A VPNFilter kártékony programok azonosítása és javítása (04.27.24)

Nem minden rosszindulatú program azonos. Ennek egyik bizonyítéka a VPNFilter malware létezése, az útválasztó rosszindulatú programok új fajtája, amely romboló tulajdonságokkal rendelkezik. Az egyik jellegzetes jellemzője, hogy túlélheti az újraindítást, ellentétben a legtöbb dolog internetes (IoT) fenyegetéssel.

Hagyja, hogy ez a cikk végigvezesse Önt a VPNFilter rosszindulatú programok, valamint a céllisták azonosításán. Azt is megtanítjuk, hogyan lehet megakadályozni, hogy eleve pusztítást okozzon a rendszerén.

Mi az a VPNFilter kártevő?

A VPNFilterről úgy gondoljon, mint romboló rosszindulatú programra, amely veszélyezteti az útválasztókat, az IoT-eszközöket, sőt a hálózathoz is csatolva van. (NAS) eszközök. Kifinomult moduláris malware változatnak számít, amely főleg a különböző gyártók hálózati eszközeit célozza meg.

Kezdetben a kártevőket a Linksys, a NETGEAR, a MikroTik és a TP-Link hálózati eszközökön észlelték. A QNAP NAS eszközökben is felfedezték. A mai napig 54 országban mintegy 500 000 fertőzés van, ami hatalmas kiterjedését és jelenlétét bizonyítja.

A Cisco Talos, a VPNFiltert kitett csapat kiterjedt blogbejegyzést közöl a körülötte lévő rosszindulatú programokról és műszaki részletekről. Külseje szerint az ASUS, a D-Link, a Huawei, az UPVEL, az Ubiqiuiti és a ZTE hálózati berendezéseinek vannak fertőzés jelei.

A legtöbb IoT-célzott kártevőtől eltérően a VPNFiltert nehéz eltávolítani, mivel a rendszer újraindítása után is fennáll. A támadásokkal szemben sebezhetőnek bizonyulnak azok az eszközök, amelyek az alapértelmezett bejelentkezési adatokat használják, vagy olyanok, amelyek nulla napos biztonsági réseivel még nem rendelkeznek firmware-frissítéssel.

Eszközök, amelyekről ismert, hogy a VPNFilter kártékony programok érintettek

Ismert, hogy mind a vállalati, mind a kis irodai vagy otthoni irodai útválasztók ennek a rosszindulatú programnak a célpontjai. Vegye figyelembe a következő router márkákat és modelleket:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB horony
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Upvel Devices - ismeretlen modellek
  • ZTE eszközök ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Egyéb QNAP QAS szoftvert futtató NAS eszközök

A legtöbb megcélzott eszköz között a közös nevező az alapértelmezett hitelesítő adatok használata. Ismert kiaknázásaik vannak, különösen a régebbi verziók esetében.

Mit tesz a VPNFilter kártevő a fertőzött eszközökön?

A VPNFilter úgy működik, hogy meggyengítő károkat okoz az érintett eszközökön, valamint adatgyűjtési módszerként is szolgál. Három szakaszban működik:

1. szakasz

Ez a telepítést és a folyamatos jelenlét fenntartását jelöli a céleszközön. A rosszindulatú program kapcsolatba lép egy parancs- és vezérlő (C & amp; C) szerverrel további modulok letöltése és az utasítások megvárása érdekében. Ebben a fázisban több beépített redundancia van a 2. és a C fokozat felkutatására abban az esetben, ha infrastruktúra-változás történik a fenyegetés telepítése közben. 1. szakasz A VPNFilter ellenáll az újraindításnak.

2. szakasz

Ez tartalmazza a fő hasznos terhet. Bár az újraindítással nem képes kitartani, több képességgel rendelkezik. Képes fájlokat gyűjteni, parancsokat végrehajtani, valamint adatszűrést és eszközkezelést végrehajtani. Folytatva romboló hatásait, a rosszindulatú programok „téglázhatják” az eszközt, miután parancsot kap a támadóktól. Ezt az eszköz firmware-jének egy részének felülírásával és az azt követő újraindítással hajtják végre. A bűncselekmények miatt az eszköz használhatatlanná válik.

