Strona główna Bezpieczeństwo Jak rozpoznać złośliwe oprogramowanie VPNFilter, zanim zniszczy ono router

Jak rozpoznać złośliwe oprogramowanie VPNFilter, zanim zniszczy ono router

  • Owen Little
  • 0
  • 3353
  • 681
Reklama

Coraz powszechniejsze jest złośliwe oprogramowanie do routerów, urządzeń sieciowych i Internetu przedmiotów. Większość koncentruje się na infekowaniu wrażliwych urządzeń i dodawaniu ich do potężnych botnetów. Routery i urządzenia Internetu rzeczy (IoT) są zawsze zasilane, zawsze online i czekają na instrukcje. Zatem idealna karma botnetowa.

Ale nie wszystkie złośliwe oprogramowanie jest takie samo.

VPNFilter to destrukcyjne zagrożenie szkodliwym oprogramowaniem dla routerów, urządzeń IoT, a nawet niektórych urządzeń NAS. Jak sprawdzić infekcję złośliwym oprogramowaniem VPNFilter? Jak możesz to posprzątać? Przyjrzyjmy się bliżej VPNFilter.

Co to jest VPNFilter?

VPNFilter to wyrafinowany modułowy wariant złośliwego oprogramowania, który atakuje przede wszystkim urządzenia sieciowe wielu producentów, a także urządzenia NAS. VPNFilter został początkowo znaleziony na urządzeniach sieciowych Linksys, MikroTik, NETGEAR i TP-Link, a także na urządzeniach QNAP NAS, z około 500 000 infekcji w 54 krajach.

Zespół, który odkrył VPNFilter, Cisco Talos, niedawno zaktualizował szczegóły dotyczące złośliwego oprogramowania, wskazując, że urządzenia sieciowe producentów takich jak ASUS, D-Link, Huawei, Ubiquiti, UPVEL i ZTE wykazują teraz infekcje VPNFilter. Jednak w chwili pisania tego tekstu nie dotyczy to żadnych urządzeń sieciowych Cisco.

Szkodnik ten różni się od większości innych szkodliwych programów opartych na IoT, ponieważ utrzymuje się po ponownym uruchomieniu systemu, co utrudnia jego usunięcie. Szczególnie narażone są urządzenia korzystające z domyślnych danych logowania lub znane luki zero-day, które nie otrzymały aktualizacji oprogramowania układowego.

Co robi VPNFilter?

VPNFilter jest więc “wielostopniowa, modułowa platforma” które mogą powodować destrukcyjne uszkodzenie urządzeń. Ponadto może także służyć jako zagrożenie gromadzenia danych. VPNFilter działa w kilku etapach.

Scena 1: VPNFilter Stage 1 ustanawia przyczółek na urządzeniu, kontaktując się z serwerem dowodzenia i kontroli (C&C) w celu pobrania dodatkowych modułów i oczekiwania na instrukcje. Etap 1 ma także wiele wbudowanych redundancji w celu zlokalizowania C & C na etapie 2 w przypadku zmiany infrastruktury podczas wdrażania. Szkodliwe oprogramowanie VPNFilter Stage 1 jest również w stanie przetrwać restart, dzięki czemu jest silnym zagrożeniem.

Etap 2: VPNFilter Stage 2 nie utrzymuje się po ponownym uruchomieniu, ale ma szerszy zakres możliwości. Etap 2 może gromadzić prywatne dane, wykonywać polecenia i zakłócać zarządzanie urządzeniami. Istnieją również różne wersje etapu 2 w środowisku naturalnym. Niektóre wersje są wyposażone w moduł niszczący, który zastępuje partycję oprogramowania układowego urządzenia, a następnie uruchamia się ponownie, aby uniemożliwić korzystanie z urządzenia (złośliwe oprogramowanie blokuje router, IoT lub urządzenie NAS).

