Kā atklāt VPNFilter ļaunprātīgu programmatūru, pirms tā iznīcina maršrutētāju

Ļaunprātīga programmatūra maršrutētājos, tīkla ierīcēs un lietiskajā internetā kļūst arvien izplatītāka. Lielākā daļa no tiem inficē neaizsargātas ierīces un pieder ļoti jaudīgiem robottīkliem. Maršrutētāji un lietiskā interneta (IoT) ierīces vienmēr tiek darbinātas, vienmēr ir tiešsaistē un gaida norādījumus. Un robottīkli izmanto to, lai uzbruktu šīm ierīcēm.

Taču ne visas ļaunprogrammatūra ( ļaunprātīga programmatūra ) ir vienāda.

VPNFilter ir destruktīva ļaunprātīga programmatūra, kas uzbrūk maršrutētājiem, IoT ierīcēm un pat dažām tīklam pievienotām atmiņas (NAS) ierīcēm. Kā noteikt, vai jūsu ierīces ir inficētas ar VPNFilter ļaunprātīgu programmatūru? Un kā jūs varat to noņemt? Sīkāk apskatīsim VPNFilter, izmantojot šo rakstu.

Kas ir ļaunprātīgas programmatūras VPNFilter? Kā to noņemt?

• Kas ir VPNFilter?
• Ko var darīt VPNFilter?
  • Izvilkt servera IP adresi
  • Pakešu šņaukšana ir mērķtiecīga
• No kurienes nāk VPNFilter?
• Kā zināt, vai jūsu ierīce ir inficēta ar VPNFilter?
• Ja esat inficēts ar VPNFilter, kas jums jādara?
• Kā izvairīties no atkārtotas inficēšanās ar VPNFilter ļaunprātīgu programmatūru?
  • Atjauniniet maršrutētāja programmaparatūru
  • Mainiet maršrutētāja paroli
  • Atjauniniet pretvīrusu programmatūru
  • Gaidiet jaunas programmas!
  • Neklikšķiniet uz uznirstošajām reklāmām!

Kas ir VPNFilter?

VPNFilter ir izsmalcināts modulāras ļaunprātīgas programmatūras variants, kas galvenokārt ir paredzēts dažādu ražotāju tīkla ierīcēm , kā arī NAS ierīcēm. Sākotnēji VPNFilter tika atrasts Linksys , MikroTik, NETGEAR un TP-Link tīkla ierīcēs , kā arī QNAP NAS ierīcēs ar aptuveni 500 000 infekciju 54 valstīs.

VPNFilter atklāšanas komanda Cisco Talos nesen atjaunināja informāciju par šo ļaunprātīgo programmatūru, parādot, ka tādu ražotāju tīkla ierīcēm kā ASUS, D-Link, Huawei, Ubiquiti, UPVEL un ZTE pašlaik ir pazīmes, ka tās ir inficētas ar VPNFilter. Tomēr rakstīšanas laikā neviena Cisco tīkla ierīce netika ietekmēta.

Šī ļaunprogrammatūra atšķiras no vairuma citu uz IoT vērstu ļaunprātīgu programmatūru, jo tā saglabājas pēc sistēmas atsāknēšanas, padarot to grūtāk noņemamu. Īpaši neaizsargātas ir ierīces, kurās tiek izmantoti noklusējuma pieteikšanās akreditācijas dati vai nulles dienas ievainojamības (nezināmas datora programmatūras ievainojamības), kuras netiek regulāri atjauninātas ar programmaparatūru .

Ko var darīt VPNFilter?

VPNFilter ir "vairāku moduļu, vairāku platformu", kas var sabojāt un iznīcināt ierīces. Turklāt tas var kļūt arī par satraucošu draudu, vācot lietotāja datus. VPNFilter darbojas vairākos posmos.

