Slik oppdager du VPNFilter Malware før den ødelegger ruteren din

Slik oppdager du VPNFilter Malware før den ødelegger ruteren din

Ruter, nettverksenhet og Internet of Things malware er stadig mer vanlig. De fleste fokuserer på å infisere sårbare enheter og legge dem til kraftige botnett. Rutere og Internet of Things (IoT) -enheter er alltid slått på, alltid online og venter på instruksjoner. Perfekt botnet -fôr, da.





Men ikke all skadelig programvare er den samme.



VPNFilter er en ødeleggende trussel mot skadelig programvare mot rutere, IoT-enheter og til og med noen nettverkstilkoblede lagringsenheter (NAS). Hvordan ser du etter en VPNFilter malware -infeksjon? Og hvordan kan du rydde opp? La oss se nærmere på VPNFilter.





Hva er VPNFilter?

VPNFilter er en sofistikert modulær malware -variant som først og fremst er rettet mot nettverksenheter fra et bredt spekter av produsenter, så vel som NAS -enheter. VPNFilter ble opprinnelig funnet på Linksys, MikroTik, NETGEAR og TP-Link nettverksenheter, samt QNAP NAS-enheter, med rundt 500 000 infeksjoner i 54 land.

De team som avdekket VPNFilter , Cisco Talos, nylig oppdaterte detaljer angående skadelig programvare, noe som indikerer at nettverksutstyr fra produsenter som ASUS, D-Link, Huawei, Ubiquiti, UPVEL og ZTE nå viser VPNFilter-infeksjoner. I skrivende stund påvirkes imidlertid ingen Cisco -nettverksenheter.



Skadelig programvare er i motsetning til de fleste andre IoT-fokuserte malware fordi den vedvarer etter en omstart av systemet, noe som gjør det vanskelig å utrydde. Enheter som bruker standard påloggingsinformasjon eller med kjente null-dagers sårbarheter som ikke har mottatt fastvareoppdateringer, er spesielt sårbare.

Last ned videoer fra YouTube til iPhone

Hva gjør VPNFilter?

Så, VPNFilter er en 'flertrinns, modulær plattform' som kan forårsake ødeleggende skade på enheter. Videre kan det også fungere som en trussel om datainnsamling. VPNFilter fungerer i flere stadier.



1. stadie: VPNFilter Stage 1 etablerer et strandhode på enheten og kontakter kommando- og kontrollserveren (C&C) for å laste ned flere moduler og vente på instruksjoner. Fase 1 har også flere innebygde oppsigelser for å finne trinn 2 C & C -er i tilfelle infrastrukturendring under distribusjon. Stage 1 VPNFilter -malware er også i stand til å overleve en omstart, noe som gjør det til en robust trussel.

Trinn 2: VPNFilter Stage 2 vedvarer ikke ved omstart, men det kommer med et bredere spekter av muligheter. Trinn 2 kan samle inn private data, utføre kommandoer og forstyrre enhetsadministrasjon. Det er også forskjellige versjoner av trinn 2 i naturen. Noen versjoner er utstyrt med en destruktiv modul som overskriver en partisjon av enhetens fastvare, og starter deretter på nytt for å gjøre enheten ubrukelig (skadelig programvare gjør ruteren, IoT eller NAS -enheten i utgangspunktet).



Trinn 3: VPNFilter Stage 3 -moduler fungerer som plugins for Stage 2, og utvider funksjonaliteten til VPNFilter. En modul fungerer som en pakkesniffer som samler innkommende trafikk på enheten og stjeler legitimasjon. En annen lar Stage 2 -skadelig programvare kommunisere sikkert ved hjelp av Tor. Cisco Talos fant også en modul som injiserer skadelig innhold i trafikk som går gjennom enheten, noe som betyr at hackeren kan levere ytterligere utnyttelser til andre tilkoblede enheter gjennom en ruter, IoT eller NAS -enhet.

I tillegg tillater VPNFilter -moduler 'tyveri av nettstedets legitimasjon og overvåking av Modbus SCADA -protokoller.'

Photo Sharing Meta

En annen interessant (men ikke nylig oppdaget) funksjon av VPNFilter -skadelig programvare er bruken av online fotodelingstjenester for å finne IP -adressen til C & C -serveren. Talos -analysen fant at skadelig programvare viser til en serie Photobucket -nettadresser. Den skadelige programvaren laster ned det første bildet i galleriet, URL -referansene og trekker ut en server -IP -adresse som er skjult i bildemetadataene.

IP -adressen 'er hentet fra seks heltallsverdier for GPS -breddegrad og lengdegrad i EXIF ​​-informasjonen.' Hvis det mislykkes, faller Stage 1-malware tilbake til et vanlig domene (toknowall.com --- mer om dette nedenfor) for å laste ned bildet og prøve den samme prosessen.

Målrettet pakkesniffing

Den oppdaterte Talos -rapporten avslørte noen interessante innsikt i VPNFilter -pakkesniffemodulen. I stedet for å bare sveve alt opp, har det et ganske strengt sett med regler som er rettet mot bestemte typer trafikk. Spesielt trafikk fra industrielle kontrollsystemer (SCADA) som kobles til med TP-Link R600 VPN-er, tilkoblinger til en liste med forhåndsdefinerte IP-adresser (som indikerer avansert kunnskap om andre nettverk og ønskelig trafikk), samt datapakker på 150 byte eller større.

