A VPNFilter malware észlelése, mielőtt elpusztítja az útválasztót

A VPNFilter malware észlelése, mielőtt elpusztítja az útválasztót

Az útválasztó, a hálózati eszköz és a dolgok internete rosszindulatú programok egyre gyakoribbak. A legtöbben a sérülékeny eszközök megfertőzésére és az erős robothálózatok hozzáadására összpontosítanak. Az útválasztók és a dolgok internete (IoT) eszközök mindig be vannak kapcsolva, mindig online, és várják az utasításokat. Akkor tökéletes botnet takarmány.





De nem minden rosszindulatú program egyforma.



A VPNFilter romboló kártevő fenyegetést jelent az útválasztókra, az IoT-eszközökre és még néhány hálózathoz csatlakoztatott tárolóeszközre is. Hogyan ellenőrizheti a VPNFilter malware fertőzést? És hogyan lehet tisztítani? Nézzük meg közelebbről a VPNFilter -t.





Mi az a VPNFilter?

A VPNFilter egy kifinomult moduláris kártevő -változat, amely elsősorban a gyártók széles körének hálózati eszközeit, valamint a NAS -eszközöket célozza meg. A VPNFilter eredetileg a Linksys, a MikroTik, a NETGEAR és a TP-Link hálózati eszközökön, valamint a QNAP NAS eszközökön volt megtalálható, 54 országban mintegy 500 000 fertőzéssel.

Az csapat, amely feltárta a VPNFiltert , Cisco Talos, nemrég frissített részletek a rosszindulatú programokkal kapcsolatban, jelezve, hogy az olyan gyártók hálózati berendezései, mint az ASUS, a D-Link, a Huawei, az Ubiquiti, az UPVEL és a ZTE, most VPNFilter fertőzéseket mutatnak. A cikk írásakor azonban ez nem érinti a Cisco hálózati eszközeit.



A rosszindulatú program eltér a legtöbb más IoT-központú rosszindulatú programtól, mert a rendszer újraindítása után is fennáll, ami megnehezíti az irtást. Különösen sérülékenyek azok az eszközök, amelyek az alapértelmezett bejelentkezési adataikat használják, vagy ismert nulla napos biztonsági résekkel rendelkeznek, és nem kaptak firmware-frissítéseket.

mit jelent a nem biztosított SIM -kártya

Mit csinál a VPNFilter?

Tehát a VPNFilter egy „többlépcsős, moduláris platform”, amely romboló kárt okozhat az eszközökben. Ezenkívül adatgyűjtési fenyegetésként is szolgálhat. A VPNFilter több szakaszban működik.



1. szakasz: A VPNFilter Stage 1 létrehoz egy beachheadet az eszközön, és felveszi a kapcsolatot a parancs- és vezérlőszerverével (C&C) további modulok letöltéséhez és az utasítások megvárásához. Az 1. szakasznak több beépített redundanciája is van, hogy megkeresse a 2. szakasz C & Cs -jét, ha a telepítés során infrastruktúra megváltozik. Az 1. szakasz VPNFilter rosszindulatú programja képes túlélni az újraindítást is, ami komoly veszélyt jelent.

2. szakasz: A VPNFilter Stage 2 nem folytatódik újraindításkor, de szélesebb körű képességekkel rendelkezik. A 2. szakasz privát adatokat gyűjthet, parancsokat hajthat végre, és zavarhatja az eszközkezelést. Ezenkívül a Stage 2 különböző változatai léteznek a vadonban. Egyes verziók destruktív modullal vannak felszerelve, amely felülírja az eszköz firmware -jének egy partícióját, majd újraindul, hogy használhatatlanná tegye az eszközt (a rosszindulatú program alapvetően lezárja az útválasztót, az IoT vagy a NAS eszközt).



