Kuidas tuvastada ja parandada VPNFilteri pahavara nüüd (04.25.24)

Kõiki pahavara pole loodud võrdsetena. Selle üheks tõestuseks on VPNFilteri pahavara olemasolu - uus ruuteri pahavara, millel on hävitavad omadused. Üks eristav omadus on see, et see suudab taaskäivitamise üle elada, erinevalt enamikust teistest asjade Interneti (IoT) ohtudest.

Laske sellel artiklil teid nii VPNFilteri pahavara kui ka sihtmärkide loendi tuvastamisel. Samuti õpetame teile, kuidas vältida selle kõigepealt teie süsteemis laastamist.

Mis on VPNFilteri pahavara?

Mõelge VPNFilterist kui hävitavast pahavarast, mis ähvardab ruutereid, IoT-seadmeid ja isegi võrguga seotud salvestusseadmed (NAS). Seda peetakse keerukaks modulaarseks pahavara variandiks, mis on suunatud peamiselt erinevate tootjate võrguseadmetele.

Esialgu tuvastati pahavara Linksys, NETGEAR, MikroTik ja TP-Link võrguseadmetes. See avastati ka QNAP NAS-i seadmetest. Praeguseks on umbes 500 000 nakatumist 54 riigis, mis näitab selle tohutut haaret ja kohalolekut.

VPNFilteriga kokku puutunud meeskond Cisco Talos pakub ulatuslikku ajaveebipostitust selle ümbritseva pahavara ja tehniliste üksikasjade kohta. Välimuselt on ASUS-i, D-Linki, Huawei, UPVEL-i, Ubiqiuiti ja ZTE võrguseadmetel nakkusnähud.

Erinevalt enamikust teistest IoT-sihitud pahavara on VPNFilterit raske eemaldada, kuna see püsib ka pärast süsteemi taaskäivitamist. Selle rünnakute suhtes haavatavaks osutuvad seadmed, mis kasutavad vaikimisi sisselogimismandaate, või need, millel on teadaolevad nullpäevased haavatavused ja millel pole veel püsivara värskendusi.

Seadmed, mida VPN võib mõjutada

Teadaolevalt on selle pahavara sihtmärgiks nii ettevõtte kui ka väikese kontori või kodukontori ruuter. Pange tähele järgmisi ruuteri kaubamärke ja mudeleid:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB soon
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Upvel Devices -teadmata mudelid
  • ZTE-seadmed ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • muu QNAP QTS-tarkvara kasutavad NAS-seadmed

Enamiku sihitud seadmete seas on ühiseks nimetajaks vaikimisi volituste kasutamine. Neil on ka teadaolevaid ärakasutamisvõimalusi, eriti vanemate versioonide puhul.

Mida teeb pahavara nakatunud seadmetele?

VPNFilter töötab nii, et kahjustatud seadmetele tekitaks kurnavaid kahjustusi kui ka andmete kogumise meetodit. See töötab kolmes etapis:

1. etapp

See tähistab installimist ja püsiva kohaloleku säilitamist sihtseadmes. Pahavara võtab täiendavate moodulite allalaadimiseks ja juhiste ootamiseks ühendust käsu- ja juhtimisserveriga (C & amp; C). Selles etapis toimub mitu sisseehitatud koondamist, et leida 2. etapi C ja Cs asukohad juhul, kui ohu kasutamisel toimub infrastruktuuri muutus. 1. etapp VPNFilter talub taaskäivitamist.

2. etapp

See sisaldab peamist kasulikku koormust. Ehkki taaskäivitamisel ei saa püsida, on tal rohkem võimalusi. See on võimeline koguma faile, täitma käske ning teostama andmete väljafiltratsiooni ja seadmehaldust. Jätkates selle hävitavat mõju, võib pahavara seadme "telliskivi" teha, kui ta saab ründajatelt käsu. See viiakse läbi seadme püsivara osa ülekirjutamise ja sellele järgneva taaskäivitamise kaudu. Kuriteod muudavad seadme kasutuskõlbmatuks.

3. etapp

Selle kohta on teada mitu teadaolevat moodulit, mis toimivad 2. etapi pistikprogrammidena. Need sisaldavad pakettide nuusutajat, et nuhkida läbi seadme suunatavat liiklust, võimaldades veebisaidi mandaatide vargust Modbus SCADA protokollide jälgimine. Teine moodul võimaldab 2. etapil Tori kaudu turvaliselt suhelda. Cisco Talose uurimise põhjal pakub üks moodul seadet läbivale liiklusele pahatahtlikku sisu. Nii saavad ründajad ühendatud seadmeid veelgi mõjutada.

6. juunil paljastati veel kaks 3. etapi moodulit. Esimest neist nimetatakse “ssleriks” ja see suudab kogu seadet läbiva liikluse pordi 80 abil kinni pidada. See võimaldab ründajatel veebiliiklust vaadata ja pealt kuulata, et keskmisel rünnakul inimest hukata. See võib näiteks muuta HTTPS-i taotlused HTTP-deks, saates väidetavalt krüptitud andmeid ebaturvaliselt. Teine kannab nime "dstr", mis sisaldab kill käsku mis tahes 2. etapi moodulites, kus see funktsioon puudub. Kui see on täidetud, kõrvaldab see kõik pahavara jäljed enne, kui see seadet tellib.

