Cum să identificați și să remediați VPNFilter malware acum (04.27.24)

Nu toate programele malware sunt create egal. O dovadă a acestui fapt este existența VPNFilter malware , o nouă rasă de malware pentru router care are proprietăți distructive. O caracteristică distinctă pe care o are este că poate supraviețui repornirii, spre deosebire de majoritatea celorlalte amenințări la Internet of Things (IoT).

Lăsați acest articol să vă ghideze prin identificarea malware-ului VPNFilter, precum și lista sa de ținte. De asemenea, vă vom învăța cum să preveniți ca acesta să facă ravagii în primul rând.

Ce este VPNFilter Malware?

Gândiți-vă la VPNFilter ca malware distructiv care amenință routerele, dispozitivele IoT și chiar conectate la rețea. dispozitive de stocare (NAS). Este considerată o variantă sofisticată modulară malware care vizează în principal dispozitive de rețea de la diferiți producători.

Inițial, malware-ul a fost detectat pe dispozitivele de rețea Linksys, NETGEAR, MikroTik și TP-Link. A fost descoperit și în dispozitivele QNAP NAS. Până în prezent, există aproximativ 500.000 de infecții în 54 de țări, demonstrând acoperirea și prezența sa masivă.

Cisco Talos, echipa care a expus VPNFilter, oferă o postare extinsă pe blog despre malware și detalii tehnice din jurul său. După cum arată, echipamentele de rețea de la ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti și ZTE au semne de infecție.

Spre deosebire de majoritatea celorlalte programe malware orientate către IoT, VPNFilter este dificil de eliminat, deoarece persistă chiar și după o repornire a sistemului. Dovedind vulnerabile la atacurile sale sunt dispozitivele care folosesc acreditările lor de autentificare implicite sau cele cu vulnerabilități cunoscute de zero zile care nu au avut încă actualizări de firmware.

Dispozitive despre care se știe că sunt afectate de VPNFilter Malware

Se știe că atât routerele pentru întreprinderi, cât și pentru birourile mici sau pentru biroul de acasă sunt ținta acestui malware. Rețineți următoarele mărci și modele de ruter:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Dispozitive Upvel -modele necunoscute
  • Dispozitive ZTE ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Alte QNAP Dispozitive NAS care rulează software QTS

Un numitor comun printre majoritatea dispozitivelor vizate este utilizarea acreditării implicite. De asemenea, au exploatări cunoscute, în special pentru versiunile mai vechi.

Ce face VPNFilter Malware dispozitivelor infectate?

VPNFilter funcționează pentru a provoca daune debilitante dispozitivelor afectate, precum și pentru a servi ca metodă de colectare a datelor. Funcționează în trei etape:

Etapa 1

Aceasta marchează instalarea și menținerea unei prezențe persistente pe un dispozitiv țintă. Programul malware va contacta un server de comandă și control (C & amp; C) pentru a descărca module suplimentare și a aștepta instrucțiuni. În această fază, există mai multe redundanțe încorporate pentru localizarea etapelor 2 C & amp; C în cazul în care are loc o modificare a infrastructurii în timp ce amenințarea este implementată. Etapa 1 VPNFilter poate rezista la o repornire.

Etapa 2

Aceasta prezintă sarcina utilă principală. Deși nu poate persista printr-o repornire, are mai multe funcții. Este capabil să colecteze fișiere, să execute comenzi și să efectueze exfiltrarea datelor și gestionarea dispozitivelor. Continuând efectele sale distructive, malware-ul poate „împiedica” dispozitivul după ce primește o comandă de la atacatori. Aceasta se execută prin suprascrierea unei părți din firmware-ul dispozitivului și repornirea ulterioară. Faptele infracționale fac ca dispozitivul să fie inutilizabil.

Etapa 3

Există mai multe module cunoscute ale acestuia și acționează ca pluginuri pentru Etapa 2. Acestea cuprind un sniffer de pachete pentru a spiona traficul rutat prin dispozitiv, permițând furtul de acreditări al site-ului web și urmărirea protocoalelor Modbus SCADA. Un alt modul permite Etapei 2 să comunice în siguranță prin Tor. Pe baza investigației Cisco Talos, un modul furnizează conținut rău intenționat traficului care trece prin dispozitiv. În acest fel, atacatorii pot afecta în continuare dispozitivele conectate.

Pe 6 iunie, au fost expuse încă două module Etapa 3. Primul se numește „ssler” și poate intercepta tot traficul care trece prin dispozitiv folosind portul 80. Permite atacatorilor să vizualizeze traficul web și să îl intercepteze pentru a executa atacurile man în mijloc. Poate, de exemplu, să schimbe solicitările HTTPS în cele HTTP, trimitând date presupuse criptate în mod nesigur. Al doilea este denumit „dstr”, care încorporează o comandă kill la orice modul din etapa 2 care nu are această caracteristică. Odată executat, va elimina toate urmele malware-ului înainte de a împiedica blocarea dispozitivului.