3. szakasz

Ennek számos ismert modulja létezik, és pluginekként funkcionál a 2. szakaszhoz. Ezek egy csomagszippantót tartalmaznak, amely kémleli az eszközön keresztül továbbított forgalmat, lehetővé téve a webhely hitelesítő adatainak lopását és a Modbus SCADA protokollok követése. Egy másik modul lehetővé teszi a 2. szakasz biztonságos kommunikációját a Tor segítségével. A Cisco Talos vizsgálata alapján az egyik modul rosszindulatú tartalmat szolgáltat az eszközön áthaladó forgalom számára. Így a támadók tovább befolyásolhatják a csatlakoztatott eszközöket.

Június 6-án még két 3. szakasz modul látható volt. Az elsőt „ssler” -nek hívják, és a 80-as port segítségével képes az eszközön áthaladó összes forgalmat elfogni. Lehetővé teszi a támadók számára, hogy megtekinthessék az internetes forgalmat, és lehallgassák azt az ember végrehajtásához a középső támadások során. Megváltoztathatja például a HTTPS kéréseket HTTP-kké, állítólag titkosított adatokat küldve bizonytalanul. A második neve „dstr”, amely egy kill parancsot tartalmaz minden olyan Stage 2 modulhoz, amelynél nincs ez a szolgáltatás. A végrehajtás után megszünteti a rosszindulatú program minden nyomát, mielőtt az téglát készítene az eszközre.

Íme még hét, 3. szakaszból álló modul, szeptember 26-án:
  • htpx - Működik akárcsak az ssler, a fertőzött eszközön átmenő HTTP-forgalom átirányítása és ellenőrzése a Windows futtatható fájlok azonosítása és naplózása céljából. Trojan-ize futtatható fájlokat tud megfertőzni a fertőzött útválasztókon keresztül, ami lehetővé teszi a támadók számára, hogy rosszindulatú programokat telepítsenek ugyanazon hálózatra csatlakozó különféle gépekre.
  • ndbr - Ez egy többfunkciós SSH eszköznek tekinthető.
  • nm - Ez a modul hálózati térképfegyver a helyi alhálózat beolvasásához. .
  • netfilter - Ez a szolgáltatásmegtagadási segédprogram blokkolhatja egyes titkosított alkalmazások hozzáférését.
  • portforwarding - továbbítja a hálózati forgalmat a támadók által meghatározott infrastruktúrához.
  • socks5proxy - Lehetővé teszi a SOCKS5 proxy létrehozását a sérülékeny eszközökön.
A VPNFilter eredete kiderült

Ez a rosszindulatú programok valószínűleg egy állam által támogatott hackelő egység munkája. A kezdeti fertőzéseket elsősorban Ukrajnában érezték, könnyen a Fancy Bear hackercsoportnak és az oroszok által támogatott csoportoknak tulajdonították a tettet.

Ez azonban szemlélteti a VPNFilter kifinomult jellegét. Nem hozható összefüggésbe egyértelmû eredettel és egy konkrét hackercsoporttal, és valakinek még elõre kell lépnie, hogy felelõsséget vállaljon érte. Nemzetállami szponzorra spekulálnak, mivel a SCADA-nak más ipari rendszerprotokollok mellett átfogó kártevő-szabályai és célzása van.

Ha mégis az FBI-t kérdeznéd, a VPNFilter a Fancy Bear ötletgazdája. Még 2018 májusában az ügynökség lefoglalta a ToKnowAll.com domaint, amelyet fontosnak tartanak a 2. és 3. szakasz VPNFilter telepítésében és parancsolásában. A lefoglalás segített megállítani a rosszindulatú programok terjedését, de nem sikerült kezelni a fő képet

Május 25-i közleményében az FBI sürgősen felhívja a felhasználókat, hogy indítsák újra otthon a Wi-Fi útválasztókat, hogy megállítsák a külföldön zajló nagy kártékony programok támadását. Abban az időben az ügynökség megállapította, hogy a külföldi számítógépes bűnözők százezerrel veszélyeztetik a kis irodai és otthoni Wi-Fi routereket - más hálózati eszközökkel együtt.

