Το κακόβουλο λογισμικό σε δρομολογητές, συσκευές δικτύου και το Διαδίκτυο των πραγμάτων είναι όλο και πιο κοινό. Τα περισσότερα από αυτά μολύνουν ευάλωτες συσκευές και ανήκουν σε πολύ ισχυρά botnet. Οι δρομολογητές και οι συσκευές Διαδικτύου των πραγμάτων (IoT) τροφοδοτούνται πάντα, είναι πάντα συνδεδεμένοι και περιμένουν οδηγίες. Και τα botnet εκμεταλλεύονται αυτό για να επιτεθούν σε αυτές τις συσκευές.
Αλλά δεν είναι όλα τα κακόβουλα προγράμματα ( malware ) τα ίδια.
Το VPNFilter είναι ένα καταστροφικό κακόβουλο λογισμικό που επιτίθεται σε δρομολογητές, συσκευές IoT, ακόμη και σε ορισμένες συσκευές αποθήκευσης που συνδέονται με το δίκτυο (NAS). Πώς εντοπίζετε εάν οι συσκευές σας έχουν μολυνθεί με κακόβουλο λογισμικό VPNFilter; Και πώς μπορείτε να το αφαιρέσετε; Ας ρίξουμε μια πιο προσεκτική ματιά στο VPNFilter μέσα από το παρακάτω άρθρο.
Τι είναι το Malware VPNFilter; Πώς να το αφαιρέσετε;
Το VPNFilter είναι μια εξελιγμένη αρθρωτή παραλλαγή κακόβουλου λογισμικού που στοχεύει κυρίως συσκευές δικτύου από μια σειρά κατασκευαστών, καθώς και συσκευές NAS. Το VPNFilter εντοπίστηκε αρχικά σε συσκευές δικτύου Linksys , MikroTik, NETGEAR και TP-Link , καθώς και σε συσκευές QNAP NAS, με περίπου 500.000 μολύνσεις σε 54 χώρες.
Η ομάδα εντοπισμού VPNFilter, η Cisco Talos, ενημέρωσε πρόσφατα λεπτομέρειες σχετικά με αυτό το κακόβουλο λογισμικό, δείχνοντας ότι οι συσκευές δικτύου από κατασκευαστές όπως η ASUS, η D-Link, η Huawei, η Ubiquiti, η UPVEL και η ZTE εμφανίζουν προς το παρόν σημάδια μόλυνσης με το VPNFilter. Ωστόσο, κατά τη στιγμή της γραφής, καμία συσκευή δικτύου Cisco δεν επηρεάστηκε.
Αυτό το κακόβουλο λογισμικό είναι σε αντίθεση με τα περισσότερα άλλα κακόβουλα προγράμματα που εστιάζονται στο IoT, επειδή παραμένει μετά την επανεκκίνηση του συστήματος, καθιστώντας πιο δύσκολη την αφαίρεσή του. Συσκευές που χρησιμοποιούν τα προεπιλεγμένα διαπιστευτήρια σύνδεσής τους ή με τρωτά σημεία zero-day (άγνωστα τρωτά σημεία λογισμικού υπολογιστή) που δεν ενημερώνονται τακτικά με υλικολογισμικό είναι ιδιαίτερα ευάλωτα.
Το VPNFilter είναι ένα "πολλαπλών μονάδων, πολλαπλών πλατφορμών" που μπορεί να βλάψει και να καταστρέψει συσκευές. Επιπλέον, μπορεί επίσης να γίνει μια ανησυχητική απειλή, η συλλογή δεδομένων χρηστών. Το VPNFilter λειτουργεί σε διάφορα στάδια.
