Haittaohjelmat reitittimissä, verkkolaitteissa ja esineiden Internetissä ovat yhä yleisempiä. Suurin osa niistä saastuttaa haavoittuvia laitteita ja kuuluu erittäin tehokkaisiin robottiverkkoihin. Reitittimet ja Internet of Things (IoT) -laitteet ovat aina päällä, aina online-tilassa ja odottavat ohjeita. Ja botnetit käyttävät tätä hyväkseen hyökätäkseen näitä laitteita vastaan.
Mutta kaikki haittaohjelmat ( malware ) eivät ole samoja.
VPNFilter on tuhoisa haittaohjelma, joka hyökkää reitittimiin, IoT-laitteisiin ja jopa joihinkin NAS-laitteisiin. Kuinka havaitset, ovatko laitteesi VPNFilter-haittaohjelmat saastuttamia? Ja miten voit poistaa sen? Tarkastellaan tarkemmin VPNFilteriä seuraavan artikkelin kautta.
Mikä on haittaohjelma VPNFilter? Kuinka poistaa se?
VPNFilter on kehittynyt modulaarinen haittaohjelmaversio, joka kohdistuu ensisijaisesti useiden valmistajien verkkolaitteisiin sekä NAS-laitteisiin. VPNFilter löydettiin alun perin Linksys- , MikroTik-, NETGEAR- ja TP-Link- verkkolaitteista sekä QNAP NAS -laitteista noin 500 000 tartunnalla 54 maassa.
VPNFilterin etsintätiimi, Cisco Talos, päivitti äskettäin tähän haittaohjelmaan liittyvät tiedot, jotka osoittavat, että ASUS:n, D-Linkin, Huawein, Ubiquitin, UPVEL:n ja ZTE:n kaltaisten valmistajien verkkolaitteet osoittavat tällä hetkellä merkkejä VPNFilterin saastuttamisesta. Kirjoitushetkellä tämä ei kuitenkaan vaikuttanut Ciscon verkkolaitteisiin.
Tämä haittaohjelma on toisin kuin useimmat muut IoT:hen keskittyvät haittaohjelmat, koska se säilyy järjestelmän uudelleenkäynnistyksen jälkeen, mikä tekee sen poistamisesta vaikeampaa. Erityisen haavoittuvia ovat laitteet, jotka käyttävät oletusarvoisia kirjautumistunnuksiaan tai joissa on nollapäivän haavoittuvuuksia (tuntemattomia tietokoneohjelmistojen haavoittuvuuksia), joita ei päivitetä säännöllisesti laiteohjelmistolla .
VPNFilter on "monimoduuli, cross-platform", joka voi vahingoittaa ja tuhota laitteita. Lisäksi siitä voi tulla huolestuttava uhka, joka kerää käyttäjätietoja. VPNFilter toimii useissa vaiheissa.
Vaihe 1 : VPNFilter vaiheessa 1 perustaa laskeutumispaikan laitteeseen, ottaa yhteyttä komento- ja ohjauspalvelimeen (C&C) ladatakseen lisämoduuleja ja odottaa ohjeita. Vaiheessa 1 on myös useita sisäänrakennettuja varauksia aseman vaiheen 2 C&C, jos infrastruktuuri muuttuu toteutuksen aikana. Vaiheen 1 VPNFilter-haittaohjelmat voivat myös selviytyä uudelleenkäynnistyksistä, mikä tekee siitä erittäin vaarallisen uhan.
Vaihe 2 : VPNFilter vaiheessa 2 ei säily uudelleenkäynnistyksen jälkeen, mutta siinä on paljon ominaisuuksia tässä vaiheessa. Vaihe 2 voi kerätä henkilötietoja, suorittaa komentoja ja häiritä laitehallintaa. Lisäksi vaiheesta 2 on käytännössä erilaisia versioita. Jotkin versiot on varustettu tuhoavalla moduulilla, joka korvaa laitteen laiteohjelmiston osion ja käynnistetään sitten uudelleen tehdäkseen laitteen käyttökelvottomaksi (pohjimmiltaan haittaohjelman poistaminen käytöstä). reitittimen , IoT- tai NAS -laitteiden määrittäminen ).