1. fāze : VPNFilter 1. fāzē ierīcē izveido nolaišanās vietu, sazinās ar komandu un vadības (C&C) serveri, lai lejupielādētu papildu moduļus, un gaida norādījumus. 1. fāzei ir arī vairākas iebūvētas neparedzētas situācijas 2. fāzes C&C pozīcijai, ja ieviešanas laikā notiek infrastruktūras izmaiņas. 1. posma VPNFilter ļaunprātīga programmatūra var arī izturēt atsāknēšanu, padarot to par ļoti bīstamu draudu.

2. posms : VPNFilter 2. pakāpē nedarbojas pēc atsāknēšanas, taču šajā posmā tam ir daudz iespēju. 2. fāze var vākt personas datus, izpildīt komandas un traucēt ierīces pārvaldību. Turklāt praksē ir dažādas 2. fāzes versijas. Dažas versijas ir aprīkotas ar destruktīvu moduli, kas pārraksta ierīces programmaparatūras nodalījumu un pēc tam tiek restartēts, lai padarītu ierīci nelietojamu (būtībā atspējojot ļaunprātīgu programmatūru). maršrutētāja , IoT vai NAS ierīču konfigurēšana.

3. fāze : VPNFilter moduļi 3. fāzē darbojas kā spraudņi 2. fāzei, paplašinot VPNFilter funkcionalitāti. Modulis, kas darbojas kā pakešu sniffer , savāc ierīcē ienākošo trafiku un zog pieteikšanās akreditācijas datus. Cits veids ļauj 2. pakāpes ļaunprogrammatūrai droši sazināties, izmantojot Tor . Cisco Talos arī atrada moduli, kas ievadīja ļaunprātīgu saturu trafikā, kas iet caur ierīci, kas nozīmē, ka hakeri varētu tālāk izmantot citas pievienotās ierīces, izmantojot maršrutētājus, IoT vai NAS ierīces.

Turklāt VPNFilter moduļi “ļauj nozagt vietnes akreditācijas datus un uzraudzīt Modbus SCADA protokolus”.

Izvilkt servera IP adresi

Vēl viena interesanta (bet ne jaunatklāta) VPNFilter ļaunprogrammatūras funkcija ir tā tiešsaistes fotoattēlu koplietošanas pakalpojumu izmantošana, lai atrastu sava C&C servera IP adresi . Talos analīze atklāja, ka ļaunprogrammatūra norāda uz Photobucket vietrāžu URL sēriju. Ļaunprātīga programmatūra lejupielādē pirmo attēlu URL atsauces galerijā un izvelk attēla metadatos paslēpto servera IP adresi .

IP adrese “tiek iegūta no 6 veseliem skaitļiem GPS platuma un garuma vērtībām EXIF informācijā ”. Ja tas neizdodas, 1. pakāpes ļaunprogrammatūra atgriezīsies savā parastajā domēnā (toknowall.com — vairāk par to tālāk), lai lejupielādētu attēlu un mēģinātu to pašu.

Pakešu šņaukšana ir mērķtiecīga

Talos atjaunināšanas pārskatā ir parādīta interesanta informācija par VPNFilter pakešu šņaukšanas moduli. Tā vietā, lai iejauktos visā, tai ir stingrs noteikumu kopums, kas vērsts uz konkrētiem trafika veidiem. Konkrētāk, datplūsma no rūpnieciskās vadības sistēmas (SCADA), izmantojot TP-Link R600 VPN, savienojas ar iepriekš noteiktu IP adrešu sarakstu (norāda padziļinātas zināšanas par tīkliem) un vēlamo trafiku, kā arī 150 baitu vai datu paketes. lielāks.

Kreigs Viljams, Talos vecākais tehnoloģiju vadītājs un globālās sasniedzamības menedžeris, pastāstīja Ars: “VPNFilter meklē ļoti specifiskas lietas. Viņi nemēģina savākt pēc iespējas vairāk satiksmes. Viņi mēģina iegūt tikai dažas ļoti mazas lietas, piemēram, pieteikšanās informāciju un paroles. Mums par to nav daudz informācijas, izņemot to, ka tas ir ļoti mērķtiecīgs un ārkārtīgi izsmalcināts. Mēs joprojām cenšamies noskaidrot, kam viņi piemēro šo metodi."

