Kā identificēt un novērst VPNFilter ļaunprātīgu programmatūru tūlīt (04.25.24)

Ne visas ļaunprogrammatūras ir izveidotas vienādas. Viens pierādījums tam ir VPNFilter ļaunprātīgas programmatūras esamība - jauna maršrutētāja ļaunprātīgas programmatūras šķirne, kurai ir destruktīvas īpašības. Viena atšķirīga iezīme ir tā, ka tā var izdzīvot pārstartēšanas laikā, atšķirībā no vairuma citu lietu interneta (IoT) draudiem.

Ļaujiet šim rakstam uzzināt, kā identificēt VPNFilter ļaunprātīgo programmatūru, kā arī tās mērķu sarakstu. Mēs arī iemācīsim jums, kā to novērst, lai vispirms nesagrautu jūsu sistēmu.

Kas ir VPNFilter ļaunprātīga programmatūra?

Padomājiet par VPNFilter kā par destruktīvu ļaunprātīgu programmatūru, kas apdraud maršrutētājus, IoT ierīces un pat pievienotu tīklam. atmiņas (NAS) ierīces. Tas tiek uzskatīts par sarežģītu moduļu ļaunprātīgas programmatūras variantu, kas galvenokārt paredzēts dažādu ražotāju tīkla ierīcēm.

Sākotnēji ļaunprātīgā programmatūra tika atklāta Linksys, NETGEAR, MikroTik un TP-Link tīkla ierīcēs. Tas tika atklāts arī QNAP NAS ierīcēs. Līdz šim 54 valstīs ir aptuveni 500 000 inficēšanās gadījumu, parādot tā milzīgo sasniedzamību un klātbūtni.

Cisco Talos, komanda, kas pakļāva VPNFilter, nodrošina plašu emuāra ziņojumu par ļaunprātīgu programmatūru un tehnisko informāciju ap to. Pēc izskata ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti un ZTE tīkla iekārtām ir infekcijas pazīmes.

Atšķirībā no vairuma citu IoT mērķtiecīgu ļaunprātīgu programmatūru, VPNFilter ir grūti novērst, jo tas saglabājas pat pēc sistēmas atsāknēšanas. Parādītas neaizsargātas pret uzbrukumiem ir ierīces, kas izmanto noklusējuma pieteikšanās akreditācijas datus, vai ierīces ar zināmām nulles dienu ievainojamībām, kurām vēl nav bijuši programmaparatūras atjauninājumi.

Ir zināms, ka šīs ļaunprātīgās programmatūras mērķis ir gan uzņēmuma, gan mazā biroja vai mājas biroja maršrutētāji. Ņem vērā šādus maršrutētāju zīmolus un modeļus:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Upvel Devices -nezināmi modeļi
  • ZTE ierīces ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Citi QNAP NAS ierīces, kurās darbojas QTS programmatūra

Lielākajā daļā mērķa ierīču kopsaucējs ir noklusējuma akreditācijas datu izmantošana. Viņiem ir arī zināmi izmantošanas veidi, īpaši vecākām versijām.

Ko VPNFilter ļaunprogrammatūra dara inficētām ierīcēm?

VPNFilter darbojas, lai izraisītu novājinošus bojājumus ietekmētajām ierīcēm, kā arī kalpo kā datu vākšanas metode. Tas darbojas trīs posmos:

1. posms

Tas iezīmē instalēšanu un pastāvīgu klātbūtnes uzturēšanu mērķa ierīcē. Ļaunprātīga programmatūra sazināsies ar komandu un vadības (C & amp; C) serveri, lai lejupielādētu papildu moduļus un gaidītu norādījumus. Šajā posmā notiek vairākas iebūvētas atlaišanas, lai atrastu 2. pakāpes C un Cs, ja notiek infrastruktūras maiņa, kamēr tiek izvietoti draudi. 1. posms VPNFilter var izturēt atsāknēšanu.

2. posms

Tajā ir galvenā lietderīgā slodze. Lai gan tas nav iespējams pastāvīgi restartējot, tam ir vairāk iespēju. Tas spēj savākt failus, izpildīt komandas un veikt datu filtrēšanu un ierīču pārvaldību. Turpinot tās postošo iedarbību, ļaunprogrammatūra var "ķieģeļu" ierīci, tiklīdz tā ir saņēmusi komandu no uzbrucējiem. Tas tiek izpildīts, pārrakstot ierīces programmaparatūras daļu un pēc tam restartējot. Noziedzīgās darbības padara ierīci nelietojamu.

