Как да идентифицирам и коригирам злонамерен софтуер VPNFilter сега (04.26.24)

Не всички зловредни програми са еднакви. Едно доказателство за това е съществуването на VPNFilter зловреден софтуер , нова порода рутерен зловреден софтуер, който има разрушителни свойства. Една отличителна характеристика, която има, е, че може да оцелее при рестартиране, за разлика от повечето други заплахи за Интернет на нещата (IoT).

Нека тази статия ви води чрез идентифициране на зловредния софтуер VPNFilter, както и списъка му с цели. Също така ще ви научим как първо да предотвратите хаоса във вашата система.

Какво е злонамерен софтуер VPNFilter?

Мислете за VPNFilter като разрушителен злонамерен софтуер, който заплашва рутери, IoT устройства и дори мрежово свързан устройства за съхранение (NAS). Счита се за сложен модулен вариант на злонамерен софтуер, който е насочен главно към мрежови устройства от различни производители.

Първоначално зловредният софтуер беше открит на мрежовите устройства Linksys, NETGEAR, MikroTik и TP-Link. Открито е и в устройствата QNAP NAS. Към днешна дата има около 500 000 инфекции в 54 държави, демонстриращи огромния му обхват и присъствие.

Cisco Talos, екипът, който изложи VPNFilter, предоставя обширна публикация в блога за зловредния софтуер и техническите подробности около него. От външния си вид мрежовото оборудване от ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti и ZTE има признаци на инфекция.

За разлика от повечето други насочени към IoT зловредни програми, VPNFilter е трудно да се премахне, тъй като продължава дори след рестартиране на системата. Доказали се, че са уязвими за атаките му, са устройства, които използват своите идентификационни данни за вход по подразбиране или такива с известни уязвимости за нулев ден, които все още не са имали актуализации на фърмуера.

Устройства, за които е известно, че са засегнати от VPNFilter Malware

Известно е, че както корпоративните, така и рутерите за малък офис или домашен офис са обект на този зловреден софтуер. Обърнете внимание на следните марки и модели рутери:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Upvel Devices -неизвестни модели
  • ZTE Devices ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Други QNAP NAS устройства, работещи с QTS софтуер

Общ знаменател сред повечето от целевите устройства е използването на идентификационни данни по подразбиране. Те също имат познати експлойти, особено за по-стари версии.

Какво прави зловредният софтуер VPNFilter на заразените устройства?

VPNFilter работи, за да причини обезсилящи щети на засегнатите устройства, както и да служи като метод за събиране на данни. Работи на три етапа:

Етап 1

Това маркира инсталирането и поддържането на постоянно присъствие на целевото устройство. Злонамереният софтуер ще се свърже със сървър за управление и управление (C & amp; C), за да изтегли допълнителни модули и да изчака инструкции. На тази фаза има множество вградени съкращения за намиране на C & amp; C на етап 2, в случай че настъпи промяна в инфраструктурата, докато заплахата е разгърната. VPNFilter от етап 1 може да издържи на рестартиране.

Етап 2

Това включва основния полезен товар. Въпреки че не може да продължи чрез рестартиране, той има повече възможности. Той е в състояние да събира файлове, да изпълнява команди и да извършва дефилтрация на данни и управление на устройства. Продължавайки своите разрушителни ефекти, зловредният софтуер може да „тухли“ устройството, след като получи команда от нападателите. Това се изпълнява чрез презаписване на част от фърмуера на устройството и последващо рестартиране. Престъпните деяния правят устройството неизползваемо.

Етап 3

Няколко известни модула от това съществуват и действат като плъгини за Етап 2. Те включват пакетно снифър, който да шпионира трафика, насочен през устройството, което позволява кражба на идентификационни данни на уебсайта проследяване на протоколи Modbus SCADA. Друг модул позволява на Stage 2 сигурна комуникация чрез Tor. Въз основа на разследването на Cisco Talos, един модул предоставя злонамерено съдържание на трафика, който преминава през устройството. По този начин нападателите могат да повлияят допълнително на свързани устройства.

На 6 юни бяха изложени още два модула от етап 3. Първият се нарича „ssler“ и той може да прихваща целия трафик, преминаващ през устройството, използвайки порт 80. Той позволява на нападателите да виждат уеб трафика и да го прихващат, за да изпълняват човек в средата на атаките. Той може например да промени HTTPS заявките на HTTP такива, като изпраща уж криптирани данни по несигурен начин. Вторият е наречен „dstr“, който включва команда за убиване на всеки модул от Етап 2, който няма тази функция. Веднъж изпълнен, той ще премахне всички следи от зловредния софтуер, преди да огради устройството.