Craig William, senior teknologileder og global oppsøkende leder i Talos, fortalte Ars , 'De leter etter veldig spesifikke ting. De prøver ikke å samle så mye trafikk som de kan. De er ute etter visse veldig små ting som legitimasjon og passord. Vi har ikke mye intelligens om det annet enn at det virker utrolig målrettet og utrolig sofistikert. Vi prøver fortsatt å finne ut hvem de brukte det på. '

Hvor kom VPNFilter fra?

VPNFilter antas å være arbeidet til en statlig sponset hackergruppe. At den første VPNFilter-infeksjonsbølgen hovedsakelig føltes i hele Ukraina, pekte de første fingrene på fingeravtrykk med russisk støtte og hackergruppen Fancy Bear.

Imidlertid er det sofistikert med skadelig programvare. Det er ingen klar opprinnelse, og ingen hackergruppe, nasjonalstat eller på annen måte har gått frem for å kreve skadelig programvare. Gitt de detaljerte malware-reglene og målrettingen av SCADA og andre industrielle systemprotokoller, virker en nasjonalstatsaktør mest sannsynlig.

Uavhengig av hva jeg tror, ​​mener FBI VPNFilter er en Fancy Bear -skapelse. I mai 2018 ble FBI tok et domene --- ToKnowAll.com --- det ble antatt å ha blitt brukt til å installere og kommandere Stage 2 og Stage 3 VPNFilter malware. Domenebeslaget bidro absolutt til å stoppe den umiddelbare spredningen av VPNFilter, men kuttet ikke hovedåren; den ukrainske SBU tok ned et VPNFilter-angrep på et kjemisk behandlingsanlegg i juli 2018, for ett.

hvordan du formaterer en skrivebeskyttet flash -stasjon

VPNFilter har også likheter med BlackEnergy-skadelig programvare, en APT-trojaner i bruk mot et bredt spekter av ukrainske mål. Igjen, selv om dette langt fra er fullstendig bevis, stammer den systemiske målrettingen mot Ukraina hovedsakelig fra hackinggrupper med russiske bånd.

Er jeg infisert med VPNFilter?

Sjansen er stor for at ruteren din ikke inneholder VPNFilter -skadelig programvare. Men det er alltid bedre å være trygg enn å beklage:

  1. Sjekk denne listen for ruteren din. Hvis du ikke er på listen, er alt i orden.
  2. Du kan gå til Symantec VPNFilter Check -nettstedet. Merk av i vilkårene og klikk deretter på Kjør VPNFilter Check knappen i midten. Testen fullføres i løpet av sekunder.

Jeg er infisert med VPNFilter: Hva gjør jeg?

Hvis Symantec VPNFilter Check bekrefter at ruteren din er infisert, har du en klar fremgangsmåte.

  1. Tilbakestill ruteren, og kjør deretter VPNFilter Check igjen.
  2. Tilbakestill ruteren til fabrikkinnstillingene.
  3. Last ned den nyeste fastvaren for ruteren din, og fullfør en ren fastvareinstallasjon, helst uten at ruteren har en online tilkobling under prosessen.

I tillegg til dette må du fullføre systemskanninger på hver enhet som er koblet til den infiserte ruteren.

Du bør alltid endre standard påloggingsinformasjonen til ruteren din, så vel som alle IoT- eller NAS -enheter (IoT -enheter gjør ikke denne oppgaven enkel) hvis det er mulig. Selv om det er bevis på at VPNFilter kan unngå noen brannmurer, å ha en installert og riktig konfigurert vil hjelpe til med å holde mange andre stygge ting utenfor nettverket ditt.

Se opp for ruter -skadelig programvare!

Ruter malware er stadig mer vanlig. IoT -skadelig programvare og sårbarhet er overalt, og med antall enheter som kommer på nettet, blir det bare verre. Ruteren din er fokuspunktet for data i hjemmet ditt. Likevel får den ikke så mye sikkerhetsoppmerksomhet som andre enheter.

Enkelt sagt, ruteren din er ikke sikker som du tror.

Dele Dele kvitring E -post En nybegynnerguide for animering av tale

Å animere tale kan være en utfordring. Hvis du er klar til å begynne å legge til dialog i prosjektet ditt, bryter vi ned prosessen for deg.

Les neste Relaterte temaer
  • Sikkerhet
  • Ruter
  • Online sikkerhet
  • Internett av ting
  • Skadevare
Om forfatteren Gavin Phillips(945 artikler publisert)

Gavin er Junior Editor for Windows and Technology Explained, en fast bidragsyter til den virkelig nyttige podcasten, og en vanlig produktanmelder. Han har en BA (Hons) Contemporary Writing with Digital Art Practices plyndret fra åsene i Devon, i tillegg til over et tiår med profesjonell skriveerfaring. Han liker store mengder te, brettspill og fotball.

hvordan sjekke om facebook -kontoen din er hacket
Mer fra Gavin Phillips

Abonner på vårt nyhetsbrev

Bli med i vårt nyhetsbrev for tekniske tips, anmeldelser, gratis ebøker og eksklusive tilbud!

Klikk her for å abonnere