Τρόπος αναγνώρισης και επίλυσης VPNFilter τώρα κακόβουλου λογισμικού (04.19.24)

Δεν δημιουργούνται ίσα όλα τα κακόβουλα προγράμματα. Μια απόδειξη αυτού είναι η ύπαρξη του VPNFilter malware , μιας νέας φυλής κακόβουλου λογισμικού δρομολογητή που έχει καταστροφικές ιδιότητες. Ένα ξεχωριστό χαρακτηριστικό που έχει είναι ότι μπορεί να επιβιώσει την επανεκκίνηση, σε αντίθεση με τις περισσότερες απειλές του Internet of Things (IoT).

Αφήστε αυτό το άρθρο να σας καθοδηγήσει μέσω του προσδιορισμού του κακόβουλου λογισμικού VPNFilter καθώς και της λίστας στόχων του. Θα σας διδάξουμε επίσης πώς να το αποτρέψετε από την καταστροφή του συστήματός σας.

Τι είναι το VPNFilter Malware;

Σκεφτείτε το VPNFilter ως καταστροφικό κακόβουλο λογισμικό που απειλεί τους δρομολογητές, τις συσκευές IoT και ακόμη και το δίκτυο συσκευές αποθήκευσης (NAS). Θεωρείται μια εξελιγμένη παραλλαγή κακόβουλου λογισμικού που στοχεύει κυρίως συσκευές δικτύωσης από διαφορετικούς κατασκευαστές.

Αρχικά, το κακόβουλο λογισμικό εντοπίστηκε σε συσκευές δικτύου Linksys, NETGEAR, MikroTik και TP-Link. Ανακαλύφθηκε και σε συσκευές QNAP NAS. Μέχρι σήμερα, υπάρχουν περίπου 500.000 μολύνσεις σε 54 χώρες, αποδεικνύοντας την τεράστια εμβέλεια και παρουσία του.

Η Cisco Talos, η ομάδα που εξέθεσε το VPNFilter, παρέχει μια εκτενή ανάρτηση ιστολογίου σχετικά με το κακόβουλο λογισμικό και τεχνικές λεπτομέρειες γύρω από αυτό. Από την εμφάνισή του, ο εξοπλισμός δικτύωσης από ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti και ZTE έχει σημάδια μόλυνσης.

Σε αντίθεση με τα περισσότερα άλλα κακόβουλα προγράμματα που στοχεύουν σε IoT, το VPNFilter είναι δύσκολο να εξαλειφθεί αφού επιμένει ακόμη και μετά την επανεκκίνηση του συστήματος. Παρέχοντας ευάλωτες επιθέσεις είναι συσκευές που χρησιμοποιούν τα προεπιλεγμένα διαπιστευτήριά τους σύνδεσης ή εκείνες με γνωστά τρωτά σημεία μηδενικής ημέρας που δεν είχαν ενημερώσεις υλικολογισμικού ακόμη.

Συσκευές που είναι γνωστό ότι επηρεάζονται από το VPNFilter Malware

Είναι γνωστό ότι τόσο οι δρομολογητές εταιρικών όσο και μικρών γραφείων ή οικιακών γραφείων αποτελούν στόχο αυτού του κακόβουλου λογισμικού. Σημειώστε τις παρακάτω μάρκες και μοντέλα δρομολογητών:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Αναβαθμισμένες συσκευές - άγνωστα μοντέλα
  • Συσκευές ZTE ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Άλλα QNAP Συσκευές NAS που χρησιμοποιούν λογισμικό QTS

Ένας κοινός παρονομαστής μεταξύ των περισσότερων στοχευμένων συσκευών είναι η χρήση προεπιλεγμένων διαπιστευτηρίων. Έχουν επίσης γνωστά πλεονεκτήματα, ειδικά για παλαιότερες εκδόσεις.