3. posms

Pastāv vairāki zināmi tā moduļi, kas darbojas kā 2. posma spraudņi. Tie ietver pakešu izsmidzinātāju, lai izspiegotu trafiku, kas tiek virzīts caur ierīci, ļaujot vietnes akreditācijas datu zādzībai Modbus SCADA protokolu izsekošana. Cits modulis ļauj 2. posmam droši sazināties, izmantojot Tor. Pamatojoties uz Cisco Talos izmeklēšanu, viens modulis nodrošina ļaunprātīgu saturu datplūsmai, kas iet caur ierīci. Tādā veidā uzbrucēji var vēl vairāk ietekmēt pievienotās ierīces.

6. jūnijā tika parādīti vēl divi 3. posma moduļi. Pirmo sauc par “ssler”, un tas var pārtvert visu trafiku, kas iet caur ierīci, izmantojot 80. portu. Tas ļauj uzbrucējiem skatīt tīmekļa trafiku un pārtvert to, lai izpildītu cilvēku vidējā uzbrukumā. Tā, piemēram, var mainīt HTTPS pieprasījumus uz HTTP, nedroši nosūtot it kā šifrētus datus. Otrais tiek dēvēts par “dstr”, kas ietver kill komandu jebkuram 2. posma modulim, kuram trūkst šīs funkcijas. Pēc izpildes tas novērsīs visas ļaunprātīgās programmatūras pēdas, pirms tā ķieģelē ierīci.

Šeit ir vēl septiņi 3. posma moduļi, kas atklāti 26. septembrī:
  • htpx - tas darbojas tāpat kā ssler, novirzot un pārbaudot visu HTTP trafiku, kas iet caur inficēto ierīci, lai identificētu un reģistrētu visus Windows izpildāmos failus. Tas var veikt Trojan-ize izpildāmos failus, vienlaikus izmantojot inficētos maršrutētājus, kas ļauj uzbrucējiem instalēt ļaunprātīgu programmatūru dažādās mašīnās, kas savienotas vienā tīklā.
  • ndbr - tas tiek uzskatīts par daudzfunkcionālu SSH rīku.
  • nm - šis modulis ir tīkla kartēšanas ierocis vietējā apakštīkla skenēšanai. .
  • netfilter - šī pakalpojumu atteikšanas lietderība var bloķēt piekļuvi dažām šifrētām lietotnēm.
  • portforwarding - tā pārsūta tīkla trafiku infrastruktūrai, kuru nosaka uzbrucēji.
  • socks5proxy - tas ļauj SOCKS5 starpniekserveri izveidot neaizsargātās ierīcēs.
Atklāta VPNFilter izcelsme

Tas ļaunprogrammatūra, visticamāk, ir valsts atbalstīta uzlaušanas vienība. Sākotnējās infekcijas galvenokārt bija jūtamas Ukrainā, to viegli attiecinot uz hakeru grupu Fancy Bear un Krievijas atbalstītajām grupām.

Tas tomēr parāda VPNFilter izsmalcināto raksturu. To nevar saistīt ar skaidru izcelsmi un konkrētu uzlaušanas grupu, un kāds vēl ir spēris soli uz priekšu, lai uzņemtos atbildību par to. Tiek spekulēts par nacionālas valsts sponsoru, jo SCADA līdzās citiem industriālās sistēmas protokoliem ir visaptveroši ļaunprātīgas programmatūras noteikumi un mērķauditorijas atlase.

Ja tomēr jautātu FIB, VPNFilter ir Fancy Bear ideja. 2018. gada maijā aģentūra izmantoja domēnu ToKnowAll.com, kas, domājams, ir noderīgs 2. un 3. posma VPNFilter instalēšanai un komandēšanai. Konfiskācija palīdzēja apturēt ļaunprātīgas programmatūras izplatīšanos, taču tā neizdevās novērst galveno attēlu.

