Hogyan kell felismerni a VPNFilter rosszindulatú programokat, mielőtt elpusztítja az útválasztót

Hirdetés

Az útválasztó, a hálózati eszköz és a tárgyak internete rosszindulatú programja egyre gyakoribb. Leginkább a sebezhető eszközök megfertőzésére és az erőteljes botnetekhez történő hozzáadására összpontosítanak. Az útválasztók és a tárgyak internete (IoT) eszközök mindig be vannak kapcsolva, mindig online és várnak utasításokat. Akkor tökéletes botnet-takarmány.

De nem minden rosszindulatú program azonos.

A VPNFilter pusztító malware fenyegetést jelent útválasztók, IoT eszközök és még néhány hálózathoz csatlakoztatott tároló (NAS) eszköz számára. Hogyan lehet ellenőrizni a VPNFilter malware fertőzést? És hogyan lehet megtisztítani? Vessünk közelebbről a VPNFilter alkalmazást.

Mi a VPNFilter?

A VPNFilter egy kifinomult moduláris malware változat, amely elsősorban a gyártók széles körének hálózati eszközeire, valamint a NAS eszközökre irányul. A VPNFilter eleinte a Linksys, MikroTik, NETGEAR és TP-Link hálózati eszközökön, valamint a QNAP NAS eszközökön található, körülbelül 500 000 fertőzéssel 54 országban.

Az egy csapat, amely felfedte a VPNFiltert, Cisco Talos, a közelmúltban frissített részletek a rosszindulatú programok vonatkozásában, jelezve, hogy az olyan gyártók, mint például az ASUS, a D-Link, a Huawei, az Ubiquiti, az UPVEL és a ZTE, hálózati berendezései VPNFilter fertőzéseket mutatnak. Az írás idején azonban a Cisco hálózati eszközöket ez nem érinti.

A rosszindulatú program különbözik a legtöbb más tárgyakra összpontosító rosszindulatú programtól, mert a rendszer újraindítása után is fennáll, megnehezítve a kitörlést. Különösen sebezhetők azok az eszközök, amelyek alapértelmezett bejelentkezési hitelesítő adataikat használják, vagy ismert nulla napos biztonsági résekkel rendelkeznek, amelyek nem kaptak firmware frissítéseket.

Mit csinál a VPNFilter?

Tehát a VPNFilter egy „többlépcsős, moduláris platform” romboló károkat okozhat az eszközökben. Ezenkívül adatgyűjtési fenyegetést is jelenthet. A VPNFilter több szakaszban működik.

1. szakasz: A VPNFilter 1. szakasz létrehoz egy strandfejet az eszközön, és felveszi a kapcsolatot a parancs- és vezérlőkiszolgálóval (C&C) további modulok letöltéséhez és az utasítások megvárásához. Az 1. szakaszban több beépített redundáció is található a 2. szakasz C & Cs helyének meghatározásához, ha az infrastruktúra a telepítés során megváltozik. A Stage 1 VPNFilter rosszindulatú program is képes túlélni a rebootot, ezáltal komoly veszélyt jelent.

2. szakasz: A VPNFilter Stage 2 nem áll fenn újraindításkor, de a lehetőségek szélesebb skálájával érkezik. A 2. szakasz magán adatokat gyűjthet, parancsokat hajthat végre, és zavarhatja az eszközkezelést. Ezenkívül a 2. szakasz különböző változatai is vannak vadonban. Egyes verziók olyan romboló modullal vannak felszerelve, amely felülírja az eszköz firmware-ének egy partícióját, ezután újraindítja az eszközt használhatatlanná téve (a rosszindulatú program tönkreteszi az útválasztót, az IoT-t vagy a NAS-eszközt, alapvetően).

