Kako odkriti zlonamerno programsko opremo VPNFilter, preden uniči usmerjevalnik

Zlonamerna programska oprema na usmerjevalnikih, omrežnih napravah in internetu stvari je vse pogostejša. Večina jih okuži ranljive naprave in pripada zelo močnim botnetom. Usmerjevalniki in naprave interneta stvari (IoT) so vedno pod napajanjem, vedno povezani in čakajo na navodila. In botneti to izkoristijo za napad na te naprave.

Vendar ni vsa zlonamerna programska oprema ( malware ) enaka.

VPNFilter je uničujoča zlonamerna programska oprema, ki napada usmerjevalnike, naprave IoT in celo nekatere omrežne naprave za shranjevanje (NAS). Kako ugotovite, ali so vaše naprave okužene z zlonamerno programsko opremo VPNFilter? In kako ga lahko odstranite? V naslednjem članku si podrobneje oglejmo VPNFilter.

Kaj je Malware VPNFilter? Kako ga odstraniti?

• Kaj je VPNFilter?
• Kaj zmore VPNFilter?
  • Ekstrakt naslova IP strežnika
  • Vohanje paketov je usmerjeno
• Od kod prihaja VPNFilter?
• Kako veste, ali je vaša naprava okužena z VPNFilter?
• Če ste okuženi z VPNFilter, kaj morate storiti?
• Kako se izogniti ponovni okužbi z zlonamerno programsko opremo VPNFilter?
  • Posodobite vdelano programsko opremo usmerjevalnika
  • Spremenite geslo usmerjevalnika
  • Posodobite protivirusno programsko opremo
  • Bodite pozorni na nove programe!
  • Ne klikajte pojavnih oglasov!

Kaj je VPNFilter?

VPNFilter je sofisticirana modularna različica zlonamerne programske opreme, ki cilja predvsem na omrežne naprave različnih proizvajalcev, pa tudi na naprave NAS. VPNFilter je bil prvotno najden v omrežnih napravah Linksys , MikroTik, NETGEAR in TP-Link ter napravah QNAP NAS s približno 500.000 okužbami v 54 državah.

Skupina za odkrivanje VPNFilter, Cisco Talos, je nedavno posodobila podrobnosti v zvezi s to zlonamerno programsko opremo, ki kaže, da omrežne naprave proizvajalcev, kot so ASUS, D-Link, Huawei, Ubiquiti, UPVEL in ZTE, trenutno kažejo znake okužbe z VPNFilter. Vendar pa v času pisanja ni bila prizadeta nobena omrežna naprava Cisco.

Ta zlonamerna programska oprema je drugačna od večine druge zlonamerne programske opreme, osredotočene na IoT, ker vztraja tudi po ponovnem zagonu sistema, zaradi česar jo je težje odstraniti. Naprave, ki uporabljajo svoje privzete poverilnice za prijavo ali imajo ranljivosti ničelnega dne (neznane ranljivosti računalniške programske opreme), ki se ne posodabljajo redno z vdelano programsko opremo , so še posebej ranljive.

Kaj zmore VPNFilter?

VPNFilter je "večmodulni, večplatformski", ki lahko poškoduje in uniči naprave. Poleg tega lahko postane tudi zaskrbljujoča grožnja, saj zbira podatke o uporabnikih. VPNFilter deluje v več fazah.

1. faza : VPNFilter v 1. fazi vzpostavi pristajalno mesto na napravi, vzpostavi stik s strežnikom za ukaze in nadzor (C&C), da prenese dodatne module, in čaka na navodila. Faza 1 ima tudi več vgrajenih nepredvidljivih dogodkov za postavitev C&C faze 2 v primeru sprememb infrastrukture med izvajanjem. Zlonamerna programska oprema VPNFilter stopnje 1 lahko preživi tudi ponovne zagone, zaradi česar je zelo nevarna grožnja.

2. stopnja : VPNFilter v 2. stopnji ne obstaja po vnovičnem zagonu, vendar ima na tej stopnji veliko zmogljivosti. Faza 2 lahko zbira osebne podatke, izvaja ukaze in posega v upravljanje naprave. Poleg tega v praksi obstajajo različne različice faze 2. Nekatere različice so opremljene z destruktivnim modulom, ki prepiše particijo vdelane programske opreme naprave , nato pa se znova zažene, da postane naprava neuporabna (v bistvu onemogoči zlonamerno programsko opremo). konfiguriranje usmerjevalnika, naprav IoT ali NAS ).

Faza 3 : Moduli VPNFilter v fazi 3 delujejo kot vtičniki za fazo 2 in razširjajo funkcionalnost VPNFilterja. Modul, ki deluje kot vohljalec paketov , zbira dohodni promet v napravi in ​​krade poverilnice za prijavo. Druga vrsta omogoča varno komuniciranje zlonamerne programske opreme stopnje 2 z uporabo Tor . Cisco Talos je našel tudi modul, ki je v promet, ki poteka skozi napravo, vbrizgal zlonamerno vsebino, kar pomeni, da bi hekerji lahko še naprej izkoriščali druge povezane naprave prek usmerjevalnikov, naprav IoT ali NAS.