3. szakasz: A VPNFilter Stage 3 modulok úgy működnek, mint a Stage 2 beépülő moduljai, kiterjesztve a VPNFilter funkcionalitását. Az egyik modul csomagszaglóként működik, amely összegyűjti a bejövő forgalmat az eszközön, és ellopja a hitelesítő adatokat. Egy másik lehetővé teszi, hogy a Stage 2 kártevő biztonságosan kommunikáljon a Tor segítségével. A Cisco Talos egy modult is talált, amely rosszindulatú tartalmat fecskendez az eszközön áthaladó forgalomba, vagyis a hacker további kihasználásokat tud továbbítani más csatlakoztatott eszközökre egy útválasztón, IoT vagy NAS eszközön keresztül.

Ezenkívül a VPNFilter modulok „lehetővé teszik a webhely hitelesítő adatainak ellopását és a Modbus SCADA protokollok figyelését”.

Fotómegosztó Meta

A VPNFilter rosszindulatú programok másik érdekes (de nem újonnan felfedezett) tulajdonsága, hogy online fényképmegosztó szolgáltatásokat használ a C&C szerver IP -címének megkereséséhez. A Talos elemzés megállapította, hogy a rosszindulatú program egy sor Photobucket URL -re mutat. A rosszindulatú program letölti a galériában található első képet, az URL -referenciákat, és kibontja a kép metaadataiban rejtett szerver IP -címet.

Az IP -címet a GPS szélességi és hosszúsági hat egész értékből nyerjük ki az EXIF ​​információban. ' Ha ez nem sikerül, az 1. szakasz rosszindulatú programja visszatér egy normál tartományhoz (toknowall.com --- erről bővebben alább), hogy letöltse a képet, és megpróbálja ugyanazt a folyamatot.

Célzott csomagszippantás

A frissített Talos -jelentés érdekes betekintést tárt fel a VPNFilter csomagszippantási modulban. Ahelyett, hogy mindent csak feldobna, meglehetősen szigorú szabályrendszerrel rendelkezik, amely meghatározott típusú forgalmat céloz meg. Konkrétan a TP-Link R600 VPN-ekkel csatlakozó ipari vezérlőrendszerekből (SCADA) származó forgalom, az előre meghatározott IP-címek listájához való kapcsolódások (jelezve a más hálózatok fejlett ismereteit és a kívánatos forgalmat), valamint 150 bájtos adatcsomagok vagy nagyobb.

Craig William, vezető technológiai vezető és a Talos globális tájékoztatási menedzsere, - mesélte Ars „Nagyon konkrét dolgokat keresnek. Nem próbálnak annyi forgalmat összegyűjteni, amennyit csak tudnak. Bizonyos nagyon apró dolgokra vágynak, mint például a hitelesítő adatok és a jelszavak. Nincs sok információnk erről, csak hihetetlenül célzottnak és hihetetlenül kifinomultnak tűnik. Még mindig próbáljuk kitalálni, hogy kire használták.

Honnan jött a VPNFilter?

Úgy gondolják, hogy a VPNFilter egy államilag támogatott hackercsoport munkája. A kezdeti VPNFilter fertőzés-hullám túlnyomórészt Ukrajnában volt érezhető, a kezdeti ujjak az orosz hátú ujjlenyomatokra és a hackerek csoportjára, a Fancy Bearra mutattak.

Azonban ilyen kifinomult a rosszindulatú program, nincs egyértelmű keletkezés, és hackercsoport, nemzetállami vagy más, nem lépett előre a kártevő igényléséhez. Tekintettel a rosszindulatú programok részletes szabályaira, valamint a SCADA és más ipari rendszerprotokollok célzására, egy nemzetállami szereplő tűnik a legvalószínűbbnek.

Függetlenül attól, hogy mit gondolok, az FBI úgy véli, hogy a VPNFilter egy Fancy Bear alkotás. 2018 májusában az FBI lefoglaltak egy domaint --- ToKnowAll.com --- azt hitték, hogy a Stage 2 és Stage 3 VPNFilter rosszindulatú programok telepítésére és parancsaira használták. A domain lefoglalása minden bizonnyal segített megállítani a VPNFilter azonnali terjedését, de nem szakította meg a fő artériát; az ukrán SBU 2018 júliusában levette a VPNFilter támadást egy vegyi feldolgozó üzem ellen.

az alkalmazásadatokhoz való hozzáférés megtagadva Windows 10

A VPNFilter hasonlóságot mutat a BlackEnergy kártevővel, egy APT trójai programmal, amelyet számos ukrán célpont ellen használnak. Ismétlem, bár ez messze nem teljes bizonyíték, Ukrajna szisztémás célzása elsősorban az orosz kapcsolatokkal rendelkező csoportok feltöréséből fakad.

