Zlonamerna programska oprema na usmerjevalnikih, omrežnih napravah in internetu stvari je vse pogostejša. Večina jih okuži ranljive naprave in pripada zelo močnim botnetom. Usmerjevalniki in naprave interneta stvari (IoT) so vedno pod napajanjem, vedno povezani in čakajo na navodila. In botneti to izkoristijo za napad na te naprave.
Vendar ni vsa zlonamerna programska oprema ( malware ) enaka.
VPNFilter je uničujoča zlonamerna programska oprema, ki napada usmerjevalnike, naprave IoT in celo nekatere omrežne naprave za shranjevanje (NAS). Kako ugotovite, ali so vaše naprave okužene z zlonamerno programsko opremo VPNFilter? In kako ga lahko odstranite? V naslednjem članku si podrobneje oglejmo VPNFilter.
Kaj je Malware VPNFilter? Kako ga odstraniti?
VPNFilter je sofisticirana modularna različica zlonamerne programske opreme, ki cilja predvsem na omrežne naprave različnih proizvajalcev, pa tudi na naprave NAS. VPNFilter je bil prvotno najden v omrežnih napravah Linksys , MikroTik, NETGEAR in TP-Link ter napravah QNAP NAS s približno 500.000 okužbami v 54 državah.
Skupina za odkrivanje VPNFilter, Cisco Talos, je nedavno posodobila podrobnosti v zvezi s to zlonamerno programsko opremo, ki kaže, da omrežne naprave proizvajalcev, kot so ASUS, D-Link, Huawei, Ubiquiti, UPVEL in ZTE, trenutno kažejo znake okužbe z VPNFilter. Vendar pa v času pisanja ni bila prizadeta nobena omrežna naprava Cisco.
Ta zlonamerna programska oprema je drugačna od večine druge zlonamerne programske opreme, osredotočene na IoT, ker vztraja tudi po ponovnem zagonu sistema, zaradi česar jo je težje odstraniti. Naprave, ki uporabljajo svoje privzete poverilnice za prijavo ali imajo ranljivosti ničelnega dne (neznane ranljivosti računalniške programske opreme), ki se ne posodabljajo redno z vdelano programsko opremo , so še posebej ranljive.
VPNFilter je "večmodulni, večplatformski", ki lahko poškoduje in uniči naprave. Poleg tega lahko postane tudi zaskrbljujoča grožnja, saj zbira podatke o uporabnikih. VPNFilter deluje v več fazah.
1. faza : VPNFilter v 1. fazi vzpostavi pristajalno mesto na napravi, vzpostavi stik s strežnikom za ukaze in nadzor (C&C), da prenese dodatne module, in čaka na navodila. Faza 1 ima tudi več vgrajenih nepredvidljivih dogodkov za postavitev C&C faze 2 v primeru sprememb infrastrukture med izvajanjem. Zlonamerna programska oprema VPNFilter stopnje 1 lahko preživi tudi ponovne zagone, zaradi česar je zelo nevarna grožnja.
2. stopnja : VPNFilter v 2. stopnji ne obstaja po vnovičnem zagonu, vendar ima na tej stopnji veliko zmogljivosti. Faza 2 lahko zbira osebne podatke, izvaja ukaze in posega v upravljanje naprave. Poleg tega v praksi obstajajo različne različice faze 2. Nekatere različice so opremljene z destruktivnim modulom, ki prepiše particijo vdelane programske opreme naprave , nato pa se znova zažene, da postane naprava neuporabna (v bistvu onemogoči zlonamerno programsko opremo). konfiguriranje usmerjevalnika, naprav IoT ali NAS ).
Faza 3 : Moduli VPNFilter v fazi 3 delujejo kot vtičniki za fazo 2 in razširjajo funkcionalnost VPNFilterja. Modul, ki deluje kot vohljalec paketov , zbira dohodni promet v napravi in krade poverilnice za prijavo. Druga vrsta omogoča varno komuniciranje zlonamerne programske opreme stopnje 2 z uporabo Tor . Cisco Talos je našel tudi modul, ki je v promet, ki poteka skozi napravo, vbrizgal zlonamerno vsebino, kar pomeni, da bi hekerji lahko še naprej izkoriščali druge povezane naprave prek usmerjevalnikov, naprav IoT ali NAS.
Poleg tega moduli VPNFilter "omogočajo krajo poverilnic spletnega mesta in spremljanje protokolov Modbus SCADA."
Druga zanimiva (vendar ne na novo odkrita) lastnost zlonamerne programske opreme VPNFilter je uporaba spletnih storitev za skupno rabo fotografij za iskanje naslova IP za svoj C&C strežnik. Talosova analiza je odkrila, da zlonamerna programska oprema kaže na vrsto URL-jev Photobucket. Zlonamerna programska oprema prenese prvo sliko v referenčni galeriji URL-jev in izvleče naslov IP strežnika , skrit v metapodatkih slike.