Poleg tega moduli VPNFilter "omogočajo krajo poverilnic spletnega mesta in spremljanje protokolov Modbus SCADA."

Ekstrakt naslova IP strežnika

Druga zanimiva (vendar ne na novo odkrita) lastnost zlonamerne programske opreme VPNFilter je uporaba spletnih storitev za skupno rabo fotografij za iskanje naslova IP za svoj C&C strežnik. Talosova analiza je odkrila, da zlonamerna programska oprema kaže na vrsto URL-jev Photobucket. Zlonamerna programska oprema prenese prvo sliko v referenčni galeriji URL-jev in izvleče naslov IP strežnika , skrit v metapodatkih slike.

Naslov IP "je izvlečen iz 6 celih vrednosti za zemljepisno širino in dolžino GPS v informacijah EXIF ." Če to ne uspe, se zlonamerna programska oprema stopnje 1 vrne na svojo običajno domeno (toknowall.com – več o tem spodaj), da prenese sliko in poskusi enak postopek.

Vohanje paketov je usmerjeno

Talosovo poročilo o posodobitvi prikazuje nekaj zanimivih podrobnosti o modulu za vohanje paketov VPNFilter. Namesto da bi se vmešaval v vse, ima strog nabor pravil, ki ciljajo na določene vrste prometa. Natančneje, promet iz industrijskega nadzornega sistema (SCADA), ki uporablja TP-Link R600 VPN, se poveže na vnaprej določen seznam naslovov IP (kar kaže na napredno poznavanje omrežij) in želeni promet), kot tudi podatkovne pakete 150 bajtov oz. večji.

Craig William, višji tehnološki vodja in vodja globalnega dosega pri Talosu, je za Ars povedal: »VPNFilter išče zelo specifične stvari. Ne poskušajo zbrati čim več prometa. Poskušajo dobiti samo nekatere zelo majhne stvari, kot so podatki za prijavo in gesla. O tem nimamo veliko informacij, razen tega, da vemo, da je zelo ciljno usmerjen in izjemno prefinjen. Še vedno poskušamo ugotoviti, komu uporabljajo to metodo."

Od kod prihaja VPNFilter?

VPNFilter naj bi bil delo hekerske skupine, ki jo sponzorira država. Okužbo VPNFilter so sprva odkrili v Ukrajini in številni viri menijo, da je delo hekerske skupine Fancy Bear, ki jo podpira Rusija.

Vendar nobena država ali hekerska skupina ni prevzela odgovornosti za to zlonamerno programsko opremo. Glede na podrobna in ciljno usmerjena pravila zlonamerne programske opreme za SCADA in druge industrijske sistemske protokole se zdi teorija, da programsko opremo podpira nacionalna država, najbolj verjetna.

Vendar pa FBI verjame, da je VPNFilter izdelek podjetja Fancy Bear. Maja 2018 je FBI zasegel domeno – ToKnowAll.com – za katero domnevajo, da je bila uporabljena za namestitev in upravljanje zlonamerne programske opreme VPNFilter stopnje 2 in stopnje 3. Zaseg te domene je verjetno pomagal zaustaviti takojšnje širjenje VPNFilterja, vendar je ni popolnoma rešil problema. Ukrajinska varnostna služba (SBU) je julija 2018 preprečila napad VPNFilter na tovarno za predelavo kemikalij.

VPNFilter je podoben tudi zlonamerni programski opremi BlackEnergy, trojancu APT , ki se uporablja proti vrsti tarč v Ukrajini. Še enkrat, čeprav ni natančnih dokazov, napadi na ukrajinske sisteme večinoma prihajajo iz hekerjev, ki so tesno povezani z Rusijo.

Kako veste, ali je vaša naprava okužena z VPNFilter?

Verjetno vaš usmerjevalnik ni okužen z zlonamerno programsko opremo VPNFilter. Vendar je vseeno bolje, da poskrbite, da je vaša naprava varna:

Preverite svoj usmerjevalnik s povezavo: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. Če vaše naprave ni na seznamu, je vse v redu.

Obiščete lahko testno stran Symantec VPNFilter: http://www.symantec.com/filtercheck/. Označite polje s pogoji in določili, nato pritisnite gumb Run VPNFilter Check na sredini. Test bo končan v nekaj sekundah.

Če ste okuženi z VPNFilter, kaj morate storiti?

Če Symantec VPNFilter Check potrdi, da je vaš usmerjevalnik okužen z VPNFilter, morate narediti naslednje.

