Hvordan identifisere og fikse VPNFilter malware nå (04.27.24)

Ikke all skadelig programvare er likt. Et bevis på dette er eksistensen av VPNFilter malware , en ny type router-malware som har ødeleggende egenskaper. En tydelig egenskap den har er at den kan overleve omstart, i motsetning til de fleste andre Internet of Things (IoT) -trusler.

La denne artikkelen veilede deg gjennom å identifisere VPNFilter-skadelig programvare samt listen over mål. Vi vil også lære deg hvordan du forhindrer at det ødelegger systemet ditt i utgangspunktet.

Hva er VPNFilter skadelig programvare?

Tenk på VPNFilter som destruktiv malware som truer rutere, IoT-enheter og til og med nettverkstilknyttet. lagringsenheter (NAS). Det betraktes som en sofistikert modulær malware-variant som hovedsakelig retter seg mot nettverksenheter fra forskjellige produsenter.

Opprinnelig ble skadelig programvare oppdaget på Linksys, NETGEAR, MikroTik og TP-Link nettverksenheter. Det ble også oppdaget i QNAP NAS-enheter. Til dags dato er det rundt 500 000 infeksjoner i 54 nasjoner, som demonstrerer dets enorme rekkevidde og tilstedeværelse.

Cisco Talos, teamet som eksponerte VPNFilter, gir et omfattende blogginnlegg om malware og tekniske detaljer rundt det. Fra utseendet til det har nettverksutstyr fra ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti og ZTE tegn på infeksjon.

I motsetning til de fleste andre IoT-målrettede malware, er VPNFilter vanskelig å eliminere siden den vedvarer selv etter at systemet har startet på nytt. Å bevise sårbarhet for angrepene er enheter som bruker standard påloggingsinformasjon, eller de med kjente null-dagers sårbarheter som ikke har hatt firmwareoppdateringer ennå.

Enheter kjent for å bli påvirket av VPNFilter Malware

Både rutere for bedrifter og små kontorer eller hjemmekontorer er kjent for å være et mål for denne skadelige programvaren. Legg merke til følgende rutermerker og modeller:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Upvel Devices-ukjente modeller
  • ZTE Devices ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Other QNAP NAS-enheter som kjører QTS-programvare

En fellesnevner blant de fleste målrettede enheter er bruken av standardinformasjon. De har også kjent utnyttelse, spesielt for eldre versjoner.

Hva gjør VPNFilter skadelig programvare mot infiserte enheter?

VPNFilter virker for å forårsake svekkende skade på berørte enheter, og fungerer også som en datainnsamlingsmetode. Det fungerer i tre trinn:

Trinn 1

Dette markerer installasjon og opprettholder en vedvarende tilstedeværelse på en målenhet. Den skadelige programvaren vil kontakte en kommando- og kontrollserver (C & amp; C) for å laste ned flere moduler og avvente instruksjoner. I denne fasen er det flere innebygde permitteringer for å finne trinn 2 C & amp; Cs i tilfelle en infrastrukturendring oppstår mens trusselen blir distribuert. Trinn 1 VPNFilter tåler en omstart.

Trinn 2

Dette inneholder den viktigste nyttelasten. Selv om den ikke klarer å vare ved en omstart, har den flere muligheter. Den er i stand til å samle filer, utføre kommandoer og utføre dataeksfiltrering og enhetsadministrasjon. Fortsetter med sine destruktive effekter, kan skadelig programvare "murstein" enheten når den mottar en kommando fra angriperne. Dette utføres ved å overskrive en del av enhetens fastvare og påfølgende omstart. De kriminelle handlingene gjør enheten ubrukelig.

Trinn 3

Flere kjente moduler av dette eksisterer og fungerer som plugins for trinn 2. Disse består av en pakke sniffer for å spionere på trafikk som er rutet gjennom enheten, og muliggjør tyveri av nettstedets legitimasjon og sporing av Modbus SCADA-protokoller. En annen modul lar trinn 2 kommunisere sikkert via Tor. Basert på Cisco Talos-etterforskningen, gir en modul skadelig innhold til trafikk som går gjennom enheten. På denne måten kan angripere ytterligere påvirke tilkoblede enheter.

6. juni ble to trinn 3-moduler eksponert. Den første kalles "ssler", og den kan fange opp all trafikk som går gjennom enheten ved hjelp av port 80. Den lar angripere se på nettrafikken og avlytte den for å utføre mennesker i midtangrepene. Det kan for eksempel endre HTTPS-forespørsler til HTTP-filer, og sende tilsynelatende krypterte data på en usikker måte. Den andre kalles "dstr", som inkluderer en drepekommando til alle trinn 2-moduler som mangler denne funksjonen. Når den er utført, vil den eliminere alle spor av skadelig programvare før den klemmer enheten.