Φάση 1 : Το VPNFilter στη φάση 1 δημιουργεί μια τοποθεσία προσγείωσης στη συσκευή, επικοινωνεί με τον διακομιστή εντολών και ελέγχου (C&C) για λήψη πρόσθετων λειτουργικών μονάδων και περιμένει οδηγίες. Η Φάση 1 έχει επίσης πολλαπλά ενσωματωμένα απρόβλεπτα για να τοποθετήσει τη φάση 2 C&C, σε περίπτωση αλλαγών υποδομής κατά την υλοποίηση. Το κακόβουλο λογισμικό VPNFilter Stage 1 μπορεί επίσης να επιβιώσει στις επανεκκινήσεις, καθιστώντας το μια πολύ επικίνδυνη απειλή.
Στάδιο 2 : Το VPNFilter στο στάδιο 2 δεν παραμένει μετά από επανεκκίνηση, αλλά έχει πολλές δυνατότητες σε αυτό το στάδιο. Η Φάση 2 μπορεί να συλλέγει προσωπικά δεδομένα, να εκτελεί εντολές και να παρεμβαίνει στη διαχείριση της συσκευής. Επιπλέον, υπάρχουν στην πράξη διαφορετικές εκδόσεις της φάσης 2. Ορισμένες εκδόσεις είναι εξοπλισμένες με μια καταστροφική μονάδα που αντικαθιστά ένα διαμέρισμα του υλικολογισμικού της συσκευής και, στη συνέχεια, κάνει επανεκκίνηση για να καταστήσει τη συσκευή άχρηστη (ουσιαστικά, απενεργοποιώντας το κακόβουλο λογισμικό). ρύθμιση παραμέτρων δρομολογητή , συσκευών IoT ή NAS ).
Φάση 3 : Οι μονάδες VPNFilter στη φάση 3 λειτουργούν ως πρόσθετα για τη φάση 2, επεκτείνοντας τη λειτουργικότητα του VPNFilter. Μια μονάδα που λειτουργεί ως ανιχνευτής πακέτων , συλλέγοντας την εισερχόμενη κίνηση στη συσκευή και κλέβοντας τα διαπιστευτήρια σύνδεσης. Ένας άλλος τύπος επιτρέπει στο κακόβουλο λογισμικό σταδίου 2 να επικοινωνεί με ασφάλεια χρησιμοποιώντας το Tor . Η Cisco Talos βρήκε επίσης μια λειτουργική μονάδα που εισήγαγε κακόβουλο περιεχόμενο στην κίνηση που διέρχεται από τη συσκευή, πράγμα που σημαίνει ότι οι χάκερ θα μπορούσαν να εκμεταλλευτούν περαιτέρω άλλες συνδεδεμένες συσκευές μέσω δρομολογητών, συσκευών IoT ή NAS.
Επιπλέον, οι μονάδες VPNFilter «επιτρέπουν την κλοπή διαπιστευτηρίων ιστότοπου και την παρακολούθηση των πρωτοκόλλων Modbus SCADA».
Ένα άλλο ενδιαφέρον (αλλά όχι πρόσφατα ανακαλυφθέν) χαρακτηριστικό του κακόβουλου λογισμικού VPNFilter είναι η χρήση διαδικτυακών υπηρεσιών κοινής χρήσης φωτογραφιών για την εύρεση της διεύθυνσης IP του διακομιστή C&C. Η ανάλυση του Talos ανακάλυψε ότι το κακόβουλο λογισμικό παραπέμπει σε μια σειρά από διευθύνσεις URL Photobucket. Το κακόβουλο λογισμικό πραγματοποιεί λήψη της πρώτης εικόνας στη συλλογή αναφοράς URL και εξάγει τη διεύθυνση IP του διακομιστή που είναι κρυμμένη στα μεταδεδομένα εικόνας.
Η διεύθυνση IP "εξάγεται από τις 6 ακέραιες τιμές για γεωγραφικό πλάτος και μήκος GPS στις πληροφορίες EXIF ." Εάν αυτό αποτύχει, το κακόβουλο λογισμικό σταδίου 1 θα επιστρέψει στον κανονικό του τομέα (toknowall.com - περισσότερα για αυτό παρακάτω) για να πραγματοποιήσει λήψη της εικόνας και να επιχειρήσει την ίδια διαδικασία.