• Ponastavite usmerjevalnik in znova zaženite VPNFilter Check.
• Ponastavite usmerjevalnik na tovarniške nastavitve.
• Prenesite najnovejšo vdelano programsko opremo za usmerjevalnik in dokončajte »čisto« namestitev vdelane programske opreme, po možnosti brez usmerjevalnika med postopkom vzpostavljanja spletne povezave.

Poleg tega morate opraviti popoln pregled sistema na vsaki napravi, povezani z usmerjevalnikom, okuženim z VPNFilter.

Najučinkovitejši način za odstranitev zlonamerne programske opreme VPNFilter je uporaba protivirusne programske opreme in aplikacije za odstranjevanje zlonamerne programske opreme. Obe orodji lahko zaznata ta virus, preden dejansko okuži vaš računalnik in usmerjevalnik.

Protivirusna programska oprema lahko traja nekaj ur, da dokonča postopek, odvisno od hitrosti vašega računalnika, vendar vam ponuja tudi najboljše metode za odstranjevanje zlonamernih datotek.

Prav tako je vredno namestiti orodje za odstranjevanje zlonamerne programske opreme, ki zazna zlonamerno programsko opremo, kot je VPNFilter, in jo ubije, preden povzroči težave.

Tako kot protivirusna programska oprema lahko postopek skeniranja zlonamerne programske opreme traja več ur, odvisno od velikosti trdega diska vašega računalnika in njegove hitrosti.

Tako kot druge viruse morate tudi vi odstraniti zlonamerno programsko opremo VPNFilter iz usmerjevalnika. Če želite to narediti, morate ponastaviti usmerjevalnik na privzete tovarniške nastavitve.

Usmerjevalnik s trdo ponastavitvijo zahteva, da ponastavite usmerjevalnik od začetka, vključno z ustvarjanjem novega skrbniškega gesla in nastavitvijo brezžičnega omrežja za vse naprave. Za pravilno izvedbo bo trajalo nekaj časa.

Vedno morate spremeniti privzete poverilnice vašega usmerjevalnika, kot tudi vseh naprav IoT ali NAS (izvajanje te naloge na napravah IoT ni preprosto), če je to mogoče. Poleg tega, čeprav obstajajo dokazi, da lahko VPNFilter obide nekatere požarne zidove , bo pravilna namestitev in konfiguracija požarnega zidu še vedno pomagala preprečiti, da bi v vašem omrežju prišli številni drugi škodljivci.

Najučinkovitejši način za odstranitev zlonamerne programske opreme VPNFilter je uporaba protivirusne programske opreme

Kako se izogniti ponovni okužbi z zlonamerno programsko opremo VPNFilter?

Obstaja nekaj ključnih načinov, kako lahko zmanjšate tveganje za ponovno okužbo s filtrom VPNFilter (ali katerim koli drugim virusom), vključno s posebnimi nasveti, povezanimi neposredno s filtrom VPNFilter.

Posodobite vdelano programsko opremo usmerjevalnika

Posodobljeni usmerjevalnik je zaščiten pred zlonamerno programsko opremo VPNFilter in drugimi varnostnimi grožnjami. Vedno ga ne pozabite posodobiti čim prej.

Spremenite geslo usmerjevalnika

Ne uporabljajte privzetega gesla, ki ga je določil proizvajalec usmerjevalnika. Ustvarite lastna gesla, ki so močnejša in je manj verjetno, da jih zlonamerni akterji napadejo.

Posodobite protivirusno programsko opremo

Poskrbite, da bodo vaši protivirusni programi in programi za zaščito pred zlonamerno programsko opremo posodobljeni. Redno se objavljajo nove definicije virusov, ki vaš računalnik obveščajo o novih grožnjah z virusi in zlonamerno programsko opremo, ki jih je treba iskati.

Bodite pozorni na nove programe!

Pomembno je, da jasno poznate vir programov in aplikacij, ki ste jih prenesli. Manj ugledna spletna mesta imajo veliko dodatkov, ki jih ne potrebujete, na primer VPNFilter.

Ne klikajte pojavnih oglasov!

Ko se med brskanjem po spletnem mestu prikaže pasica, je ne kliknite. Običajno je najvarnejši način, da obiščete drugo spletno mesto in ne spletnega mesta, polnega pojavnih oglasov.

Zlonamerna programska oprema na usmerjevalnikih je vse bolj priljubljena. Zlonamerna programska oprema in ranljivosti interneta stvari so povsod in z vedno večjim številom naprav na spletu se bo stanje samo še poslabšalo. Usmerjevalnik je osrednja točka za podatke v vašem domu. Vendar pa ni deležen toliko varnostne pozornosti kot druge naprave. Preprosto povedano, usmerjevalniki niso tako varni, kot mislite.

Poglej več:

• Koraki za odstranitev zlonamerne programske opreme 9o0gle. com
• Kako prepoznati računalnik okužen z virusom po 10 značilnih znakih