Jak nyní identifikovat a opravit malware VPNFilter (04.27.24)

Ne všechny malware jsou vytvářeny stejně. Jedním z důkazů toho je existence malwaru VPNFilter , nového druhu malwaru routeru, který má destruktivní vlastnosti. Jednou z charakteristických vlastností, kterou má, je to, že dokáže přežít restart, na rozdíl od většiny ostatních hrozeb internetu věcí (IoT).

Tento článek vás provede identifikací malwaru VPNFilter a jeho seznamu cílů. Naučíme vás také, jak zabránit tomu, aby ve vašem systému nepůsobil zmatek.

Co je Malware VPNFilter?

Představte si VPNFilter jako ničivý malware, který ohrožuje směrovače, zařízení IoT a dokonce i síťové připojení úložná zařízení (NAS). Je považována za sofistikovanou modulární variantu malwaru, která je zaměřena hlavně na síťová zařízení od různých výrobců.

Malware byl původně detekován na síťových zařízeních Linksys, NETGEAR, MikroTik a TP-Link. Byl objeven také na zařízeních QNAP NAS. K dnešnímu dni existuje přibližně 500 000 infekcí v 54 zemích, což dokazuje jeho obrovský dosah a přítomnost.

Cisco Talos, tým, který odhalil VPNFilter, poskytuje rozsáhlý blogový příspěvek o malwaru a technických podrobnostech kolem něj. Podle vzhledu mají síťová zařízení od společností ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti a ZTE známky infekce.

Na rozdíl od většiny ostatních malwarů zaměřených na IoT je VPNFilter obtížné eliminovat, protože přetrvává i po restartu systému. Svými útoky jsou zranitelná zařízení, která používají svá výchozí přihlašovací pověření, nebo zařízení se známými zranitelnostmi nulového dne, která dosud neměla aktualizace firmwaru.

Zařízení, o nichž je známo, že jsou ovlivněny VPNFilter Malware

Je známo, že terčem tohoto malwaru jsou směrovače pro podniky i malé kanceláře nebo domácí kanceláře. Vezměte na vědomí následující značky a modely routerů:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Upvel Devices - neznámé modely
  • ZTE Devices ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Další QNAP Zařízení NAS se softwarem QTS

Společným jmenovatelem většiny cílených zařízení je použití výchozích pověření. Mají také známé zneužití, zejména pro starší verze.

Co dělá malware VPNFilter s infikovanými zařízeními?

VPNFilter funguje tak, že poškozující zařízení poškozuje a slouží jako metoda sběru dat. Funguje ve třech fázích:

Fáze 1

Označuje instalaci a zachování trvalé přítomnosti na cílovém zařízení. Malware kontaktuje příkazový a řídicí server (C&C), aby stáhl další moduly a čekal na pokyny. V této fázi existuje několik vestavěných redundancí k vyhledání C&C Stage 2 v případě, že dojde ke změně infrastruktury při nasazení hrozby. Fáze 1 VPNFilter vydrží restart.

Fáze 2

Toto představuje hlavní užitečné zatížení. I když není schopen přetrvávat při restartu, má více funkcí. Je schopen shromažďovat soubory, spouštět příkazy a provádět filtrování dat a správu zařízení. Malware může pokračovat ve svých ničivých účincích, když zařízení obdrží příkaz od útočníků. To se provádí přepsáním části firmwaru zařízení a následným restartováním. Trestné činy způsobují, že zařízení není použitelné.

Fáze 3

Existuje několik známých modulů, které fungují jako pluginy pro fázi 2. Patří mezi ně sledovač paketů ke sledování provozu směrovaného zařízením, což umožňuje krádež pověření webu sledování SCADA protokolů Modbus. Další modul umožňuje bezpečnou komunikaci fáze 2 přes Tor. Na základě šetření společnosti Cisco Talos poskytuje jeden modul škodlivému obsahu provoz, který prochází zařízením. Útočníci tak mohou dále ovlivňovat připojená zařízení.

6. června byly vystaveny další dva moduly 3. etapy. První z nich se jmenuje „ssler“ a dokáže zachytit veškerý provoz procházející zařízením přes port 80. Umožňuje útočníkům prohlížet webový provoz a zachytit jej, aby provedl útoky uprostřed. Může například změnit požadavky HTTPS na ty HTTP a posílat údajně šifrovaná data nejistě. Druhý je nazván „dstr“, který obsahuje příkaz kill pro jakýkoli modul Stage 2, kterému tato funkce chybí. Po spuštění eliminuje všechny stopy malwaru, než zdědí zařízení.

