-ul VPNFilter. Dar este întotdeauna mai bine să fii în siguranță decât să-ți pară rău:

  1. Verificați această listă pentru router. Dacă nu ești pe listă, totul este în regulă.
  2. Puteți accesa site-ul Symantec VPNFilter Check. Bifați caseta Termeni și condiții, apoi apăsați pe Rulați VPNFilter Check buton din mijloc. Testul se finalizează în câteva secunde.

Sunt infectat cu VPNFilter: Ce fac?

Dacă Symantec VPNFilter Check confirmă faptul că routerul dvs. este infectat, aveți un curs clar de acțiune.

  1. Resetați routerul, apoi rulați din nou VPNFilter Check.
  2. Resetați routerul la setările din fabrică.
  3. Descărcați cel mai recent firmware pentru routerul dvs. și finalizați o instalare de firmware curată, de preferință fără ca routerul să realizeze o conexiune online în timpul procesului.

În plus, trebuie să finalizați scanări complete ale sistemului pe fiecare dispozitiv conectat la routerul infectat.

Ar trebui să schimbați întotdeauna datele de conectare implicite ale routerului, precum și orice dispozitiv IoT sau NAS (dispozitivele IoT nu ușurează această sarcină), dacă este posibil. De asemenea, deși există dovezi că VPNFilter poate sustrage unele firewall-uri, având unul instalat și configurat corespunzător vă va ajuta să păstrați multe alte lucruri urâte în afara rețelei dvs.

Ferește-te de malware-ul routerului!

Routerele malware sunt din ce în ce mai frecvente. Programele malware și vulnerabilitățile IoT sunt peste tot și, odată cu numărul de dispozitive care vin online, nu vor face decât să se înrăutățească. Ruterul dvs. este punctul focal pentru date în casa dvs. Cu toate acestea, nu primește aproape la fel de multă atenție de securitate ca alte dispozitive.

Pur și simplu, routerul dvs. nu este sigur așa cum credeți.

Acțiune Acțiune Tweet E-mail Un ghid pentru începători pentru vorbirea animată

Animarea vorbirii poate fi o provocare. Dacă sunteți gata să începeți să adăugați dialog la proiectul dvs., vom descompune procesul pentru dvs.

Citiți în continuare Subiecte asemănătoare
  • Securitate
  • Router
  • Securitate online
  • internetul Lucrurilor
  • Programe malware
Despre autor Gavin Phillips(945 articole publicate)

Gavin este Junior Editor pentru Windows și Technology Explained, un colaborator obișnuit la Podcast-ul cu adevărat util și un recenzent obișnuit de produse. Are un BA (Hons) Scriere contemporană cu practici de artă digitală jefuit de pe dealurile din Devon, precum și peste un deceniu de experiență scrisă profesională. Îi place cantități abundente de ceai, jocuri de societate și fotbal.

cum să rulezi Linux pe Android
Mai multe de la Gavin Phillips

Aboneaza-te la newsletter-ul nostru

Alăturați-vă newsletter-ului pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!

Faceți clic aici pentru a vă abona