Naslov IP "je izvlečen iz 6 celih vrednosti za zemljepisno širino in dolžino GPS v informacijah EXIF ." Če to ne uspe, se zlonamerna programska oprema stopnje 1 vrne na svojo običajno domeno (toknowall.com – več o tem spodaj), da prenese sliko in poskusi enak postopek.
Talosovo poročilo o posodobitvi prikazuje nekaj zanimivih podrobnosti o modulu za vohanje paketov VPNFilter. Namesto da bi se vmešaval v vse, ima strog nabor pravil, ki ciljajo na določene vrste prometa. Natančneje, promet iz industrijskega nadzornega sistema (SCADA), ki uporablja TP-Link R600 VPN, se poveže na vnaprej določen seznam naslovov IP (kar kaže na napredno poznavanje omrežij) in želeni promet), kot tudi podatkovne pakete 150 bajtov oz. večji.
Craig William, višji tehnološki vodja in vodja globalnega dosega pri Talosu, je za Ars povedal: »VPNFilter išče zelo specifične stvari. Ne poskušajo zbrati čim več prometa. Poskušajo dobiti samo nekatere zelo majhne stvari, kot so podatki za prijavo in gesla. O tem nimamo veliko informacij, razen tega, da vemo, da je zelo ciljno usmerjen in izjemno prefinjen. Še vedno poskušamo ugotoviti, komu uporabljajo to metodo."
VPNFilter naj bi bil delo hekerske skupine, ki jo sponzorira država. Okužbo VPNFilter so sprva odkrili v Ukrajini in številni viri menijo, da je delo hekerske skupine Fancy Bear, ki jo podpira Rusija.
Vendar nobena država ali hekerska skupina ni prevzela odgovornosti za to zlonamerno programsko opremo. Glede na podrobna in ciljno usmerjena pravila zlonamerne programske opreme za SCADA in druge industrijske sistemske protokole se zdi teorija, da programsko opremo podpira nacionalna država, najbolj verjetna.
Vendar pa FBI verjame, da je VPNFilter izdelek podjetja Fancy Bear. Maja 2018 je FBI zasegel domeno – ToKnowAll.com – za katero domnevajo, da je bila uporabljena za namestitev in upravljanje zlonamerne programske opreme VPNFilter stopnje 2 in stopnje 3. Zaseg te domene je verjetno pomagal zaustaviti takojšnje širjenje VPNFilterja, vendar je ni popolnoma rešil problema. Ukrajinska varnostna služba (SBU) je julija 2018 preprečila napad VPNFilter na tovarno za predelavo kemikalij.
VPNFilter je podoben tudi zlonamerni programski opremi BlackEnergy, trojancu APT , ki se uporablja proti vrsti tarč v Ukrajini. Še enkrat, čeprav ni natančnih dokazov, napadi na ukrajinske sisteme večinoma prihajajo iz hekerjev, ki so tesno povezani z Rusijo.
Verjetno vaš usmerjevalnik ni okužen z zlonamerno programsko opremo VPNFilter. Vendar je vseeno bolje, da poskrbite, da je vaša naprava varna:
Preverite svoj usmerjevalnik s povezavo: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. Če vaše naprave ni na seznamu, je vse v redu.
Obiščete lahko testno stran Symantec VPNFilter: http://www.symantec.com/filtercheck/. Označite polje s pogoji in določili, nato pritisnite gumb Run VPNFilter Check na sredini. Test bo končan v nekaj sekundah.
Če Symantec VPNFilter Check potrdi, da je vaš usmerjevalnik okužen z VPNFilter, morate narediti naslednje.
Poleg tega morate opraviti popoln pregled sistema na vsaki napravi, povezani z usmerjevalnikom, okuženim z VPNFilter.
Najučinkovitejši način za odstranitev zlonamerne programske opreme VPNFilter je uporaba protivirusne programske opreme in aplikacije za odstranjevanje zlonamerne programske opreme. Obe orodji lahko zaznata ta virus, preden dejansko okuži vaš računalnik in usmerjevalnik.
Protivirusna programska oprema lahko traja nekaj ur, da dokonča postopek, odvisno od hitrosti vašega računalnika, vendar vam ponuja tudi najboljše metode za odstranjevanje zlonamernih datotek.
Prav tako je vredno namestiti orodje za odstranjevanje zlonamerne programske opreme, ki zazna zlonamerno programsko opremo, kot je VPNFilter, in jo ubije, preden povzroči težave.
Tako kot protivirusna programska oprema lahko postopek skeniranja zlonamerne programske opreme traja več ur, odvisno od velikosti trdega diska vašega računalnika in njegove hitrosti.
Tako kot druge viruse morate tudi vi odstraniti zlonamerno programsko opremo VPNFilter iz usmerjevalnika. Če želite to narediti, morate ponastaviti usmerjevalnik na privzete tovarniške nastavitve.