Η αναφορά ενημέρωσης του Talos δείχνει μερικές ενδιαφέρουσες λεπτομέρειες σχετικά με τη μονάδα ανίχνευσης πακέτων VPNFilter. Αντί να παρεμβαίνει σε όλα, έχει ένα αυστηρό σύνολο κανόνων, που στοχεύουν συγκεκριμένους τύπους κίνησης. Συγκεκριμένα, η κίνηση από ένα σύστημα βιομηχανικού ελέγχου (SCADA), χρησιμοποιώντας το TP-Link R600 VPN, συνδέεται με μια προκαθορισμένη λίστα διευθύνσεων IP (που υποδεικνύει προηγμένη γνώση δικτύων) και επιθυμητή κίνηση), καθώς και πακέτα δεδομένων των 150 byte ή μεγαλύτερος.
Ο Craig William, ανώτερος επικεφαλής τεχνολογίας και διευθυντής παγκόσμιας προσέγγισης στην Talos, είπε στην Ars: «Το VPNFilter αναζητά πολύ συγκεκριμένα πράγματα. Δεν προσπαθούν να συγκεντρώσουν όσο το δυνατόν περισσότερη κίνηση. Προσπαθούν μόνο να λάβουν μερικά πολύ μικρά πράγματα, όπως πληροφορίες σύνδεσης και κωδικούς πρόσβασης. Δεν έχουμε πολλές πληροφορίες για αυτό, εκτός από το να γνωρίζουμε ότι είναι πολύ στοχευμένο και εξαιρετικά εξελιγμένο. Ακόμα προσπαθούμε να μάθουμε σε ποιους εφαρμόζουν αυτή τη μέθοδο».
Το VPNFilter πιστεύεται ότι είναι έργο μιας ομάδας χάκερ που χρηματοδοτείται από το κράτος. Η μόλυνση από το VPNFilter ανακαλύφθηκε αρχικά στην Ουκρανία και πολλές πηγές πιστεύουν ότι είναι έργο της ομάδας hacking Fancy Bear που υποστηρίζεται από τη Ρωσία.
Ωστόσο, καμία χώρα ή ομάδα χάκερ δεν έχει αναλάβει την ευθύνη για αυτό το κακόβουλο λογισμικό. Δεδομένων των λεπτομερών και στοχευμένων κανόνων του κακόβουλου λογισμικού για το SCADA και άλλα πρωτόκολλα βιομηχανικών συστημάτων, η θεωρία ότι το λογισμικό υποστηρίζεται από ένα εθνικό κράτος φαίνεται πιο πιθανή.
Ωστόσο, το FBI πιστεύει ότι το VPNFilter είναι προϊόν της Fancy Bear. Τον Μάιο του 2018, το FBI κατέσχεσε έναν τομέα - ToKnowAll.com - που πιστεύεται ότι χρησιμοποιήθηκε για την εγκατάσταση και την εντολή του σταδίου 2 και του σταδίου 3 VPNFilter κακόβουλο λογισμικό. Η κατάσχεση αυτού του τομέα ήταν πιθανό. Σίγουρα βοήθησε να σταματήσει η άμεση εξάπλωση του VPNFilter, δεν έλυσε πλήρως το πρόβλημα. Η Υπηρεσία Ασφαλείας της Ουκρανίας (SBU) απέτρεψε μια επίθεση VPNFilter σε μονάδα επεξεργασίας χημικών τον Ιούλιο του 2018.