Vaihe 3 : Vaiheen 3 VPNFilter-moduulit toimivat vaiheen 2 laajennuksina ja laajentavat VPNFilterin toimintoja. Moduuli, joka toimii pakettien haistajana , joka kerää saapuvan liikenteen laitteelle ja varastaa kirjautumistiedot. Toisen tyypin avulla vaiheen 2 haittaohjelmat voivat kommunikoida turvallisesti Torin avulla . Cisco Talos löysi myös moduulin, joka ruiskutti haitallista sisältöä laitteen läpi kulkevaan liikenteeseen, mikä tarkoittaa, että hakkerit voisivat edelleen hyödyntää muita kytkettyjä laitteita reitittimien, IoT- tai NAS-laitteiden kautta.
Lisäksi VPNFilter-moduulit "mahdollistavat verkkosivustojen tunnistetietojen varastamisen ja Modbus SCADA -protokollien valvonnan".
Toinen mielenkiintoinen (mutta ei äskettäin löydetty) VPNFilter-haittaohjelman ominaisuus on sen online-valokuvien jakamispalvelujen käyttö C&C-palvelimen IP-osoitteen löytämiseksi . Talos-analyysissä havaittiin, että haittaohjelma viittaa sarjaan Photobucket-URL-osoitteita. Haittaohjelma lataa ensimmäisen kuvan URL-viitegalleriassa ja poimii kuvan metatietoihin piilotetun palvelimen IP-osoitteen .
IP-osoite "poimitaan EXIF- tiedoissa olevista GPS-leveys- ja pituusasteen 6 kokonaislukuarvosta ." Jos tämä epäonnistuu, vaiheen 1 haittaohjelma palaa normaaliin verkkotunnukseensa (toknowall.com - lisää alla) ladatakseen kuvan ja yrittääkseen samaa prosessia.
Taloksen päivitysraportti näyttää mielenkiintoisia yksityiskohtia VPNFilter-pakettien haistelumoduulista. Sen sijaan, että se puuttuisi kaikkeen, sillä on tiukat säännöt, jotka kohdistetaan tietyntyyppiseen liikenteeseen. Tarkemmin sanottuna teollisuusohjausjärjestelmästä (SCADA) tuleva liikenne, joka käyttää TP-Link R600 VPN:ää, muodostaa yhteyden ennalta määritettyyn luetteloon IP-osoitteista (osoittaa edistyneestä verkkotuntemuksesta) ja haluttuun liikenteeseen sekä 150 tavua tai datapaketteja. suurempi.
Talosin vanhempi teknologiajohtaja ja globaali tavoittavuuspäällikkö Craig William kertoi Arsille: "VPNFilter etsii hyvin erityisiä asioita. He eivät yritä kerätä mahdollisimman paljon liikennettä. He yrittävät vain saada joitain hyvin pieniä asioita, kuten kirjautumistietoja ja salasanoja. Meillä ei ole siitä paljon tietoa, paitsi että tiedämme, että se on hyvin kohdennettu ja erittäin hienostunut. Yritämme edelleen selvittää, kenelle he soveltavat tätä menetelmää."
VPNFilterin uskotaan olevan valtion tukeman hakkeriryhmän työtä. VPNFilter-infektio löydettiin alun perin Ukrainasta, ja monet lähteet uskovat, että se on Venäjän tukeman hakkerointiryhmän Fancy Bear työtä.
Mikään maa tai hakkeriryhmä ei kuitenkaan ole ottanut vastuuta tästä haittaohjelmasta. Ottaen huomioon haittaohjelman yksityiskohtaiset ja kohdistetut säännöt SCADA:lle ja muille teollisille järjestelmäprotokolleille, teoria, jonka mukaan ohjelmisto on kansallisvaltion tukema, vaikuttaa todennäköisimmältä.
FBI uskoo kuitenkin, että VPNFilter on Fancy Bearin tuote. Toukokuussa 2018 FBI takavarikoi verkkotunnuksen - ToKnowAll.com - jonka uskottiin käyneen vaiheen 2 ja 3 VPNFilter-haittaohjelmien asentamiseen ja komentoon. Tämän verkkotunnuksen takavarikointi oli todennäköistä. Se auttoi varmasti pysäyttämään VPNFilterin välittömän leviämisen, mutta se ei ratkaissut ongelmaa kokonaan. Ukrainan turvallisuuspalvelu (SBU) esti VPNFilter-hyökkäyksen kemiankäsittelylaitokseen heinäkuussa 2018.