Τι κάνει το VPNFilter Malware σε μολυσμένες συσκευές;

Το VPNFilter λειτουργεί για να προκαλέσει εξουθενωτική βλάβη στις επηρεαζόμενες συσκευές, καθώς και ως μέθοδος συλλογής δεδομένων. Λειτουργεί σε τρία στάδια:

Στάδιο 1

Αυτό σηματοδοτεί την εγκατάσταση και τη διαρκή παρουσία σε μια συσκευή προορισμού. Το κακόβουλο λογισμικό θα επικοινωνήσει με έναν διακομιστή εντολών και ελέγχου (C & amp; C) για να πραγματοποιήσει λήψη πρόσθετων ενοτήτων και να περιμένει οδηγίες. Σε αυτήν τη φάση, υπάρχουν πολλές ενσωματωμένες απολύσεις για τον εντοπισμό του Στάδιο 2 C & amp; C σε περίπτωση που υπάρξει αλλαγή υποδομής κατά την ανάπτυξη της απειλής. Στάδιο 1 VPN Το φίλτρο μπορεί να αντέξει μια επανεκκίνηση.

Στάδιο 2

Αυτό διαθέτει το κύριο ωφέλιμο φορτίο. Αν και δεν μπορεί να επιμείνει μέσω μιας επανεκκίνησης, έχει περισσότερες δυνατότητες. Είναι σε θέση να συλλέγει αρχεία, να εκτελεί εντολές και να εκτελεί την αποβολή δεδομένων και τη διαχείριση συσκευών. Συνεχίζοντας τα καταστρεπτικά του αποτελέσματα, το κακόβουλο λογισμικό μπορεί να «καταστρέψει» τη συσκευή μόλις λάβει εντολή από τους εισβολείς. Αυτό εκτελείται με αντικατάσταση μέρους του υλικολογισμικού της συσκευής και μετέπειτα επανεκκίνηση. Οι εγκληματικές πράξεις καθιστούν τη συσκευή άχρηστη.

Στάδιο 3

Αρκετές γνωστές ενότητες υπάρχουν και λειτουργούν ως προσθήκες για το Στάδιο 2. Αυτές περιλαμβάνουν ένα πακέτο sniffer για να κατασκοπεύουν την κυκλοφορία που δρομολογείται μέσω της συσκευής, επιτρέποντας την κλοπή διαπιστευτηρίων ιστότοπου και παρακολούθηση των πρωτοκόλλων Modbus SCADA. Μια άλλη ενότητα επιτρέπει στο Στάδιο 2 να επικοινωνεί με ασφάλεια μέσω του Tor. Με βάση την έρευνα της Cisco Talos, μια ενότητα παρέχει κακόβουλο περιεχόμενο στην κίνηση που διέρχεται από τη συσκευή. Με αυτόν τον τρόπο, οι εισβολείς μπορούν να επηρεάσουν περαιτέρω τις συνδεδεμένες συσκευές.

Στις 6 Ιουνίου, δύο άλλες ενότητες του Στάδιο 3 εκτέθηκαν. Το πρώτο ονομάζεται "ssler" και μπορεί να παρακολουθεί όλη την κυκλοφορία που διέρχεται από τη συσκευή χρησιμοποιώντας τη θύρα 80. Επιτρέπει στους εισβολείς να βλέπουν την κίνηση στο διαδίκτυο και να την παρακολουθούν για να εκτελέσουν τον άνθρωπο στις μεσαίες επιθέσεις. Μπορεί, για παράδειγμα, να αλλάξει αιτήματα HTTPS σε αυτά HTTP, στέλνοντας αναμενόμενα κρυπτογραφημένα δεδομένα με ασφάλεια. Το δεύτερο ονομάζεται "dstr", το οποίο ενσωματώνει μια εντολή kill σε οποιαδήποτε ενότητα Stage 2 που δεν διαθέτει αυτήν τη δυνατότητα. Μόλις εκτελεστεί, θα εξαλείψει όλα τα ίχνη του κακόβουλου λογισμικού προτού ανοίξει τη συσκευή.