Το VPNFilter έχει επίσης ομοιότητες με το κακόβουλο λογισμικό BlackEnergy, ένα trojan APT που χρησιμοποιείται ενάντια σε μια σειρά στόχων στην Ουκρανία. Για άλλη μια φορά, αν και δεν υπάρχουν ακριβή στοιχεία, οι επιθέσεις που στοχεύουν ουκρανικά συστήματα προέρχονται κυρίως από ομάδες χάκερ με στενούς δεσμούς με τη Ρωσία.
Οι πιθανότητες είναι ότι ο δρομολογητής σας δεν έχει μολυνθεί με κακόβουλο λογισμικό VPNFilter. Αλλά είναι ακόμα καλύτερο να βεβαιωθείτε ότι η συσκευή σας είναι ασφαλής:
Ελέγξτε τον δρομολογητή σας με τον σύνδεσμο: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. Εάν η συσκευή σας δεν είναι στη λίστα, όλα είναι καλά.
Μπορείτε να επισκεφτείτε τη δοκιμαστική σελίδα VPNFilter της Symantec: http://www.symantec.com/filtercheck/. Ελέγξτε το πλαίσιο όρων και προϋποθέσεων και, στη συνέχεια, πατήστε το κουμπί Εκτέλεση VPNFilter Check στη μέση. Η δοκιμή θα ολοκληρωθεί σε λίγα δευτερόλεπτα.
Εάν το Symantec VPNFilter Check επιβεβαιώσει ότι ο δρομολογητής σας έχει μολυνθεί με VPNFilter, πρέπει να κάνετε τις ακόλουθες ενέργειες.
Επιπλέον, πρέπει να κάνετε πλήρη σάρωση συστήματος σε κάθε συσκευή που είναι συνδεδεμένη στον δρομολογητή που έχει μολυνθεί με VPNFilter.
Ο πιο αποτελεσματικός τρόπος για να αφαιρέσετε κακόβουλο λογισμικό VPNFilter είναι να χρησιμοποιήσετε λογισμικό προστασίας από ιούς καθώς και μια εφαρμογή αφαίρεσης κακόβουλου λογισμικού. Και τα δύο εργαλεία μπορούν να ανιχνεύσουν αυτόν τον ιό πριν μολύνει πραγματικά τον υπολογιστή και το δρομολογητή σας.
Το λογισμικό προστασίας από ιούς μπορεί να χρειαστεί αρκετές ώρες για να ολοκληρωθεί η διαδικασία, ανάλογα με την ταχύτητα του υπολογιστή σας, αλλά σας παρέχει επίσης τις καλύτερες μεθόδους για να αφαιρέσετε κακόβουλα αρχεία.
Αξίζει επίσης να εγκαταστήσετε ένα εργαλείο αφαίρεσης κακόβουλου λογισμικού, το οποίο εντοπίζει κακόβουλο λογισμικό όπως το VPNFilter και το σκοτώνει πριν δημιουργήσει οποιοδήποτε πρόβλημα.
Όπως και το λογισμικό προστασίας από ιούς, η διαδικασία σάρωσης κακόβουλου λογισμικού μπορεί να διαρκέσει πολλές ώρες ανάλογα με το μέγεθος του σκληρού δίσκου του υπολογιστή σας, καθώς και την ταχύτητά του.
Όπως και άλλοι ιοί, πρέπει επίσης να αφαιρέσετε το κακόβουλο λογισμικό VPNFilter από τον δρομολογητή σας. Για να το κάνετε αυτό, πρέπει να επαναφέρετε τον δρομολογητή στις προεπιλεγμένες εργοστασιακές του ρυθμίσεις.
Ο δρομολογητής σκληρής επαναφοράς απαιτεί να επαναφέρετε το δρομολογητή από την αρχή, συμπεριλαμβανομένης της δημιουργίας νέου κωδικού πρόσβασης διαχειριστή και της ρύθμισης ενός ασύρματου δικτύου για όλες τις συσκευές. Θα χρειαστεί λίγος χρόνος για να γίνει σωστά.