Iată alte șapte module din etapa 3 dezvăluite pe 26 septembrie:
  • htpx - Funcționează La fel ca ssler, redirecționând și inspectând tot traficul HTTP care trece prin dispozitivul infectat pentru a identifica și a înregistra orice executabil Windows. Poate executa executabilii Trojan în timp ce trece prin routere infectate, care permit atacatorilor să instaleze programe malware pe diferite mașini conectate la aceeași rețea.
  • ndbr - Acesta este considerat un instrument SSH multifuncțional.
  • nm - Acest modul este o armă de cartografiere a rețelei pentru scanarea subrețelei locale .
  • netfilter - Acest utilitar de refuzare a serviciului poate bloca accesul la unele aplicații criptate.
  • portforwarding - redirecționează traficul de rețea la infrastructura determinată de atacatori.
  • socks5proxy - Permite stabilirea unui proxy SOCKS5 pe dispozitive vulnerabile.
Origini VPNFilter Revealed

malware-ul este probabil opera unei entități de hacking sponsorizate de stat. Infecțiile inițiale au fost resimțite în principal în Ucraina, atribuindu-se cu ușurință acțiunii grupului de hacking Fancy Bear și grupurilor susținute de Rusia.

Totuși, aceasta ilustrează natura sofisticată a VPNFilter. Nu poate fi asociat cu o origine clară și un anumit grup de hacking, iar cineva încă nu a făcut un pas înainte pentru a-și revendica responsabilitatea. Se speculează un sponsor al statului național, deoarece SCADA, alături de alte protocoale de sistem industrial, au reguli și direcționare cuprinzătoare asupra programelor malware.

Totuși, dacă ai întreba FBI-ul, VPNFilter este ideea Fancy Bear. În mai 2018, agenția a confiscat domeniul ToKnowAll.com, considerat a fi esențial în instalarea și comanda etapelor 2 și 3 VPNFilter. Sechestrul a contribuit la oprirea răspândirii malware-ului, dar nu a reușit să abordeze imaginea principală.

În anunțul din 25 mai, FBI lansează o cerere urgentă pentru ca utilizatorii să repornească routerele Wi-Fi acasă pentru a opri un mare atac malware pe bază de străinătate. La acea vreme, agenția a identificat criminalii cibernetici străini pentru compromiterea routerelor Wi-Fi de birou mici și de acasă - împreună cu alte dispozitive de rețea - cu o sută de mii.

Sunt doar un utilizator obișnuit - Ce înseamnă VPNFilter Attack Eu?

Vestea bună este că routerul dvs. nu este probabil să găzduiască malware-ul care dăunează dacă ați verificat lista routerelor VPNFilter pe care am furnizat-o mai sus. Dar întotdeauna este cel mai bine să greșești din partea prudenței. Symantec, de exemplu, rulează VPNFilter Check, astfel încât să puteți testa dacă sunteți afectat sau nu. Durează doar câteva secunde pentru a rula verificarea.

Acum, iată ce este. Ce se întâmplă dacă ești de fapt infectat? Explorați acești pași:
  • Resetați routerul. Apoi, rulați VPNFilter Check încă o dată.
  • Resetați routerul la setările sale din fabrică.
  • Luați în considerare dezactivarea oricăror setări de gestionare la distanță de pe dispozitivul dvs.
  • Descărcați cel mai actualizat firmware pentru router. Finalizați o instalare curată a firmware-ului, în mod ideal, fără ca routerul să realizeze o conexiune online în timp ce procesul este în desfășurare.
  • Finalizați o scanare completă a sistemului pe computerul sau dispozitivul dvs. care a fost conectat la routerul infectat. Nu uitați să utilizați un instrument de optimizare a computerului de încredere pentru a lucra împreună cu scanerul dvs. malware de încredere.
  • Asigurați-vă conexiunile. Protejați-vă cu un VPN plătit de înaltă calitate, cu o experiență de confidențialitate și securitate online de vârf.
  • Obișnuiți-vă să schimbați acreditările implicite de conectare ale routerului dvs., precum și alte dispozitive IoT sau NAS .
  • Aveți un firewall instalat și configurat corect pentru a păstra lucrurile rele în afara rețelei dvs.
  • Protejați dispozitivele cu parole puternice și unice.
  • Activați criptarea .

Dacă routerul dvs. este potențial afectat, ar putea fi o idee bună să consultați site-ul web al producătorului pentru orice informații noi și pașii de urmat pentru a vă proteja dispozitivele. Acesta este un pas imediat de făcut, deoarece toate informațiile dvs. trec prin router. Când un router este compromis, confidențialitatea și securitatea dispozitivelor dvs. sunt în joc.

Rezumat

Programele malware VPNFilter ar putea fi, de asemenea, una dintre cele mai puternice și mai indestructibile amenințări care afectează routerele de întreprindere și de birouri mici sau de acasă din ultimii istorie. A fost detectat inițial pe dispozitive de rețea Linksys, NETGEAR, MikroTik și TP-Link și dispozitive NAS QNAP. Puteți găsi lista routerelor afectate de mai sus.

VPNFilter nu poate fi ignorat după inițierea a aproximativ 500.000 de infecții în 54 de țări. Funcționează în trei etape și face routerele inoperabile, colectează informații care trec prin routere și chiar blochează traficul de rețea. Detectarea, precum și analiza activității rețelei sale rămân o activitate dificilă.

În acest articol, am prezentat modalități de a vă ajuta să vă apărați de malware și pașii pe care îi puteți lua dacă routerul dvs. a fost compromis. Consecințele sunt grave, deci nu ar trebui să vă așezați niciodată pe sarcina importantă de a vă verifica dispozitivele.

Video YouTube.: Cum să identificați și să remediați VPNFilter malware acum

04, 2024