VPNFilterillä on myös yhtäläisyyksiä BlackEnergy-haittaohjelmiin, APT- troijalaiseen, jota käytetään useisiin kohteisiin Ukrainassa. Jälleen kerran, vaikka tarkkaa näyttöä ei ole, ukrainalaisiin järjestelmiin kohdistuvat hyökkäykset tulevat pääasiassa hakkeriryhmiltä, joilla on läheiset siteet Venäjään.
Todennäköisesti reitittimesi ei ole VPNFilter-haittaohjelmatartunnan saanut. Mutta on silti parempi varmistaa, että laitteesi on turvallinen:
Tarkista reitittimesi linkistä: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. Jos laitettasi ei ole luettelossa, kaikki on kunnossa.
Voit vierailla Symantecin VPNFilter-testisivulla: http://www.symantec.com/filtercheck/. Tarkista käyttöehdot ja paina sitten Suorita VPNFilter Check -painiketta keskellä. Testi valmistuu muutamassa sekunnissa.
Jos Symantec VPNFilter Check vahvistaa, että reitittimesi on VPNFilterin saastuttama, sinun on suoritettava seuraavat toimet.
Lisäksi sinun on suoritettava täydellinen järjestelmätarkistus jokaisessa VPNFilter-tartunnan saaneeseen reitittimeen yhdistetyssä laitteessa.
Tehokkain tapa poistaa VPNFilter-haittaohjelmat on käyttää virustentorjuntaohjelmistoa sekä haittaohjelmien poistosovellusta. Molemmat työkalut voivat havaita tämän viruksen ennen kuin se saastuttaa tietokoneesi ja reitittimesi.
Virustorjuntaohjelmistolla saattaa kestää useita tunteja tietokoneen nopeudesta riippuen, mutta se tarjoaa myös parhaat menetelmät haitallisten tiedostojen poistamiseen.
Kannattaa myös asentaa haittaohjelmien poistotyökalu, joka havaitsee VPNFilterin kaltaiset haittaohjelmat ja tappaa ne ennen kuin se aiheuttaa ongelmia.
Virustorjuntaohjelmiston tavoin haittaohjelmien tarkistusprosessi voi kestää useita tunteja riippuen tietokoneesi kiintolevyn koosta ja sen nopeudesta.
Kuten muutkin virukset, sinun on myös poistettava VPNFilter-haittaohjelmat reitittimestäsi. Tätä varten sinun on palautettava reitittimen tehdasasetukset.
Hard reset -reititin edellyttää, että reititin on nollattava alusta alkaen, mukaan lukien uuden järjestelmänvalvojan salasanan luominen ja langattoman verkon määrittäminen kaikille laitteille. Kestää jonkin aikaa tehdä se oikein.
Sinun tulee aina vaihtaa reitittimesi ja kaikkien IoT- tai NAS-laitteiden oletustunnistetiedot (tämän tehtävän suorittaminen ei ole helppoa IoT-laitteilla), jos mahdollista. Lisäksi vaikka on todisteita siitä, että VPNFilter voi ohittaa jotkin palomuurit , palomuurin oikea asennus ja määrittäminen auttaa silti pitämään monet muut ilkeät poissa verkosta.
Tehokkain tapa poistaa VPNFilter-haittaohjelmat on käyttää virustorjuntaohjelmistoa
On olemassa muutamia keskeisiä tapoja, joilla voit vähentää riskiäsi saada uudelleen VPNFilter (tai mikä tahansa muu virus), mukaan lukien erityiset VPNFilteriin liittyvät vinkit.
Päivitetty reititin on suojattu VPNFilter-haittaohjelmilta sekä muilta tietoturvauhkilta. Muista aina päivittää se mahdollisimman pian.
Älä käytä reitittimen valmistajan asettamaa oletussalasanaa. Luo omat salasanasi, jotka ovat vahvempia ja jotka eivät todennäköisesti joutuisi pahantahtoisten toimijoiden hyökkäyksiin.