3. szakasz: A VPNFilter Stage 3 modulok úgy működnek, mint a 2. szakasz plugins, kibővítve a VPNFilter funkcionalitását. Az egyik csomag szippantóként működik, amely összegyűjti a bejövő forgalmat az eszközön és ellopja a hitelesítő adatokat. Egy másik lehetőség a Stage 2 rosszindulatú programok biztonságos kommunikációjára a Tor használatával. A Cisco Talos egy modult is talált, amely rosszindulatú tartalmat fecskendez be az eszközön áthaladó forgalomba, ami azt jelenti, hogy a hackert tovább tovább tudja hasznosítani más csatlakoztatott eszközökre útválasztón, IoT-n vagy NAS-en keresztül eszköz.

Ezen felül a VPNFilter modulok „lehetővé teszik a webhelyek hitelesítő adatainak eltulajdonítását és a Modbus SCADA protokollok figyelését”.

Fotómegosztó meta

A VPNFilter rosszindulatú programok másik érdekes (de nem újonnan felfedezett) tulajdonsága az online fotómegosztó szolgáltatások használata C&C szerver IP-címének megkeresésére. A Talos elemzése megállapította, hogy a rosszindulatú program a Photobucket URL-ek sorozatára mutat. A rosszindulatú programok letöltik a Az első kép a galériában az URL hivatkozásokat tartalmaz, és kivon egy kiszolgáló IP-címét, amely a képen rejtett metaadatokat.

Az IP-címet „a GPS szélességi és hosszúsági fokának hat egész értékéből vonják ki az EXIF ​​információban”. Ha ez nem sikerül, akkor a Az 1. szakasz rosszindulatú programjai visszakerülnek egy normál domainbe (toknowall.com - részletesebben az alábbiakban) a kép letöltéséhez, és megpróbálják ugyanazt folyamat.

Célzott csomagos szippantás

A frissített Talos-jelentés érdekes betekintést adott a VPNFilter csomagszippantási modulba. Ahelyett, hogy mindent elragadna, meglehetősen szigorú szabálykészlettel rendelkezik, amely a meghatározott forgalomtípusokra irányul. Pontosabban, az ipari vezérlőrendszerekből (SCADA) származó forgalom, amelyek a TP-Link R600 VPN-ekkel csatlakoznak, kapcsolatok a előre meghatározott IP-címek (amelyek más hálózatok fejlett ismeretét és a kívánatos forgalmat jelzik), valamint 150-es adatcsomagok bájt vagy annál nagyobb.

Craig William, a Talos vezető technológiai vezetője és globális tájékoztató menedzsere, mondta Ars, „Nagyon specifikus dolgokat keresnek. Nem próbálnak annyi forgalmat gyűjteni, amennyit csak tudnak. Bizonyos nagyon apró dolgok után vannak, például hitelesítő adatok és jelszavak. Nincs sok bennünk más, mint hihetetlenül célzott és hihetetlenül kifinomult. Még mindig megpróbáljuk kitalálni, hogy kit használták.

Honnan származik a VPNFilter?

Úgy gondolják, hogy a VPNFilter egy államilag támogatott hackelési csoport munkája. Mivel a kezdeti VPNFilter fertőzés túlnyomórészt Ukrajna egész területén érezhető volt, a kezdeti ujjak az orosz által támogatott ujjlenyomatokra és a Fancy Bear csapkodó csoportra mutattak.

Ugyanakkor a rosszindulatú programok kifinomulása nincs egyértelmű kialakulása, és egyetlen hackerekkel foglalkozó csoport, nemzetállam vagy más módon sem lép fel előre a rosszindulatú program igénylésére. Tekintettel a rosszindulatú programok részletes szabályaira, valamint a SCADA és más ipari rendszer-protokollok célzására, valószínűnek tűnik egy nemzetállami szereplő.

Függetlenül attól, amit gondolok, az FBI szerint a VPNFilter egy Fancy Bear alkotás. 2018 májusában az FBI lefoglalt egy domain—ToKnowAll.com— azt gondolták, hogy azt a 2. és 3. szakasz VPNFilter rosszindulatú programjai telepítéséhez és parancsaihoz használták. A domain lefoglalása minden bizonnyal hozzájárult a VPNFilter azonnali terjedésének megakadályozásához, de nem fedi le a fő artériát; az ukrán SBU 2018 júliusában egy VPNFilter támadást vezetett be egy vegyi feldolgozóüzem ellen.