Ето още седем модула от етап 3, разкрити на 26 септември:
  • htpx - Работи точно като ssler, пренасочване и проверка на целия HTTP трафик, преминаващ през заразеното устройство, за да се идентифицират и регистрират всички изпълними файлове на Windows. Той може да троянски-изпълнява изпълними файлове, докато преминава през заразени рутери, които позволяват на нападателите да инсталират злонамерен софтуер на различни машини, свързани към една и съща мрежа.
  • ndbr - Това се счита за многофункционален SSH инструмент.
  • nm - Този модул е ​​оръжие за картографиране на мрежа за сканиране на локалната подмрежа .
  • netfilter - Тази помощна програма за отказ на услуга може да блокира достъпа до някои криптирани приложения.
  • portforwarding - Пренасочва мрежовия трафик към инфраструктура, определена от нападатели.
  • socks5proxy - Позволява прокси SOCKS5 да бъде установен на уязвими устройства.
Разкрит произход на VPNFilter

Това зловредният софтуер вероятно е дело на финансиран от държавата хакерски субект. Първоначалните инфекции се усещаха предимно в Украйна, като лесно се приписваше на хакерската група Fancy Bear и подкрепяните от Русия групи.

Това обаче илюстрира сложната природа на VPNFilter. Той не може да бъде свързан с ясен произход и конкретна хакерска група и някой все още не е пристъпил напред, за да поеме отговорност за това. Спекулира се за спонсор на национална държава, тъй като SCADA, заедно с други протоколи от индустриалната система, разполагат с изчерпателни правила за злонамерен софтуер и насочване.

Ако трябва да попитате ФБР обаче, VPNFilter е идеята на Fancy Bear. Още през май 2018 г. агенцията конфискува домейна ToKnowAll.com, за който се смята, че е от съществено значение за инсталирането и командването на VPNFilter на Stage 2 и 3. Изземването помогна да се спре разпространението на зловредния софтуер, но не успя да се справи с основния имидж.

В съобщението си от 25 май ФБР отправя спешна молба към потребителите да рестартират своите Wi-Fi рутери у дома, за да спрат голяма чуждестранна атака на злонамерен софтуер. По това време агенцията определи чуждестранните киберпрестъпници за компрометиране на малки офис и домашни Wi-Fi рутери - заедно с други мрежови устройства - със сто хиляди.

Аз съм просто обикновен потребител - какво означава VPNFilter Attack Аз?

Добрата новина е, че вашият рутер вероятно няма да крие досаден зловреден софтуер, ако сте проверили списъка с маршрутизатори VPNFilter, който предоставихме по-горе. Но винаги е най-добре да грешите от страна на предпазливостта. Symantec, например, изпълнява VPNFilter Check, за да можете да тествате дали сте засегнати или не. Извършването на проверката отнема само няколко секунди.

Сега, това е нещото. Ами ако всъщност сте заразени? Разгледайте тези стъпки:
  • Нулирайте рутера си. След това стартирайте VPNFilter Check още веднъж.
  • Възстановете фабричните настройки на рутера си.
  • Помислете дали да не деактивирате настройките за дистанционно управление на вашето устройство.
  • Изтеглете най-актуализирания фърмуер за вашия рутер. Завършете чиста инсталация на фърмуера, в идеалния случай, без рутерът да прави онлайн връзка, докато процесът е в ход.
  • Завършете пълно сканиране на системата на вашия компютър или устройство, което е свързано към заразения рутер. Не забравяйте да използвате надежден инструмент за оптимизиране на компютър, за да работите заедно с вашия надежден скенер за злонамерен софтуер.
  • Защитете връзките си. Защитете се с висококачествена платена VPN с рекорд за първокласна онлайн поверителност и сигурност.
  • Вземете навика да променяте идентификационните данни за вход по подразбиране на вашия рутер, както и на други IoT или NAS устройства .
  • Инсталирайте и конфигурирайте правилно защитна стена, за да предпазите лошите неща от вашата мрежа.
  • Защитете устройствата си със силни, уникални пароли.
  • Активирайте криптирането .

Ако вашият рутер е потенциално засегнат, може да е добра идея да се консултирате с уебсайта на производителя за нова информация и стъпки за защита на вашите устройства. Това е незабавна стъпка, тъй като цялата ви информация преминава през вашия рутер. Когато маршрутизаторът е компрометиран, поверителността и сигурността на вашите устройства са заложени.

Резюме

Злонамереният софтуер VPNFilter може да бъде една от най-силните и неразрушими заплахи за удари на корпоративни и малки офис или домашни рутери през последните история. Първоначално е открит на мрежови устройства Linksys, NETGEAR, MikroTik и TP-Link и на QNAP NAS устройства. Можете да намерите списъка със засегнатите рутери по-горе.

VPNFilter не може да бъде игнориран след иницииране на около 500 000 инфекции в 54 държави. Той работи на три етапа и прави рутерите неработоспособни, събира информация, която преминава през маршрутизаторите, и дори блокира мрежовия трафик. Откриването, както и анализирането на неговата мрежова активност остава трудно начинание.

В тази статия посочихме начини да се защитите от зловредния софтуер и стъпките, които можете да предприемете, ако вашият рутер е бил компрометиран. Последиците са ужасни, така че никога не трябва да се занимавате с важната задача да проверявате устройствата си.

YouTube Video.: Как да идентифицирам и коригирам злонамерен софтуер VPNFilter сега

04, 2024