Csak rendes felhasználó vagyok - mit jelent a VPNFilter Attack Én?

A jó hír az, hogy az útválasztó nem valószínű, hogy magában hordozza a kártevő programokat, ha megnézte a fent megadott VPNFilter útválasztólistát. De mindig az óvatosság mellett téved. A Symantec egyrészt futtatja a VPNFilter Check alkalmazást, így tesztelheti, hogy érintett-e vagy sem. Csak néhány másodpercbe telik az ellenőrzés futtatása.

Most itt van a dolog. Mi van, ha valóban fertőzött vagy? Fedezze fel ezeket a lépéseket:
  • Állítsa vissza az útválasztót. Ezután futtassa újra a VPNFilter Check alkalmazást.
  • Állítsa vissza az útválasztó gyári beállításait.
  • Fontolja meg a távoli felügyeleti beállítások letiltását eszközén.
  • Töltse le a legfrissebb firmware-t az útválasztóhoz. Töltse le a tiszta firmware-telepítést, ideális esetben anélkül, hogy az útválasztó online kapcsolatot létesítene, amíg a folyamat folyamatban van.
  • Végezzen el egy teljes rendszerellenőrzést a számítógépen vagy a fertőzött routerhez csatlakoztatott eszközön. Ne felejtsen el megbízható PC-optimalizáló eszközt használni a megbízható malware-szkennerrel való együttműködéshez.
  • Biztosítsa a kapcsolatokat. Védje meg magát egy kiváló minőségű, fizetős VPN-nel, amelynek csúcsminőségű online adatvédelme és biztonsága van.
  • Szokás, hogy megváltoztatja az útválasztó alapértelmezett bejelentkezési adatait, valamint más IoT vagy NAS eszközöket .
  • Tűzfalat kell telepíteni és megfelelően konfigurálni, hogy a rossz dolgok ne kerülhessenek ki a hálózatába.
  • Biztonságos és egyedi jelszavakkal védje készülékeit.
  • Engedélyezze a titkosítást .

Ha potenciálisan érinti útválasztóját, érdemes a gyártó webhelyén tájékozódnia az új információkról és az eszközök védelme érdekében tett lépésekről. Ez azonnali lépés, mivel minden információ átkerül az útválasztón. Ha egy útválasztó sérül, akkor az eszközei magánélete és biztonsága forog kockán.

Összegzés

A VPNFilter kártékony programok a legerősebb és legsemmisíthetetlenebb fenyegetések lehetnek az utóbbi időben a vállalati és a kis irodai vagy otthoni útválasztók számára történelem. Eleinte a Linksys, a NETGEAR, a MikroTik és a TP-Link hálózati eszközökön és a QNAP NAS eszközökön észlelték. Az érintett útválasztók listáját fent találja.

A VPNFilter nem hagyható figyelmen kívül, miután mintegy 500 000 fertőzést kezdeményezett 54 országban. Három szakaszban működik, és működésképtelenné teszi az útválasztókat, összegyűjti az útválasztókon áthaladó információkat, sőt blokkolja a hálózati forgalmat is. A hálózati tevékenységének felderítése és elemzése továbbra is nehéz feladat.

Ebben a cikkben felvázoltuk, hogyan védekezhetünk a rosszindulatú programok ellen, és milyen lépéseket tehetünk, ha útválasztóját feltörték. A következmények súlyosak, ezért soha nem szabad az eszközellenőrzés fontos feladatának eleget tennie.

Youtube videó: A VPNFilter kártékony programok azonosítása és javítása

04, 2024