Siin on veel seitse 3. etapi moodulit, mis ilmusid 26. septembril:
  • htpx - see töötab täpselt nagu ssler, suunab ja kontrollib kogu nakatunud seadet läbivat HTTP-liiklust, et tuvastada ja logida kõik Windowsi käivitatavad failid. See võib Trooja-ize käivitatavad failid läbida nakatunud ruutereid, mis võimaldab ründajatel installida pahavara erinevatesse sama võrku ühendatud masinatesse.
  • ndbr - seda peetakse mitmefunktsionaalseks SSH-i tööriistaks.
  • nm - see moodul on võrgu kaardistamise relv kohaliku alamvõrgu skannimiseks .
  • netfilter - see teenuse keelamise utiliit võib blokeerida juurdepääsu mõnele krüptitud rakendusele.
  • portforwarding - see edastab võrguliikluse ründajate määratud infrastruktuurile.
  • socks5proxy - see võimaldab haavatavates seadmetes luua SOCKS5 puhverserveri.
VPNFilteri päritolu on selgunud

See pahavara on tõenäoliselt riigi toetatava häkkimisüksuse töö. Esialgsed nakkused tekkisid peamiselt Ukrainas, põhjustades selle hõlpsalt häkkimisrühmale Fancy Bear ja Venemaa toetatud rühmadele.

See aga illustreerib VPNFilteri keerukat olemust. Seda ei saa seostada selge päritolu ja konkreetse häkkimisgrupiga ning keegi peab veel astuma, et selle eest vastutust võtta. Rahvusriigi sponsoriga spekuleeritakse, kuna SCADA-l ja teistel tööstussüsteemi protokollidel on kõikehõlmavad pahavara reeglid ja sihtimine.

Kui peaksite siiski FBI-lt küsima, on VPNFilter Fancy Bear'i idee. Veel 2018. aasta mais arestis agentuur ToKnowAll.com domeeni, mis arvatakse olevat oluline 2. ja 3. etapi VPNFiltri installimisel ja juhtimisel. Arestimine aitas pahavara levikut peatada, kuid see ei suutnud põhipildi lahendada.

FBI esitas oma 25. mai teates kasutajatele viivitamatu taotluse taaskäivitada oma WiFi-ruuterid kodus, et peatada suur välismaal asuv pahavara rünnak. Sel ajal näitas agentuur välismaiseid küberkurjategijaid väikeste kontori- ja koduste WiFi-ruuterite - koos teiste võrguseadmetega - ohustamiseks saja tuhande võrra.

Olen lihtsalt tavaline kasutaja - mida tähendab VPNFilter Attack Mina?

Hea uudis on see, et teie ruuteril pole tõenäoliselt pesteri pahavara, kui kontrollisite ülaltoodud VPNFilteri ruuteri loendit. Kuid alati on kõige parem eksida ettevaatusega. Symantec käivitab VPNFilter Checki, et saaksite testida, kas see mõjutab teid või mitte. Kontrolli käivitamiseks kulub vaid mõni sekund.

Nüüd on siin asi. Mis siis, kui olete tegelikult nakatunud? Uurige neid samme:
  • lähtestage ruuter. Seejärel käivitage veel kord VPNFilter Check.
  • Lähtestage ruuter tehaseseadetele.
  • Kaaluge seadme kaughaldusseadete keelamist.
  • Laadige ruuteri jaoks alla kõige uuem püsivara. Tehke puhas püsivara install, ideaalselt ilma, et ruuter oleks protsessi ajal võrguühendust loomas.
  • Viige nakatunud ruuteriga ühendatud arvutis või seadmes läbi täielik süsteemi skannimine. Ärge unustage kasutada usaldusväärse pahavara skanneriga töötamiseks usaldusväärset arvuti optimeerija tööriista.
  • Turvaline ühendus. Hankige end kaitstud kvaliteetse tasulise VPN-iga, millel on tippklõpsamise võrgu privaatsus ja turvalisus.
  • Harjuge oma ruuteri, aga ka muude IoT või NAS-i seadmete vaikimisi sisselogimismandaate muutma. . .

Kui see võib teie ruuterit mõjutada, võib olla hea uurida tootja veebisaidilt uut teavet ja seadmete kaitsmiseks võetavaid samme. See on kohene samm, sest kogu teie teave käib ruuteri kaudu. Kui ruuter on rikutud, on ohus teie seadmete privaatsus ja turvalisus.

Kokkuvõte

VPNFilteri pahavara võib olla hiljuti üks tugevamaid ja hävitamatumaid ohte ettevõtte ja väikeste kontorite või koduste ruuterite tabamiseks. ajalugu. Esialgu tuvastati see Linksys, NETGEAR, MikroTik ja TP-Link võrguseadmetes ning QNAP NAS seadmetes. Mõjutatud ruuterite loendi leiate ülalt.

VPNFilterit ei saa eirata pärast umbes 500 000 nakkuse algatamist 54 riigis. See töötab kolmes etapis ja muudab ruuterid kasutamiskõlbmatuks, kogub ruuterit läbivat teavet ja isegi blokeerib võrguliikluse. Võrgutegevuse tuvastamine ja analüüsimine on endiselt keeruline ülesanne.

Selles artiklis kirjeldasime viise, kuidas kaitsta end pahavara eest, ja toimingud, mida saate teha, kui teie ruuterit on rikutud. Tagajärjed on kohutavad, nii et te ei tohiks kunagi oma seadmete kontrollimise juures olulist ülesannet täita.

Youtube video: Kuidas tuvastada ja parandada VPNFilteri pahavara nüüd

04, 2024