Etap 3: Moduły VPNFilter Stage 3 działają jak wtyczki do Stage 2, rozszerzając funkcjonalność VPNFilter. Jeden moduł działa jak sniffer pakietów, który zbiera ruch przychodzący na urządzeniu i kradnie poświadczenia. Inny pozwala złośliwemu oprogramowaniu na etapie 2 na bezpieczną komunikację przy użyciu Tora. Cisco Talos znalazł również jeden moduł, który wstrzykuje złośliwą zawartość do ruchu przechodzącego przez urządzenie, co oznacza, że ​​haker może dostarczać kolejne exploity innym podłączonym urządzeniom za pośrednictwem routera, Internetu Rzeczy lub urządzenia NAS.

Ponadto moduły VPNFilter “pozwalają na kradzież danych uwierzytelniających stronę internetową i monitorowanie protokołów Modbus SCADA.”

Meta udostępniania zdjęć

Kolejną interesującą (ale nie nowo odkrytą) funkcją złośliwego oprogramowania VPNFilter jest korzystanie z usług udostępniania zdjęć online w celu znalezienia adresu IP swojego serwera kontroli. Analiza Talos wykazała, że ​​złośliwe oprogramowanie wskazuje serię adresów URL Photobucket. Szkodnik pobiera pierwszy obraz z galerii, do którego odwołuje się adres URL, i wyodrębnia adres IP serwera ukryty w metadanych obrazu.

Adres IP “jest wyodrębniany z sześciu wartości całkowitych szerokości i długości geograficznej GPS w informacjach EXIF.” Jeśli to się nie powiedzie, złośliwe oprogramowanie z etapu 1 wraca do zwykłej domeny (toknowall.com - więcej na ten temat poniżej), aby pobrać obraz i podjąć próbę wykonania tego samego procesu.

Sniffing pakietów celowanych

Zaktualizowany raport Talos ujawnił kilka interesujących informacji na temat modułu wykrywania pakietów VPNFilter. Zamiast odkurzać wszystko, ma dość ścisły zestaw reguł, które są ukierunkowane na określone rodzaje ruchu. W szczególności ruch z przemysłowych systemów sterowania (SCADA), które łączą się za pomocą sieci VPN TP-Link R600, połączenia z listą wstępnie zdefiniowanych adresów IP (wskazujących zaawansowaną znajomość innych sieci i pożądanego ruchu), a także pakiety danych o wielkości 150 bajtów lub większy.

Craig William, starszy lider technologii i kierownik ds. Globalnego zasięgu w Talos, powiedział Arsowi, “Szukają bardzo konkretnych rzeczy. Nie starają się zebrać jak największego ruchu. Szukają pewnych bardzo małych rzeczy, takich jak dane uwierzytelniające i hasła. Nie mamy na ten temat dużej ilości informacji, poza tym, że wydaje się niewiarygodnie ukierunkowany i niezwykle wyrafinowany. Wciąż próbujemy dowiedzieć się, na kim go używali.”

Skąd się wziął VPNFilter?

VPNFilter jest uważany za dzieło sponsorowanej przez państwo grupy hakerskiej. Że początkowy wzrost infekcji VPNFilter był odczuwalny głównie na Ukrainie, początkowe palce wskazywały na odciski palców wspierane przez Rosję i grupę hakerską Fancy Bear.

Jednak ze względu na złożoność złośliwego oprogramowania nie ma wyraźnej genezy i żadna grupa hakerów, państwo narodowe lub inne podmioty nie wystąpiły z roszczeniem o szkodliwe oprogramowanie. Biorąc pod uwagę szczegółowe zasady złośliwego oprogramowania i atakowanie SCADA i innych protokołów systemu przemysłowego, aktor z państwa narodowego wydaje się najbardziej prawdopodobny.

Niezależnie od tego, co myślę, FBI wierzy, że VPNFilter jest dziełem Fantazyjnego Niedźwiedzia. W maju 2018 r. FBI przejęło domenę - ToKnowAll.com - która została użyta do zainstalowania złośliwego oprogramowania VPNFilter Stage 2 i Stage 3 i sterowania nim. Zajęcie domeny z pewnością pomogło zatrzymać natychmiastowe rozprzestrzenianie się VPNFiltera, ale nie przecięło głównej tętnicy; ukraińska SBU stłumiła na przykład atak VPNFilter na zakład przetwórstwa chemicznego w lipcu 2018 r.