Usmerjevalnik s trdo ponastavitvijo zahteva, da ponastavite usmerjevalnik od začetka, vključno z ustvarjanjem novega skrbniškega gesla in nastavitvijo brezžičnega omrežja za vse naprave. Za pravilno izvedbo bo trajalo nekaj časa.
Vedno morate spremeniti privzete poverilnice vašega usmerjevalnika, kot tudi vseh naprav IoT ali NAS (izvajanje te naloge na napravah IoT ni preprosto), če je to mogoče. Poleg tega, čeprav obstajajo dokazi, da lahko VPNFilter obide nekatere požarne zidove , bo pravilna namestitev in konfiguracija požarnega zidu še vedno pomagala preprečiti, da bi v vašem omrežju prišli številni drugi škodljivci.
Najučinkovitejši način za odstranitev zlonamerne programske opreme VPNFilter je uporaba protivirusne programske opreme
Obstaja nekaj ključnih načinov, kako lahko zmanjšate tveganje za ponovno okužbo s filtrom VPNFilter (ali katerim koli drugim virusom), vključno s posebnimi nasveti, povezanimi neposredno s filtrom VPNFilter.
Posodobljeni usmerjevalnik je zaščiten pred zlonamerno programsko opremo VPNFilter in drugimi varnostnimi grožnjami. Vedno ga ne pozabite posodobiti čim prej.
Ne uporabljajte privzetega gesla, ki ga je določil proizvajalec usmerjevalnika. Ustvarite lastna gesla, ki so močnejša in je manj verjetno, da jih zlonamerni akterji napadejo.
Poskrbite, da bodo vaši protivirusni programi in programi za zaščito pred zlonamerno programsko opremo posodobljeni. Redno se objavljajo nove definicije virusov, ki vaš računalnik obveščajo o novih grožnjah z virusi in zlonamerno programsko opremo, ki jih je treba iskati.
Pomembno je, da jasno poznate vir programov in aplikacij, ki ste jih prenesli. Manj ugledna spletna mesta imajo veliko dodatkov, ki jih ne potrebujete, na primer VPNFilter.
Ko se med brskanjem po spletnem mestu prikaže pasica, je ne kliknite. Običajno je najvarnejši način, da obiščete drugo spletno mesto in ne spletnega mesta, polnega pojavnih oglasov.
Zlonamerna programska oprema na usmerjevalnikih je vse bolj priljubljena. Zlonamerna programska oprema in ranljivosti interneta stvari so povsod in z vedno večjim številom naprav na spletu se bo stanje samo še poslabšalo. Usmerjevalnik je osrednja točka za podatke v vašem domu. Vendar pa ni deležen toliko varnostne pozornosti kot druge naprave. Preprosto povedano, usmerjevalniki niso tako varni, kot mislite.
Poglej več:
Požarni zid Windows z napredno varnostjo je požarni zid, ki deluje v sistemu Windows Server 2012 in je privzeto omogočen. Nastavitve požarnega zidu v sistemu Windows Server 2012 se upravljajo v Microsoftovi konzoli za upravljanje požarnega zidu Windows.
Pri spreminjanju skrbniškega gesla za prijavo modema in usmerjevalnika Vigor Draytek bodo uporabniki omejili nepooblaščen dostop do spremembe gesla za modem in s tem zavarovali pomembne omrežne informacije.
Na srečo lahko uporabniki računalnikov z operacijskim sistemom Windows s procesorji AMD Ryzen uporabljajo Ryzen Master za enostavno overklokiranje RAM-a, ne da bi se dotaknili BIOS-a.
Vrata USB-C so postala standard za prenos podatkov, video izhod in polnjenje na sodobnih prenosnikih Windows. Čeprav je to priročno, je lahko frustrirajoče, ko prenosni računalnik priključite na polnilnik USB-C in se ne polni.
Napaka Cannot Create Service na Ultraviewerju se pojavi, ko namestimo programsko opremo s kodo napake 1072.
Napaka, da ID na Ultraviewerju ni prikazan, bo vplivala na povezavo z oddaljenim računalnikom.
Ultraviewer nadzoruje računalnik na daljavo in ima način za pošiljanje in prejemanje datotek.
Običajno se pri brisanju datoteke v sistemu Windows datoteka ne izbriše takoj, ampak se shrani v koš. Po tem boste morali narediti še en korak: izprazniti smeti. Če pa tega drugega koraka ne želite narediti, vam bomo v spodnjem članku pokazali, kako trajno izbrisati datoteko.
Temni splet je skrivnostno mesto s slavnim slovesom. Iskanje temnega spleta ni težko. Druga stvar pa je naučiti se varno krmariti, še posebej, če ne veste, kaj počnete ali kaj lahko pričakujete.
Tehnično Adrozek ni virus. Je ugrabitelj brskalnika, znan tudi kot modifikator brskalnika. To pomeni, da je bila zlonamerna programska oprema nameščena v vaš računalnik brez vaše vednosti.