Θα πρέπει πάντα να αλλάζετε τα προεπιλεγμένα διαπιστευτήρια του δρομολογητή σας, καθώς και οποιωνδήποτε συσκευών IoT ή NAS (η εκτέλεση αυτής της εργασίας δεν είναι εύκολη στις συσκευές IoT), αν είναι δυνατόν. Επιπλέον, ενώ υπάρχουν ενδείξεις ότι το VPNFilter μπορεί να παρακάμψει ορισμένα τείχη προστασίας , η σωστή εγκατάσταση και ρύθμιση παραμέτρων ενός τείχους προστασίας θα εξακολουθεί να βοηθάει να κρατήσετε πολλούς άλλους κακούς έξω από το δίκτυό σας.
Ο πιο αποτελεσματικός τρόπος για να αφαιρέσετε το κακόβουλο λογισμικό VPNFilter είναι να χρησιμοποιήσετε λογισμικό προστασίας από ιούς
Υπάρχουν μερικοί βασικοί τρόποι με τους οποίους μπορείτε να μειώσετε τον κίνδυνο να μολυνθείτε εκ νέου με το VPNFilter (ή οποιονδήποτε άλλο ιό), συμπεριλαμβανομένων συγκεκριμένων συμβουλών που σχετίζονται άμεσα με το VPNFilter.
Ο ενημερωμένος δρομολογητής προστατεύεται από κακόβουλο λογισμικό VPNFilter καθώς και από άλλες απειλές ασφαλείας. Να θυμάστε πάντα να το ενημερώνετε το συντομότερο δυνατό.
Μην χρησιμοποιείτε τον προεπιλεγμένο κωδικό πρόσβασης που έχει ορίσει ο κατασκευαστής του δρομολογητή. Δημιουργήστε τους δικούς σας κωδικούς πρόσβασης που είναι ισχυρότεροι και λιγότερο πιθανό να δεχθούν επίθεση από κακόβουλους παράγοντες.
Διατηρήστε ενημερωμένα τα προγράμματα προστασίας από ιούς και κακόβουλο λογισμικό. Νέοι ορισμοί ιών κυκλοφορούν τακτικά και αυτοί κρατούν τον υπολογιστή σας ενήμερο για νέους ιούς και απειλές κακόβουλου λογισμικού που πρέπει να αναζητήσετε.
Είναι σημαντικό να γνωρίζετε ξεκάθαρα την πηγή των προγραμμάτων και των εφαρμογών που έχετε κατεβάσει. Οι λιγότερο αξιόπιστοι ιστότοποι έχουν πολλά πρόσθετα που δεν χρειάζεστε, όπως το VPNFilter.
Όταν εμφανίζεται ένα banner ενώ περιηγείστε σε έναν ιστότοπο, μην κάνετε κλικ σε αυτό. Συνήθως, ο ασφαλέστερος τρόπος είναι να επισκεφτείτε έναν άλλο ιστότοπο και όχι σε έναν ιστότοπο γεμάτο με αναδυόμενες διαφημίσεις.
Το κακόβουλο λογισμικό στους δρομολογητές είναι όλο και πιο δημοφιλές. Οι ευπάθειες κακόβουλου λογισμικού και IoT είναι παντού και με τον συνεχώς αυξανόμενο αριθμό συσκευών στο διαδίκτυο, η κατάσταση θα επιδεινωθεί. Ο δρομολογητής είναι το εστιακό σημείο για τα δεδομένα στο σπίτι σας. Ωστόσο, δεν λαμβάνει τόσο μεγάλη προσοχή ασφαλείας όσο άλλες συσκευές. Με απλά λόγια, οι δρομολογητές δεν είναι τόσο ασφαλείς όσο νομίζετε.
Δείτε περισσότερα:
Όταν τα Windows εμφανίζουν το σφάλμα "Δεν έχετε άδεια αποθήκευσης σε αυτήν τη θέση", αυτό θα σας εμποδίσει να αποθηκεύσετε αρχεία στους επιθυμητούς φακέλους.
