Kako uočiti malware VPNFilter prije nego što on uništi vaš usmjerivač

Oglas

Sve su češći zlonamjerni programi usmjerivača, mrežnog uređaja i Interneta stvari. Većina se fokusira na zarazu ranjivih uređaja i njihovo dodavanje u moćne botnete. Ruteri i uređaji Internet of Things (IoT) uvijek su uključeni, uvijek u mreži i čekaju upute. Savršena hrana za botnet, dakle.

Ali nisu svi zlonamjerni programi isti.

VPNFilter je razorna prijetnja od zlonamjernog softvera usmjerivačima, IoT uređajima, pa čak i nekim uređajima za pohranu (NAS) povezanim s mrežom. Kako provjeriti ima li zlonamjernog softvera VPNFilter? I kako to možete očistiti? Pogledajmo bliže VPNFilter.

Što je VPNFilter?

VPNFilter je sofisticirana modularna varijanta zlonamjernog softvera koja prvenstveno cilja umrežavanje uređaja širokog spektra proizvođača, kao i NAS uređaje. VPNFilter je u početku pronađen na mrežnim uređajima Linksys, MikroTik, NETGEAR i TP-Link, kao i QNAP NAS uređajima, s oko 500.000 infekcija u 54 zemlje.

tim koji je otkrio VPNFilter, Cisco Talos, nedavno ažurirani detalji što se tiče zlonamjernog softvera, što ukazuje da mrežna oprema proizvođača poput ASUS, D-Link, Huawei, Ubiquiti, UPVEL i ZTE sada pokazuje zaraze VPNFilter-om. Međutim, u vrijeme pisanja teksta nisu pogođeni nikakvi mrežni uređaji tvrtke Cisco.

Zlonamjerni softver nije za razliku od većine ostalih zlonamjernog softvera usmjerenog na IoT jer postoji i nakon ponovnog pokretanja sustava što ga čini teško iskorijeniti. Uređaji koji koriste zadane vjerodajnice za prijavu ili s poznatim ranjivostima od 0 dana koji nisu primili ažuriranja firmvera posebno su ranjivi.

Što VPNFilter radi?

Dakle, VPNFilter je "višefazna, modularna platforma" koja može prouzrokovati destruktivne štete na uređajima. Nadalje, može poslužiti i kao prijetnja od prikupljanja podataka. VPNFilter djeluje u nekoliko faza.

1. faza: VPNFilter Stage 1 uspostavlja plažu na uređaju, kontaktirajući svoj naredbeno-upravljački poslužitelj (C&C) radi preuzimanja dodatnih modula i čekaju upute. Faza 1 također ima više ugrađenih viškova za lociranje C + C stupnja 2 u slučaju promjene infrastrukture tijekom implementacije. Zlonamjerni softver Stage 1 VPNFilter također je u stanju preživjeti ponovno podizanje sustava, što ga čini snažnom prijetnjom.

2. faza: VPNFilter Stage 2 ne traje kroz ponovno podizanje sustava, ali dolazi sa širokim opsegom mogućnosti. Faza 2 može prikupljati privatne podatke, izvršavati naredbe i ometati upravljanje uređajem. Također, u divljini postoje različite verzije Stage 2. Neke verzije opremljene su destruktivnim modulom koji prepisuje particiju softvera uređaja, zatim se ponovno pokrenite kako biste učinili uređaj neupotrebljivim (zlonamjerni softver cigli usmjerivač, IoT ili NAS uređaj, u osnovi).

Treća faza: VPNFilter Stage 3 moduli djeluju poput dodataka za Fazu 2, proširujući funkcionalnost VPNFiltera. Jedan modul djeluje kao snajper za paket koji prikuplja dolazni promet na uređaju i krade vjerodajnice. Drugi omogućuje zlonamjernom softveru Stage 2 sigurnu komunikaciju koristeći Tor. Cisco Talos je također pronašao jedan modul koji ubrizgava zlonamjerni sadržaj u promet koji prolazi kroz uređaj, što znači da haker može isporučiti daljnje iskorištavanje drugim povezanim uređajima putem usmjerivača, IoT ili NAS uređaj.

Uz to, VPNFilter moduli "omogućavaju krađu vjerodajnica web stranice i nadzor Modbus SCADA protokola."

Meta dijeljenje fotografija

Još jedna zanimljiva (ali ne i novootkrivena) značajka zlonamjernog softvera VPNFilter je uporaba mrežnih usluga dijeljenja fotografija za pronalaženje IP adrese C&C poslužitelja. Analiza Talos utvrdila je da zlonamjerni softver ukazuje na niz Photobucket URL-ova. Zlonamjerni softver preuzima prva slika u galeriji navodi URL i izdvaja IP adresu poslužitelja skrivenu unutar slike metapodataka.

IP adresa "izvađena je iz šest cjelobrojnih vrijednosti za GPS širinu i dužinu u EXIF ​​informacijama." Ako to ne uspije, Zlonamjerni softver 1. faze vraća se na uobičajenu domenu (toknowall.com - više o tome u nastavku) za preuzimanje slike i pokušaj iste postupak.

Ciljano njušenje paketa

Ažurirano izvješće Talos otkrilo je nekoliko zanimljivih uvida u modul njuškanja VPNFilter paketa. Umjesto da samo poništi sve, on ima prilično strog skup pravila koja ciljaju određene vrste prometa. Konkretno, promet iz industrijskih upravljačkih sustava (SCADA) koji se povezuju koristeći TP-Link R600 VPN-ove, priključke na popis unaprijed definirane IP adrese (što ukazuje na napredno znanje o drugim mrežama i poželjnom prometu), kao i 150 paketa podataka bajtova ili većih.