No kurienes nāk VPNFilter?

Tiek uzskatīts, ka VPNFilter ir valsts sponsorētas hakeru grupas darbs. VPNFilter infekcija sākotnēji tika atklāta Ukrainā, un daudzi avoti uzskata, ka tas ir Krievijas atbalstītās hakeru grupas Fancy Bear darbs.

Tomēr neviena valsts vai hakeru grupa nav uzņēmusies atbildību par šo ļaunprātīgo programmatūru. Ņemot vērā ļaunprātīgās programmatūras detalizētos un mērķtiecīgos noteikumus attiecībā uz SCADA un citiem industriālo sistēmu protokoliem, teorija, ka programmatūru nodrošina nacionālā valsts, šķiet visticamākais.

Tomēr FIB uzskata, ka VPNFilter ir Fancy Bear produkts. 2018. gada maijā FIB konfiscēja domēnu ToKnowAll.com, kas, domājams, tika izmantots, lai instalētu un vadītu 2. un 3. pakāpes VPNFilter ļaunprātīgu programmatūru. Šī domēna konfiscēšana, visticamāk, palīdzēja apturēt VPNFilter tūlītēju izplatību, taču pilnībā neatrisināja problēmu. Ukrainas Drošības dienests (SBU) 2018. gada jūlijā novērsa VPNFilter uzbrukumu ķīmiskās pārstrādes rūpnīcai.

VPNFilter ir arī līdzīgs ar BlackEnergy ļaunprātīgu programmatūru, APT Trojas zirgu , ko izmanto pret dažādiem mērķiem Ukrainā. Atkal, lai gan precīzu pierādījumu nav, uzbrukumi Ukrainas sistēmām galvenokārt nāk no hakeru grupām, kurām ir ciešas attiecības ar Krieviju.

Kā zināt, vai jūsu ierīce ir inficēta ar VPNFilter?

Iespējams, ka jūsu maršrutētājs nav inficēts ar VPNFilter ļaunprātīgu programmatūru. Tomēr labāk ir pārliecināties, vai ierīce ir droša:

Pārbaudiet savu maršrutētāju, izmantojot saiti: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. Ja jūsu ierīce nav sarakstā, viss ir kārtībā.

Varat apmeklēt Symantec VPNFilter testa lapu: http://www.symantec.com/filtercheck/. Atzīmējiet noteikumu un nosacījumu lodziņu, pēc tam nospiediet pogu Palaist VPNFilter Check, kas atrodas vidū. Pārbaude tiks pabeigta pēc dažām sekundēm.

Ja esat inficēts ar VPNFilter, kas jums jādara?

Ja Symantec VPNFilter Check apstiprina, ka maršrutētājs ir inficēts ar VPNFilter, jums ir jāveic šādas darbības.

• Atiestatiet maršrutētāju un pēc tam vēlreiz palaidiet VPNFilter Check.
• Atiestatiet maršrutētāja rūpnīcas iestatījumus.
• Lejupielādējiet maršrutētāja jaunāko programmaparatūru un pabeidziet “tīru” programmaparatūras instalēšanu, vēlams, maršrutētājam procesa laikā neveidojot tiešsaistes savienojumu.

Turklāt jums ir jāveic pilna sistēmas skenēšana katrā ierīcē, kas savienota ar VPNFilter inficēto maršrutētāju.

Visefektīvākais veids, kā noņemt VPNFilter ļaunprātīgu programmatūru, ir izmantot pretvīrusu programmatūru , kā arī ļaunprātīgas programmatūras noņemšanas lietojumprogrammu. Abi rīki var atklāt šo vīrusu, pirms tas faktiski inficē jūsu datoru un maršrutētāju.

Pretvīrusu programmatūra var aizņemt vairākas stundas, lai pabeigtu procesu atkarībā no datora ātruma, taču tā nodrošina arī labākās metodes ļaunprātīgu failu noņemšanai.

Ir arī vērts instalēt ļaunprātīgas programmatūras noņemšanas rīku, kas atklāj ļaunprātīgu programmatūru, piemēram, VPNFilter, un nogalina to, pirms tā rada problēmas.