A VPNFilter szintén hasonlít a BlackEnergy malware-hez, egy APT trójaihoz, amelyet széles körű ukrán célpontokkal használnak. Még egyszer, bár ez messze nem áll rendelkezésre a teljes bizonyítékról, Ukrajna szisztematikus célzása elsősorban az orosz kapcsolatokkal rendelkező csoportok feltöréséből származik.

Megfertőződtem-e a VPNFilterrel?

Valószínűleg az útválasztó nem tárolja a VPNFilter rosszindulatú programokat. De mindig jobb, ha biztonságban vagyunk, mint sajnáljuk:

1. Ellenőrizze ezt a listát a router számára. Ha nem vagy a listán, akkor minden rendben van.
2. Mehetsz a A Symantec VPNFilter webhely ellenőrzése. Jelölje be a Általános Szerződési Feltételeket, majd nyomja meg a gombot Futtassa a VPNFilter Check programot gomb közepén. A teszt másodpercek alatt befejeződik.

Megfertõzõdtem a VPNFilterrel: Mit tegyek?

Ha a Symantec VPNFilter Check megerősíti, hogy az útválasztó fertőzött, akkor egyértelműen meg kell tennie a lépéseket.

1. Alaphelyzetbe állítsa az útválasztót, majd futtassa újra a VPNFilter Check elemet.
2. Állítsa vissza az útválasztót a gyári beállításokra.
3. Töltse le az útválasztó legújabb firmware-jét, és fejezze be a tiszta firmware-t, lehetőleg anélkül, hogy az útválasztó online kapcsolatot létesítené a folyamat során.

Ezen felül a fertőzött útválasztóhoz csatlakoztatott minden eszközön teljes rendszer-ellenőrzést kell végrehajtania.

Mindig meg kell változtatnia a router alapértelmezett bejelentkezési adatait, valamint az IoT vagy NAS eszközöket (Az IoT-eszközök nem könnyítik meg ezt a feladatot Miért a dolgok internetének a legnagyobb biztonsági rémálmaEgy nap hazaérkezik munkából, hogy felfedezze, hogy megsértette a felhőalapú otthoni biztonsági rendszerét. Hogyan történhetett ez? A tárgyak internete (IoT) segítségével megtudhatja a nehéz utat. Olvass tovább ) ha egyáltalán lehetséges. Ugyanakkor, bár vannak bizonyítékok arra, hogy a VPNFilter megkerülhet egyes tűzfalakat, telepítve van és megfelelően konfigurálva van 7 egyszerű tipp a router és a Wi-Fi hálózat biztonságához perc alattSzippant és hallgat valaki a Wi-Fi forgalmán, ellopja a jelszavait és a hitelkártya számát? Még tudnád is, hogy van valaki? Valószínűleg nem, így biztonságosítsa vezeték nélküli hálózatát a következő 7 egyszerű lépéssel. Olvass tovább segít sok más csúnya cucc eltávolításában a hálózatából.

Vigyázz a router rosszindulatú programjaira!

A router rosszindulatú programjai egyre gyakoribbak. Az IoT rosszindulatú programjai és sebezhetőségei mindenütt jelen vannak, és az online eszközök számának növekedésével csak rosszabbodni fog. A router az otthoni adatok fókuszpontja. Ennek ellenére nem kap szinte annyira biztonsági figyelmet, mint más eszközök.

Egyszerűen fogalmazva, az útválasztója nincs biztonságban, ahogy gondolja 10 módszer, hogy a router nem olyan biztonságos, mint gondolnádAz alábbiakban bemutatjuk, hogy tízféle módon használhatja routerét a hackerek és a vezeték nélküli gépeltérítők. Olvass tovább .