Zde je dalších sedm modulů fáze 3 odhalených 26. září:
  • htpx - funguje stejně jako ssler přesměrovává a kontroluje veškerý provoz HTTP procházející infikovaným zařízením za účelem identifikace a protokolování všech spustitelných souborů systému Windows. Může procházet spustitelnými soubory trojských koní a procházet infikovanými směrovači, což umožňuje útočníkům instalovat malware na různé počítače připojené ke stejné síti.
  • ndbr - toto je považováno za multifunkční nástroj SSH.
  • nm - tento modul je zbraní pro mapování sítě pro skenování místní podsítě .
  • netfilter - Tento nástroj pro odmítnutí služby může blokovat přístup k některým šifrovaným aplikacím.
  • portforwarding - předává síťový provoz k infrastruktuře určené útočníky.
  • socks5proxy - Umožňuje zřídit proxy SOCKS5 na zranitelných zařízeních.
Odhalení původu VPNFilteru

Toto malware je pravděpodobně dílem státem sponzorovaného hackerského subjektu. Počáteční infekce byly primárně pociťovány na Ukrajině, což lze snadno připsat hackerské skupině Fancy Bear a rusky podporovaným skupinám.

To však ilustruje sofistikovanou povahu VPNFilter. Nemůže být spojen s jasným původem a konkrétní hackerskou skupinou a někdo musí ještě udělat krok vpřed, aby za to převzal odpovědnost. O sponzorovi národního státu se spekuluje, protože SCADA spolu s dalšími průmyslovými systémovými protokoly mají komplexní pravidla a cílení na malware.

Pokud byste se ale chtěli zeptat FBI, VPNFilter je duchovním dítětem Fancy Bear. V květnu 2018 se agentura zmocnila domény ToKnowAll.com, o které se myslelo, že je nápomocná při instalaci a velení VPNFilteru 2. a 3. fáze. Zabavení pomohlo zastavit šíření malwaru, ale nepodařilo se mu vyřešit hlavní obrázek.

Ve svém oznámení z 25. května FBI vydává naléhavý požadavek, aby uživatelé restartovali své Wi-Fi routery doma, aby zastavili velký útok malwaru se zahraniční působností. V té době agentura označila zahraniční kyberzločince za kompromitování malých kancelářských a domácích směrovačů Wi-Fi - spolu s dalšími síťovými zařízeními - o stotisíc.

Jsem jen obyčejný uživatel - co znamená VPNFilter útok Já?

Dobrou zprávou je, že váš router pravděpodobně nebude skrývat škodlivý software, pokud jste zkontrolovali výše uvedený seznam routerů VPNFilter. Ale vždy je nejlepší chybovat na straně opatrnosti. Společnost Symantec například provádí kontrolu filtrů VPN, takže můžete otestovat, zda se vás to týká nebo ne. Spuštění kontroly trvá jen několik sekund.

Teď je to tady. Co když jste skutečně nakaženi? Prohlédněte si tyto kroky:
  • Resetujte router. Dále spusťte znovu kontrolu VPNFilter.
  • Obnovte tovární nastavení routeru.
  • Zvažte deaktivaci nastavení vzdálené správy v zařízení.
  • Stáhněte si nejaktuálnější firmware pro váš router. Dokončete čistou instalaci firmwaru, nejlépe bez toho, aby se router během procesu připojoval online.
  • Dokončete úplnou kontrolu systému v počítači nebo zařízení, které bylo připojeno k infikovanému routeru. Nezapomeňte použít spolehlivý nástroj pro optimalizaci počítače, abyste mohli pracovat ve spojení s důvěryhodným skenerem malwaru.
  • Zabezpečte svá připojení. Chraňte se vysoce kvalitní placenou sítí VPN se záznamem špičkového online soukromí a zabezpečení.
  • Zvykněte si měnit výchozí přihlašovací údaje vašeho routeru, stejně jako dalších zařízení IoT nebo NAS. .
  • Nechte si nainstalovat a správně nakonfigurovat bránu firewall, aby se do vaší sítě nedostaly špatné věci.
  • Zabezpečte svá zařízení silnými a jedinečnými hesly.
  • Povolit šifrování .

Pokud je váš router potenciálně ovlivněn, může být vhodné zkontrolovat na webu výrobce jakékoli nové informace a kroky, které je třeba podniknout k ochraně vašich zařízení. Toto je okamžitý krok, protože všechny vaše informace procházejí routerem. Pokud dojde k ohrožení routeru, jde o soukromí a zabezpečení vašich zařízení.

Shrnutí

Malware VPNFilter může být také jednou z nejsilnějších a nejvíce nezničitelných hrozeb, které v posledních letech zasáhnou podnikové a malé kancelářské nebo domácí routery. Dějiny. Původně byl detekován na síťových zařízeních Linksys, NETGEAR, MikroTik a TP-Link a zařízeních QNAP NAS. Seznam ovlivněných routerů naleznete výše.

VPNFilter nelze ignorovat po zahájení přibližně 500 000 infekcí v 54 zemích. Funguje ve třech fázích a znefunkčňuje směrovače, shromažďuje informace, které procházejí směrovači, a dokonce blokuje síťový provoz. Zjištění a analýza její síťové aktivity zůstává obtížným úkolem.

V tomto článku jsme popsali způsoby, jak se bránit před malwarem, a kroky, které můžete podniknout, pokud byl váš router napaden. Důsledky jsou strašlivé, takže byste nikdy neměli sedět na důležitém úkolu kontroly zařízení.

YouTube video: Jak nyní identifikovat a opravit malware VPNFilter

04, 2024