Tāpat kā pretvīrusu programmatūra, ļaunprātīgas programmatūras skenēšanas process var ilgt vairākas stundas atkarībā no datora cietā diska lieluma, kā arī tā ātruma.

Tāpat kā citi vīrusi, arī jums ir jānoņem VPNFilter ļaunprātīga programmatūra no maršrutētāja. Lai to izdarītu, maršrutētājam ir jāatjauno rūpnīcas noklusējuma iestatījumi.

Cietās atiestatīšanas maršrutētājam ir jāatiestata maršrutētājs no jauna, tostarp jāizveido jauna administratora parole un jāiestata bezvadu tīkls visām ierīcēm. Lai to izdarītu pareizi, būs vajadzīgs zināms laiks.

Ja iespējams, vienmēr jāmaina maršrutētāja noklusējuma akreditācijas dati, kā arī jebkuras IoT vai NAS ierīces (šo uzdevumu nav viegli veikt IoT ierīcēs). Turklāt, lai gan ir pierādījumi, ka VPNFilter var apiet dažus ugunsmūrus , pareiza ugunsmūra instalēšana un konfigurēšana joprojām palīdzēs novērst daudzas citas nepatīkamas personas no jūsu tīkla.

Visefektīvākais veids, kā noņemt VPNFilter ļaunprātīgu programmatūru, ir izmantot pretvīrusu programmatūru

Kā izvairīties no atkārtotas inficēšanās ar VPNFilter ļaunprātīgu programmatūru?

Ir daži galvenie veidi, kā samazināt risku atkārtoti inficēties ar VPNFilter (vai jebkuru citu vīrusu), tostarp īpaši padomi, kas ir tieši saistīti ar VPNFilter.

Atjauniniet maršrutētāja programmaparatūru

Atjauninātais maršrutētājs ir aizsargāts pret VPNFilter ļaunprātīgu programmatūru, kā arī citiem drošības apdraudējumiem. Vienmēr atcerieties to atjaunināt pēc iespējas ātrāk.

Mainiet maršrutētāja paroli

Neizmantojiet maršrutētāja ražotāja iestatīto noklusējuma paroli. Izveidojiet savas paroles, kas ir spēcīgākas un kurām ir mazāka iespēja, ka tām uzbruks ļaunprātīgi dalībnieki.

Atjauniniet pretvīrusu programmatūru

Atjauniniet savas pretvīrusu un ļaunprātīgas programmatūras programmas. Regulāri tiek izlaistas jaunas vīrusu definīcijas, un tās informē jūsu datoru par jauniem vīrusu un ļaunprātīgas programmatūras draudiem.

Gaidiet jaunas programmas!

Ir svarīgi skaidri zināt lejupielādēto programmu un lietojumprogrammu avotu. Vietnēs ar mazāku reputāciju ir daudz nevajadzīgu pievienojumprogrammu, piemēram, VPNFilter.

Neklikšķiniet uz uznirstošajām reklāmām!

Ja tīmekļa vietnes pārlūkošanas laikā tiek parādīts reklāmkarogs, neklikšķiniet uz tā. Parasti drošākais veids ir apmeklēt citu vietni, nevis tīmekļa vietni, kas ir piepildīta ar uznirstošām reklāmām.

Ļaunprātīga programmatūra maršrutētājos kļūst arvien populārāka. Ļaunprātīgas programmatūras un IoT ievainojamības ir visur, un, tā kā tiešsaistē arvien pieaug ierīču skaits, situācija tikai pasliktināsies. Maršrutētājs ir datu centrālais punkts jūsu mājās. Tomēr tai netiek pievērsta tik liela uzmanība drošībai kā citām ierīcēm. Vienkārši sakot, maršrutētāji nav tik droši, kā jūs domājat.

Redzēt vairāk:

• Darbības, lai noņemtu 9o0gle ļaunprātīgu programmatūru. com
• Kā atpazīt ar vīrusu inficētu datoru ar 10 raksturīgām pazīmēm