VPNFilter jest również podobny do złośliwego oprogramowania BlackEnergy, trojana APT używanego przeciwko wielu ukraińskim celom. Ponownie, choć nie jest to kompletny dowód, systemowe atakowanie Ukrainy wynika głównie z hakowania grup z rosyjskimi więzami.

Czy jestem zainfekowany VPNFilter?

Możliwe, że twój router nie zawiera złośliwego oprogramowania VPNFilter. Ale zawsze lepiej być bezpiecznym niż żałować:

  1. Sprawdź tę listę dla swojego routera. Jeśli nie ma cię na liście, wszystko jest w porządku.
  2. Możesz przejść do witryny Symantec VPNFilter Check. Zaznacz pole Warunki, a następnie naciśnij Uruchom VPNFilter Check przycisk na środku. Test kończy się w ciągu kilku sekund.

Jestem zainfekowany VPNFilter: Co mam zrobić?

Jeśli program Symantec VPNFilter Check potwierdzi, że router jest zainfekowany, masz wyraźny kierunek działania.

  1. Zresetuj router, a następnie ponownie uruchom VPNFilter Check.
  2. Zresetuj router do ustawień fabrycznych.
  3. Pobierz najnowsze oprogramowanie układowe routera i zakończ czystą instalację oprogramowania układowego, najlepiej bez nawiązywania połączenia routera przez Internet podczas procesu.

Ponadto musisz wykonać pełne skanowanie systemu na każdym urządzeniu podłączonym do zainfekowanego routera.

Zawsze powinieneś zmieniać domyślne dane logowania routera, a także dowolne urządzenia IoT lub NAS (urządzenia IoT nie ułatwiają tego zadania. Dlaczego Internet przedmiotów jest największym koszmarem bezpieczeństwa Dlaczego Internet przedmiotów jest największym koszmarem bezpieczeństwa Pewnego dnia wracasz do domu z pracy, aby odkryć, że został naruszony Twój domowy system bezpieczeństwa w chmurze. Jak to się mogło stać? Dzięki Internetowi rzeczy (IoT) możesz dowiedzieć się na własnej skórze, jeśli to możliwe. Ponadto, chociaż istnieją dowody na to, że VPNFilter może ominąć niektóre zapory, posiadając jedną zainstalowaną i odpowiednio skonfigurowaną 7 prostych wskazówek, aby zabezpieczyć router i sieć Wi-Fi w kilka minut 7 prostych wskazówek, aby zabezpieczyć router i sieć Wi-Fi w kilka minut Czy ktoś wącha i podsłuchuje ruch Wi-Fi, kradnie hasła i numery kart kredytowych? Czy w ogóle wiesz, czy ktoś był? Prawdopodobnie nie, więc zabezpiecz swoją sieć bezprzewodową, wykonując 7 prostych kroków. pomoże utrzymać wiele innych nieprzyjemnych rzeczy poza siecią.

Uważaj na złośliwe oprogramowanie routera!

Szkodliwe oprogramowanie routerów jest coraz bardziej powszechne. Złośliwe oprogramowanie i luki w zabezpieczeniach IoT są wszędzie, a wraz z liczbą podłączonych urządzeń będzie się tylko pogarszać. Router jest punktem centralnym dla danych w domu. Jednak nie otrzymuje prawie tyle samo uwagi bezpieczeństwa, co inne urządzenia.

Mówiąc prosto, router nie jest bezpieczny, jak myślisz. 10 sposobów, w jaki router nie jest tak bezpieczny, jak myślisz. 10 sposobów, w jaki router nie jest tak bezpieczny, jak myślisz. Oto 10 sposobów wykorzystania routera przez hakerów i przez porywaczy bezprzewodowych. .




Jeszcze bez komentarzy

Jak zdobyć zwolenników jakości na Tumblr
Android
Jak zmodyfikować urządzenie z Androidem, aby uzyskać lepszą jakość gier
Android
Rób zdjęcia makro bez obiektywu makro - oto jak to zrobić
Android
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.