Ακολουθούν επτά ακόμη λειτουργικές φάσεις 3 που αποκαλύφθηκαν στις 26 Σεπτεμβρίου:
  • htpx - Λειτουργεί όπως το ssler, ανακατεύθυνση και επιθεώρηση όλης της κυκλοφορίας HTTP που διέρχεται από τη μολυσμένη συσκευή, προκειμένου να εντοπίσει και να καταγράψει τυχόν εκτελέσιμα Windows. Μπορεί να εκτελέσει εκτελέσιμα Trojan-ize ενώ διέρχεται μολυσμένους δρομολογητές, οι οποίοι επιτρέπουν στους εισβολείς να εγκαταστήσουν κακόβουλο λογισμικό σε διάφορα μηχανήματα που είναι συνδεδεμένα στο ίδιο δίκτυο.
  • ndbr - Αυτό θεωρείται εργαλείο SSH πολλαπλών λειτουργιών.
  • nm - Αυτή η ενότητα είναι ένα όπλο χαρτογράφησης δικτύου για σάρωση του τοπικού υποδικτύου .
  • netfilter - Αυτό το βοηθητικό πρόγραμμα άρνησης υπηρεσίας μπορεί να αποκλείσει την πρόσβαση σε ορισμένες κρυπτογραφημένες εφαρμογές.
  • portforwarding - Προωθεί την κίνηση δικτύου σε υποδομή που καθορίζεται από εισβολείς.
  • socks5proxy - Επιτρέπει την εγκατάσταση ενός διακομιστή μεσολάβησης SOCKS5 σε ευάλωτες συσκευές.
Προέκυψε το Origin of VPNFilter

Αυτό Το κακόβουλο λογισμικό είναι πιθανώς το έργο μιας οντότητας εισβολής που χρηματοδοτείται από το κράτος. Οι αρχικές λοιμώξεις έγιναν αισθητές στην Ουκρανία, αποδίδοντας εύκολα την πράξη στην ομάδα πειρατείας Fancy Bear και στις ομάδες που υποστηρίζονται από τη Ρωσία.

Ωστόσο, αυτό δείχνει την εκλεπτυσμένη φύση του VPNFilter. Δεν μπορεί να συσχετιστεί με μια ξεκάθαρη προέλευση και μια συγκεκριμένη ομάδα πειρατείας και κάποιος δεν έχει ακόμη προχωρήσει για να διεκδικήσει την ευθύνη για αυτό. Ένας χορηγός έθνους-κράτους εικάζεται ότι το SCADA μαζί με άλλα πρωτόκολλα βιομηχανικού συστήματος έχουν ολοκληρωμένους κανόνες και στόχευση κακόβουλου λογισμικού.

Αν ρωτούσατε το FBI, το VPNFilter είναι το πνευματικό τέκνο του Fancy Bear. Τον Μάιο του 2018, το πρακτορείο κατέσχεσε τον τομέα ToKnowAll.com, που πιστεύεται ότι είναι καθοριστικός για την εγκατάσταση και τη διοίκηση των φίλτρων VPN 2 και 3. Η κατάσχεση βοήθησε να σταματήσει η εξάπλωση του κακόβουλου λογισμικού, αλλά απέτυχε να αντιμετωπίσει την κύρια εικόνα.

Στην ανακοίνωσή του στις 25 Μαΐου, το FBI εκδίδει επείγον αίτημα για τους χρήστες να επανεκκινήσουν τους δρομολογητές Wi-Fi στο σπίτι τους για να σταματήσουν μια μεγάλη επίθεση κακόβουλου λογισμικού που βασίζεται στο εξωτερικό. Εκείνη την εποχή, το πρακτορείο επισήμανε ξένους εγκληματίες στον κυβερνοχώρο για συμβιβασμό των δρομολογητών μικρών γραφείων και οικιακών Wi-Fi - μαζί με άλλες συσκευές δικτύου - από τις εκατοντάδες χιλιάδες.

Είμαι απλώς ένας συνηθισμένος χρήστης - Τι σημαίνει αυτό Εγώ;

Τα καλά νέα είναι ότι ο δρομολογητής σας δεν είναι πιθανό να φιλοξενεί το κακόβουλο λογισμικό αν έχετε ελέγξει τη λίστα δρομολογητών VPNFilter που παρέχουμε παραπάνω. Αλλά είναι πάντα καλύτερο από την πλευρά της προσοχής. Η Symantec, για μία, εκτελεί τον έλεγχο ελέγχου φίλτρου VPN, ώστε να μπορείτε να ελέγξετε εάν επηρεάζεστε ή όχι. Χρειάζονται μόνο λίγα δευτερόλεπτα για να εκτελεστεί ο έλεγχος.