FBI savā 25. maija paziņojumā steidzami pieprasa lietotājiem pārstartēt savus Wi-Fi maršrutētājus mājās, lai apturētu lielu ļaunprātīgas programmatūras uzbrukumu ārzemēs. Tajā laikā aģentūra norādīja ārvalstu kibernoziedzniekus par simtiem tūkstošu kompromisu mazajiem biroju un mājas Wi-Fi maršrutētājiem - kopā ar citām tīkla ierīcēm.

Es esmu tikai parasts lietotājs - ko nozīmē VPNFiltra uzbrukums Es?

Labā ziņa ir tā, ka jūsu maršrutētājā, visticamāk, nav pesticīdu ļaunprātīgas programmatūras, ja pārbaudījāt mūsu sniegto VPNFilter maršrutētāju sarakstu. Bet vienmēr labāk kļūdīties piesardzības pusē. Symantec, piemēram, palaiž VPNFilter Check, lai jūs varētu pārbaudīt, vai jūs tas ietekmē vai nē. Pārbaudes veikšana prasa tikai dažas sekundes.

Tagad ir šī lieta. Ko darīt, ja jūs patiešām esat inficēts? Izpētiet šīs darbības:
  • Atiestatiet maršrutētāju. Pēc tam vēlreiz palaidiet VPNFilter Check.
  • Atiestatiet maršrutētājam rūpnīcas iestatījumus.
  • Apsveriet iespēju ierīcē atspējot visus attālās pārvaldības iestatījumus.
  • Lejupielādējiet maršrutētājam visjaunāko programmaparatūru. Pabeidziet tīru programmaparatūras instalēšanu, ideālā gadījumā bez maršrutētāja, lai izveidotu savienojumu tiešsaistē, kamēr process notiek.
  • Pabeidziet pilnu sistēmas skenēšanu datorā vai ierīcē, kas ir savienots ar inficēto maršrutētāju. Neaizmirstiet izmantot uzticamu datora optimizētāja rīku, lai darbotos kopā ar uzticamo ļaunprātīgas programmatūras skeneri.
  • Nodrošiniet savienojumus. Esiet aizsargāts, izmantojot augstas kvalitātes apmaksātu VPN ar topnotch tiešsaistes privātuma un drošības uzskaiti.
  • Izmantojiet ieradumu mainīt maršrutētāja, kā arī citu IoT vai NAS ierīču noklusējuma pieteikšanās akreditācijas datus. .
  • Jāinstalē un pareizi jākonfigurē ugunsmūris, lai no tīkla netiktu ievietotas sliktas lietas.
  • Drošiniet savas ierīces ar spēcīgām, unikālām parolēm.
  • Iespējojiet šifrēšanu .

Ja potenciāli tiek ietekmēts jūsu maršrutētājs, ieteicams pārbaudīt ražotāja vietnē jaunu informāciju un darbības, kas jāveic, lai aizsargātu jūsu ierīces. Šis ir tūlītējs solis, jo visa jūsu informācija iet caur maršrutētāju. Ja maršrutētājs tiek apdraudēts, tiek apdraudēta jūsu ierīču konfidencialitāte un drošība.

Kopsavilkums

VPNFilter ļaunprātīgā programmatūra varētu būt arī viens no spēcīgākajiem un neiznīcināmākajiem draudiem, kas pēdējos gados skāruši uzņēmumus un mazos biroju vai mājas maršrutētājus. vēsture. Sākotnēji tas tika atklāts Linksys, NETGEAR, MikroTik un TP-Link tīkla ierīcēs un QNAP NAS ierīcēs. Ietekmēto maršrutētāju sarakstu varat atrast iepriekš.

VPNFilter nevar ignorēt pēc aptuveni 500 000 infekciju ierosināšanas 54 valstīs. Tas darbojas trīs posmos un padara maršrutētājus nederīgus, vāc informāciju, kas iet caur maršrutētājiem, un pat bloķē tīkla trafiku. Tīkla aktivitāšu noteikšana un analīze joprojām ir grūts uzdevums.

Šajā rakstā mēs izklāstījām veidus, kā pasargāt sevi no ļaunprātīgas programmatūras, un darbības, kuras varat veikt, ja maršrutētājs ir apdraudēts. Sekas ir briesmīgas, tāpēc jums nekad nevajadzētu nodarboties ar svarīgu uzdevumu pārbaudīt savas ierīces.

YouTube video: Kā identificēt un novērst VPNFilter ļaunprātīgu programmatūru tūlīt

04, 2024