Pidä virus- ja haittaohjelmien torjuntaohjelmasi ajan tasalla. Uusia virusmääritelmiä julkaistaan säännöllisesti, ja ne pitävät tietokoneesi ajan tasalla uusista viruksista ja haittaohjelmista.
On tärkeää tietää selkeästi lataamiesi ohjelmien ja sovellusten lähde. Vähemmän hyvämaineisilla sivustoilla on monia lisäosia, joita et tarvitse, kuten VPNFilter.
Kun banneri tulee näkyviin selatessasi verkkosivustoa, älä napsauta sitä. Yleensä turvallisin tapa on vierailla toisella verkkosivustolla, ei ponnahdusikkunoita täynnä olevalla verkkosivustolla.
Reitittimien haittaohjelmat ovat yhä suositumpia. Haittaohjelmia ja IoT-haavoittuvuuksia on kaikkialla, ja verkossa olevien laitteiden määrän kasvaessa tilanne vain pahenee. Reititin on kotisi tiedon keskipiste. Se ei kuitenkaan saa niin paljon turvallisuushuomiota kuin muut laitteet. Yksinkertaisesti sanottuna reitittimet eivät ole niin turvallisia kuin luulet.
Katso lisää:
Kun Windows näyttää virheilmoituksen "Sinulla ei ole lupaa tallentaa tähän sijaintiin", tämä estää sinua tallentamasta tiedostoja haluttuihin kansioihin.
Syslog Server on tärkeä osa IT-järjestelmänvalvojan arsenaalia, varsinkin kun on kyse tapahtumalokien hallinnasta keskitetyssä paikassa.
Virhe 524: Aikakatkaisu tapahtui on Cloudflare-kohtainen HTTP-tilakoodi, joka ilmaisee, että yhteys palvelimeen katkesi aikakatkaisun vuoksi.
Virhekoodi 0x80070570 on yleinen virheilmoitus tietokoneissa, kannettavissa tietokoneissa ja tableteissa, joissa on Windows 10 -käyttöjärjestelmä. Se näkyy kuitenkin myös tietokoneissa, joissa on Windows 8.1, Windows 8, Windows 7 tai vanhempi.
Blue screen of death -virhe BSOD PAGE_FAULT_IN_NONPAGED_AREA tai STOP 0x00000050 on virhe, joka ilmenee usein laitteisto-ajurin asennuksen tai uuden ohjelmiston asennuksen tai päivityksen jälkeen, ja joissakin tapauksissa syynä on, että virhe johtuu korruptoituneesta NTFS-osiosta.
Video Scheduler Internal Error on myös tappava sininen näyttövirhe, tämä virhe ilmenee usein Windows 10:ssä ja Windows 8.1:ssä. Tämä artikkeli näyttää joitakin tapoja korjata tämä virhe.
Voit nopeuttaa Windows 10:n käynnistystä ja lyhentää käynnistysaikaa noudattamalla alla olevia ohjeita poistaaksesi Epicin Windowsin käynnistyksestä ja estääksesi Epic Launcherin käynnistymisen Windows 10:n kanssa.
Sinun ei pitäisi tallentaa tiedostoja työpöydälle. On olemassa parempia tapoja tallentaa tietokonetiedostoja ja pitää työpöytäsi siistinä. Seuraava artikkeli näyttää sinulle tehokkaampia paikkoja tiedostojen tallentamiseen Windows 10:ssä.
Oli syy mikä tahansa, joskus sinun on säädettävä näytön kirkkautta eri valaistusolosuhteiden ja -tarkoituksiin sopivaksi. Jos sinun on tarkkailtava kuvan yksityiskohtia tai katsottava elokuvaa, kirkkautta on lisättävä. Päinvastoin, saatat haluta myös vähentää kirkkautta suojataksesi kannettavan tietokoneen akkua.
Herääkö tietokoneesi satunnaisesti ja avaa ikkunan "Tarkistaa päivityksiä"? Yleensä tämä johtuu MoUSOCoreWorker.exe-ohjelmasta - Microsoftin tehtävästä, joka auttaa koordinoimaan Windows-päivitysten asennusta.