Τώρα, αυτό είναι το πράγμα. Τι γίνεται αν είστε πραγματικά μολυσμένοι; Εξερευνήστε αυτά τα βήματα:
  • Επαναφέρετε το δρομολογητή σας. Στη συνέχεια, εκτελέστε ξανά το VPNFilter Check.
  • Επαναφέρετε το δρομολογητή σας στις εργοστασιακές του ρυθμίσεις.
  • Εξετάστε το ενδεχόμενο να απενεργοποιήσετε τυχόν ρυθμίσεις απομακρυσμένης διαχείρισης στη συσκευή σας.
  • Κατεβάστε το πιο ενημερωμένο υλικολογισμικό για το δρομολογητή σας. Ολοκληρώστε μια καθαρή εγκατάσταση υλικολογισμικού, ιδανικά χωρίς ο δρομολογητής να κάνει σύνδεση στο διαδίκτυο ενώ η διαδικασία βρίσκεται σε εξέλιξη.
  • Ολοκληρώστε μια πλήρη σάρωση συστήματος στον υπολογιστή ή τη συσκευή σας που έχει συνδεθεί στον μολυσμένο δρομολογητή. Μην ξεχάσετε να χρησιμοποιήσετε ένα αξιόπιστο εργαλείο βελτιστοποίησης υπολογιστή για να συνεργαστείτε με τον αξιόπιστο σαρωτή κακόβουλου λογισμικού.
  • Ασφαλίστε τις συνδέσεις σας. Εξασφαλίστε προστασία με ένα υψηλής ποιότητας επί πληρωμή VPN με ιστορικό κορυφαίου απορρήτου και ασφάλειας στο διαδίκτυο.
  • Συνηθίστε να αλλάζετε τα προεπιλεγμένα διαπιστευτήρια σύνδεσης του δρομολογητή σας, καθώς και άλλες συσκευές IoT ή NAS .
  • Να έχετε εγκαταστήσει ένα τείχος προστασίας και να έχει ρυθμιστεί σωστά για να διατηρεί τα κακά πράγματα εκτός του δικτύου σας.
  • Ασφαλίστε τις συσκευές σας με ισχυρούς, μοναδικούς κωδικούς πρόσβασης.
  • Ενεργοποίηση κρυπτογράφησης .

Εάν ο δρομολογητής σας ενδέχεται να επηρεαστεί, ίσως είναι καλή ιδέα να επικοινωνήσετε με τον ιστότοπο του κατασκευαστή για τυχόν νέες πληροφορίες και μέτρα που πρέπει να λάβετε για την προστασία των συσκευών σας. Αυτό είναι ένα άμεσο βήμα που πρέπει να ακολουθήσετε, καθώς όλες οι πληροφορίες σας περνούν μέσω του δρομολογητή σας. Όταν ένας δρομολογητής διακυβεύεται, διακυβεύεται το απόρρητο και η ασφάλεια των συσκευών σας.

Σύνοψη

Το κακόβουλο λογισμικό VPNFilter μπορεί επίσης να είναι μια από τις ισχυρότερες και πιο άφθαρτες απειλές για να χτυπήσει εταιρικούς και μικρούς δρομολογητές γραφείου ή οικιακής χρήσης ιστορία. Αρχικά εντοπίστηκε σε συσκευές δικτύου Linksys, NETGEAR, MikroTik και TP-Link και συσκευές QNAP NAS. Μπορείτε να βρείτε τη λίστα των δρομολογητών που επηρεάζονται παραπάνω.

Το VPNFilter δεν μπορεί να αγνοηθεί μετά την εκκίνηση περίπου 500.000 μολύνσεων σε 54 χώρες. Λειτουργεί σε τρία στάδια και καθιστά τους δρομολογητές μη λειτουργικούς, συλλέγει πληροφορίες που περνούν από τους δρομολογητές, και ακόμη και εμποδίζει την κυκλοφορία του δικτύου. Ο εντοπισμός και η ανάλυση της δραστηριότητας του δικτύου παραμένει μια δύσκολη υπόθεση.

Σε αυτό το άρθρο, περιγράφουμε τρόπους για να προστατευτείτε από το κακόβουλο λογισμικό και τα βήματα που μπορείτε να ακολουθήσετε εάν ο δρομολογητής σας έχει παραβιαστεί. Οι συνέπειες είναι τρομερές, οπότε δεν πρέπει ποτέ να παραμείνετε στο σημαντικό καθήκον του ελέγχου των συσκευών σας.

Βίντεο YouTube: Τρόπος αναγνώρισης και επίλυσης VPNFilter τώρα κακόβουλου λογισμικού

04, 2024