Ο διακομιστής Syslog είναι ένα σημαντικό μέρος του οπλοστασίου ενός διαχειριστή IT, ειδικά όταν πρόκειται για τη διαχείριση αρχείων καταγραφής συμβάντων σε μια κεντρική τοποθεσία.
Σφάλμα 524: Παρουσιάστηκε ένα χρονικό όριο λήξης είναι ένας κωδικός κατάστασης HTTP για το Cloudflare που υποδεικνύει ότι η σύνδεση με τον διακομιστή έκλεισε λόγω χρονικού ορίου.
Ο κωδικός σφάλματος 0x80070570 είναι ένα κοινό μήνυμα σφάλματος σε υπολογιστές, φορητούς υπολογιστές και tablet με λειτουργικό σύστημα Windows 10. Ωστόσο, εμφανίζεται επίσης σε υπολογιστές με Windows 8.1, Windows 8, Windows 7 ή παλαιότερες εκδόσεις.
Το σφάλμα μπλε οθόνης θανάτου BSOD PAGE_FAULT_IN_NONPAGED_AREA ή STOP 0x00000050 είναι ένα σφάλμα που εμφανίζεται συχνά μετά την εγκατάσταση ενός προγράμματος οδήγησης συσκευής υλικού ή μετά την εγκατάσταση ή την ενημέρωση ενός νέου λογισμικού και σε ορισμένες περιπτώσεις η αιτία είναι ότι το σφάλμα οφείλεται σε κατεστραμμένο διαμέρισμα NTFS.
Το εσωτερικό σφάλμα προγράμματος προγραμματισμού βίντεο είναι επίσης ένα θανατηφόρο σφάλμα μπλε οθόνης, αυτό το σφάλμα εμφανίζεται συχνά στα Windows 10 και στα Windows 8.1. Αυτό το άρθρο θα σας δείξει μερικούς τρόπους για να διορθώσετε αυτό το σφάλμα.
Για να κάνετε την εκκίνηση των Windows 10 πιο γρήγορη και να μειώσετε τον χρόνο εκκίνησης, ακολουθούν τα βήματα που πρέπει να ακολουθήσετε για να καταργήσετε το Epic από την εκκίνηση των Windows και να αποτρέψετε την εκκίνηση του Epic Launcher με τα Windows 10.
Δεν πρέπει να αποθηκεύετε αρχεία στην επιφάνεια εργασίας. Υπάρχουν καλύτεροι τρόποι για να αποθηκεύετε αρχεία υπολογιστή και να διατηρείτε την επιφάνεια εργασίας σας τακτοποιημένη. Το παρακάτω άρθρο θα σας δείξει πιο αποτελεσματικά μέρη για την αποθήκευση αρχείων στα Windows 10.
Όποιος κι αν είναι ο λόγος, μερικές φορές θα χρειαστεί να προσαρμόσετε τη φωτεινότητα της οθόνης ώστε να ταιριάζει σε διαφορετικές συνθήκες φωτισμού και σκοπούς. Εάν πρέπει να παρατηρήσετε τις λεπτομέρειες μιας εικόνας ή να παρακολουθήσετε μια ταινία, πρέπει να αυξήσετε τη φωτεινότητα. Αντίθετα, μπορεί επίσης να θέλετε να μειώσετε τη φωτεινότητα για να προστατεύσετε την μπαταρία του φορητού υπολογιστή σας.
Ο υπολογιστής σας ξυπνά τυχαία και εμφανίζεται ένα παράθυρο που λέει "Έλεγχος για ενημερώσεις"; Συνήθως, αυτό οφείλεται στο πρόγραμμα MoUSOCoreWorker.exe - μια εργασία της Microsoft που βοηθά στον συντονισμό της εγκατάστασης των ενημερώσεων των Windows.