Craig William, stariji voditelj tehnologije i globalni menadžer za informiranje u Talosu, rekao Arsu, "Oni traže vrlo specifične stvari. Ne pokušavaju prikupiti što više prometa. Oni slijede određene vrlo male stvari poput vjerodajnica i lozinki. Nemamo mnogo podataka o tome osim što se čini nevjerojatno ciljanim i nevjerojatno sofisticiranim. Još uvijek pokušavamo ustanoviti na koga ih upotrebljavaju. "

Odakle je došao VPNFilter?

Smatra se da je VPNFilter rad hakerske skupine koju sponzorira država. Da se početni porast VPNFilter infekcije većinom osjećao u cijeloj Ukrajini, početni prsti su pokazali na otiske prstiju poduprte Rusi i grupu sjeckanja, Fancy Bear.

Međutim, takva je sofisticiranost zlonamjernog softvera da ne postoji jasna geneza i da nijedna skupina hakiranja, nacionalna država ili bilo kakav drugi, nije napredovala da zatraži zlonamjerni softver. S obzirom na detaljna pravila o zlonamjernom softveru i ciljanje SCADA-e i ostalih protokola industrijskog sustava, čini se da je akter nacionalne države najvjerojatniji.

Bez obzira na to što mislim, FBI vjeruje da je VPNFilter kreacija Fancy Bear. U svibnju 2018. FBI zaplijenila domenu—ToKnowAll.com - za koji se mislilo da je korišten za instaliranje i naredbu zlonamjernog softvera 2. i 3. stupnja VPNFiltera. Zauzimanje domene sigurno je pomoglo zaustaviti trenutno širenje VPNFiltera, ali nije odrezalo glavnu arteriju; ukrajinski SBU skinuo je napad VPNFiltera na postrojenje za kemijsku preradu u srpnju 2018. godine.

VPNFilter također ima sličnost sa zlonamjernim softverom BlackEnergy, APT Trojanom koji se koristi protiv širokog spektra ukrajinskih ciljeva. Opet, iako je to daleko od potpunih dokaza, sistemsko ciljanje Ukrajine uglavnom proizlazi iz hakerskih skupina s ruskim vezama.

Jesam li zaražen VPNFilterom?

Vrlo je vjerojatno da vaš usmjerivač ne sadrži VPNFilter malware. Ali, uvijek je bolje biti siguran nego zažaliti:

1. Provjerite ovaj popis za vaš usmjerivač. Ako niste na popisu, sve je u redu.
2. Možete krenuti prema Symantec VPNFilter Provjerite web mjesto. Označite okvir za odredbe i uvjete, a zatim pritisnite Pokrenite VPNFilter Check gumb u sredini. Ispitivanje se završava u roku od nekoliko sekundi.

Zaražen sam VPNFilterom: Što da radim?

Ako Symantec VPNFilter Check potvrdi da je vaš usmjerivač zaražen, imate jasan postupak.

1. Poništite usmjerivač, a zatim ponovo pokrenite provjeru VPNFilter.
2. Vratite usmjerivač na tvorničke postavke.
3. Preuzmite najnoviji firmver za vaš usmjerivač i dovršite čistu instalaciju firmvera, po mogućnosti bez usmjeritelja tijekom postupka internetske veze.

Nadalje, trebate dovršiti potpuno skeniranje sustava na svakom uređaju spojenom na zaraženi usmjerivač.

Uvijek trebate promijeniti zadane vjerodajnice za usmjerivač, kao i sve IoT ili NAS uređaje (IoT uređaji ne čine ovaj zadatak jednostavnim Zašto je Internet stvari najveća sigurnosna noćna moraJednog dana dolazite kući s posla i otkrivate da vam je sigurnosni sustav kuće omogućen u oblaku pokvaren. Kako se to moglo dogoditi? Pomoću Interneta stvari (IoT) mogli biste otkriti težak put. Čitaj više ) ako je uopće moguće. Osim toga, iako postoje dokazi da VPNFilter može izbjeći neke vatrozidove, ima jedan instaliran i pravilno konfiguriran 7 jednostavnih savjeta za osiguranje rutera i Wi-Fi mreže u nekoliko minutaDa li netko njuška i prisluškuje vaš Wi-Fi promet, krade vam lozinke i brojeve kreditnih kartica? Da li biste uopće znali je li netko? Vjerojatno ne, stoga osigurajte svoju bežičnu mrežu pomoću ovih 7 jednostavnih koraka. Čitaj više pomoći će vam da se mnoge druge gadne stvari odvoje od vaše mreže.

Pazite na zlonamjerni softver Router!

Zlonamjerni softver rutera sve je češći. IoT zlonamjerni softver i ranjivosti su svugdje, a s brojem uređaja koji dolaze na mrežu, samo će se pogoršati. Vaš usmjerivač je središnja točka podataka u vašem domu. Ipak ona ne dobiva ni približno toliko sigurnosne pažnje kao drugi uređaji.

Jednostavno rečeno, usmjerivač nije siguran kako mislite 10 načina da vaš usmjerivač nije toliko siguran koliko misliteEvo 10 načina kako vaš ruter mogu iskoristiti hakeri i bežični otmičari. Čitaj više .