Her er syv andre trinn 3-moduler avslørt 26. september:
  • htpx - Det fungerer akkurat som ssler, omdirigere og inspisere all HTTP-trafikk som går gjennom den infiserte enheten for å identifisere og logge alle Windows-kjørbare filer. Det kan Trojan-ize kjørbare filer mens de går gjennom infiserte rutere, som lar angripere installere skadelig programvare på forskjellige maskiner som er koblet til samme nettverk.
  • ndbr - Dette anses som et flerfunksjons SSH-verktøy.
  • nm - Denne modulen er et nettverkskartleggingsvåpen for å skanne det lokale delnettet .
  • netfilter - Denne nektelsen av tjenesteprogrammet kan blokkere tilgang til noen krypterte apper.
  • portforwarding - Det videresender nettverkstrafikk til infrastruktur bestemt av angripere.
  • socks5proxy - Det gjør det mulig å opprette en SOCKS5-proxy på sårbare enheter.
Opprinnelsen til VPNFilter avslørt

Dette malware er sannsynligvis arbeidet til en statssponsert hackingsenhet. Innledende infeksjoner ble først og fremst kjent i Ukraina, og tilskrev lett handlingen til hacking-gruppen Fancy Bear og russisk støttede grupper.

Dette illustrerer imidlertid den sofistikerte naturen til VPNFilter. Det kan ikke knyttes til en klar opprinnelse og en spesifikk hackingsgruppe, og noen er ennå ikke til å gå frem for å kreve ansvar for det. Det spekuleres i en nasjonalstatssponsor siden SCADA sammen med andre industrielle systemprotokoller har omfattende malware-regler og målretting.

Hvis du skulle spørre FBI, er VPNFilter imidlertid hjernebarnet til Fancy Bear. Tilbake i mai 2018 beslagla byrået ToKnowAll.com-domenet, antatt å være medvirkende til å installere og styre Stage 2 og 3 VPNFilter. Beslaget hjalp til med å stoppe spredningen av skadelig programvare, men det klarte ikke å takle hovedbildet.

I sin kunngjøring fra 25. mai sender FBI en presserende forespørsel om at brukere skal starte Wi-Fi-rutere på nytt hjemme for å stoppe et stort utenlandsbasert malwareangrep. På den tiden påpekte byrået utenlandske nettkriminelle for å ha kompromittert Wi-Fi-rutere på små kontorer og hjemme - sammen med andre nettverksenheter - med hundre tusen.

Jeg er bare en vanlig bruker - Hva betyr VPNFilter Attack Meg?

Den gode nyheten er at ruteren din sannsynligvis ikke huser skadelig skadelig programvare hvis du sjekket VPNFilter-rutelisten vi ga ovenfor. Men det er alltid best å feile på siden av forsiktighet. Symantec, for en, kjører VPNFilter Check, slik at du kan teste om du er berørt eller ikke. Det tar bare noen sekunder å kjøre sjekken.

Nå, her er tingen. Hva om du faktisk er smittet? Utforsk disse trinnene:
  • Tilbakestill ruteren. Deretter kjører du VPNFilter Check igjen.
  • Tilbakestill ruteren til fabrikkinnstillingene.
  • Vurder å deaktivere eventuelle eksterne administrasjonsinnstillinger på enheten din.
  • Last ned den mest oppdaterte fastvaren for ruteren din. Fullfør en ren firmwareinstallasjon, ideelt sett uten at ruteren oppretter en online-tilkobling mens prosessen er i gang.
  • Fullfør en fullstendig systemskanning på datamaskinen eller enheten din som er koblet til den infiserte ruteren. Ikke glem å bruke et pålitelig PC-optimaliseringsverktøy for å jobbe sammen med din pålitelige skadelig programvare.
  • Sikre tilkoblingene dine. Gjør deg beskyttet med en betalt VPN av høy kvalitet med en oversikt over personvern og sikkerhet på nett.
  • Gjør vanen med å endre standard påloggingsinformasjonen til ruteren din, så vel som andre IoT- eller NAS-enheter. .
  • Ha en brannmur installert og riktig konfigurert for å holde de dårlige tingene utenfor nettverket ditt.
  • Sikre enhetene dine med sterke, unike passord.
  • Aktiver kryptering .

Hvis ruteren din er potensielt berørt, kan det være lurt å sjekke produsentens nettsted for ny informasjon og tiltak for å beskytte enhetene dine. Dette er et øyeblikkelig skritt å ta, siden all informasjonen din går gjennom ruteren din. Når en ruter er kompromittert, står enhetens privatliv og sikkerhet på spill.

Oppsummering

VPNFilter-skadelig programvare kan like godt være en av de sterkeste og mest uforgjengelige truslene for å treffe bedrifts- og små kontor- eller hjemmereuter de siste årene historie. Det ble opprinnelig oppdaget på Linksys, NETGEAR, MikroTik og TP-Link nettverksenheter og QNAP NAS-enheter. Du finner listen over berørte rutere ovenfor.

VPNFilter kan ikke ignoreres etter at 500 000 infeksjoner er startet i 54 land. Den fungerer i tre trinn og gjør rutere ubrukelige, samler informasjon som passerer gjennom ruterne og til og med blokkerer nettverkstrafikk. Å oppdage og analysere nettverksaktiviteten er fortsatt en vanskelig oppgave.

I denne artikkelen skisserte vi måter å beskytte deg mot skadelig programvare og trinnene du kan ta hvis ruteren din er blitt kompromittert. Konsekvensene er alvorlige, så du bør aldri sitte på den viktige oppgaven med å sjekke enhetene dine.

YouTube Video.: Hvordan identifisere og fikse VPNFilter malware nå

04, 2024