Fertőzött vagyok a VPNFilterrel?

Valószínű, hogy az útválasztó nem tartalmaz VPNFilter kártevőt. De mindig jobb biztonságban lenni, mint sajnálni:

  1. Ellenőrizze ezt a listát a routerhez. Ha nem szerepel a listán, minden rendben van.
  2. Léphet a Symantec VPNFilter Check webhelyre. Jelölje be az Általános Szerződési Feltételeket, majd nyomja meg a gombot Futtassa a VPNFilter Check programot gomb középen. A teszt másodpercen belül befejeződik.

Megfertőződtem a VPNFilterrel: Mit tegyek?

Ha a Symantec VPNFilter Check megerősíti, hogy az útválasztó fertőzött, akkor egyértelmű lépéseket kell tennie.

  1. Állítsa alaphelyzetbe az útválasztót, majd futtassa újra a VPNFilter Check alkalmazást.
  2. Állítsa vissza az útválasztót a gyári beállításokra.
  3. Töltse le a legújabb firmware -t az útválasztóhoz, és végezzen tiszta firmware -telepítést, lehetőleg anélkül, hogy az útválasztó online kapcsolatot létesítene a folyamat során.

Ezenkívül teljes rendszervizsgálatot kell végeznie a fertőzött útválasztóhoz csatlakoztatott minden eszközön.

Ha lehetséges, mindig módosítsa az útválasztó alapértelmezett bejelentkezési adatait, valamint minden IoT- vagy NAS -eszközt (az IoT -eszközök nem könnyítik meg ezt a feladatot). Továbbá, bár vannak bizonyítékok arra, hogy a VPNFilter elkerülheti néhány tűzfalat, telepítve és megfelelően konfigurálva segít elkerülni sok más csúnya dolgot a hálózatán.

Vigyázzon a Router malware -re!

A router rosszindulatú programjai egyre gyakoribbak. Az IoT rosszindulatú programjai és sebezhetőségei mindenütt jelen vannak, és az internetre érkező eszközök számával csak rosszabb lesz. Az útválasztó az otthoni adatok központja. Ennek ellenére közel sem kap annyi biztonsági figyelmet, mint más eszközök.

Egyszerűen fogalmazva, az útválasztó nem biztonságos, ahogy gondolja.

Részvény Részvény Csipog Email Kezdő útmutató a beszéd animálásához

A beszéd animálása kihívást jelenthet. Ha készen áll arra, hogy párbeszédet adjon hozzá a projekthez, akkor lebontjuk a folyamatot.

Olvassa tovább Kapcsolódó témák
  • Biztonság
  • Router
  • Online biztonság
  • A dolgok internete
  • Rosszindulatú
A szerzőről Gavin Phillips(945 megjelent cikk)

Gavin a Windows és a Technology Explained junior szerkesztője, rendszeresen közreműködik a Valóban hasznos podcastban, és rendszeres termékértékelő. BA (Hons) kortárs írással és digitális művészeti gyakorlatokkal rendelkezik a devoni domboktól, valamint több mint egy évtizedes szakmai írói tapasztalattal rendelkezik. Rengeteg teát, társasjátékokat és focit élvez.

ingyenes hívóalkalmazás iphone wifi -hez
Továbbiak Gavin Phillips -től

Iratkozzon fel hírlevelünkre

Csatlakozz hírlevelünkhöz, ahol technikai tippeket, értékeléseket, ingyenes e -könyveket és exkluzív ajánlatokat találsz!

Feliratkozáshoz kattintson ide