Kā noteikt VPNFilter ļaunprātīgu programmatūru, pirms tā iznīcina jūsu maršrutētāju

Kā noteikt VPNFilter ļaunprātīgu programmatūru, pirms tā iznīcina jūsu maršrutētāju

Maršrutētāja, tīkla ierīces un lietu interneta ļaunprātīga programmatūra kļūst arvien izplatītāka. Lielākā daļa koncentrējas uz neaizsargātu ierīču inficēšanu un pievienošanu spēcīgiem robottīkliem. Maršrutētāji un lietu interneta (IoT) ierīces vienmēr ir ieslēgtas, vienmēr ir tiešsaistē un gaida norādījumus. Tad ideāla robottīkla barība.





Bet ne visas ļaunprātīgās programmatūras ir vienādas.



VPNFilter ir destruktīvs ļaunprātīgas programmatūras drauds maršrutētājiem, IoT ierīcēm un pat dažām tīklam pievienotām atmiņas (NAS) ierīcēm. Kā pārbaudīt VPNFilter ļaunprātīgas programmatūras infekciju? Un kā to var iztīrīt? Sīkāk apskatīsim VPNFilter.





Kas ir VPNFilter?

VPNFilter ir sarežģīts moduļu ļaunprātīgas programmatūras variants, kas galvenokārt ir paredzēts dažādu ražotāju tīkla ierīcēm, kā arī NAS ierīcēm. VPNFilter sākotnēji tika atrasts Linksys, MikroTik, NETGEAR un TP-Link tīkla ierīcēs, kā arī QNAP NAS ierīcēs, ar aptuveni 500 000 infekciju 54 valstīs.

The komanda, kas atklāja VPNFilter , Cisco Talos, nesen atjaunināta informācija attiecībā uz ļaunprātīgu programmatūru, norādot, ka tīkla iekārtas no tādiem ražotājiem kā ASUS, D-Link, Huawei, Ubiquiti, UPVEL un ZTE tagad parāda VPNFilter infekcijas. Tomēr rakstīšanas laikā Cisco tīkla ierīces netiek ietekmētas.



Ļaunprātīga programmatūra ir atšķirīga no vairuma citu uz IoT vērstas ļaunprātīgas programmatūras, jo tā saglabājas arī pēc sistēmas pārstartēšanas, apgrūtinot tās izskaušanu. Īpaši neaizsargātas ir ierīces, kas izmanto noklusējuma pieteikšanās akreditācijas datus vai kurām ir zināmas nulles dienas ievainojamības un kuras nav saņēmušas programmaparatūras atjauninājumus.

kāpēc mana sistēma izmanto tik daudz diska?

Ko dara VPNFilter?

Tātad, VPNFilter ir “daudzpakāpju, modulāra platforma”, kas var radīt destruktīvus bojājumus ierīcēm. Turklāt tas var kalpot arī kā datu vākšanas drauds. VPNFilter darbojas vairākos posmos.



1. posms: VPNFilter 1. posms ierīcē izveido pludmales galviņu, sazinoties ar tās komandu un vadības serveri (C&C), lai lejupielādētu papildu moduļus un gaidītu norādījumus. Pirmajā posmā ir arī vairāki iebūvēti atlaišanas gadījumi, lai atrastu 2. posma nosacījumus un nosacījumus infrastruktūras izmaiņu gadījumā izvietošanas laikā. 1. posma VPNFilter ļaunprātīgā programmatūra spēj izdzīvot arī pēc atsāknēšanas, padarot to par nopietnu draudu.

2. posms: VPNFilter 2. posms netiek saglabāts, restartējot, taču tam ir plašāks iespēju klāsts. Otrajā posmā var apkopot privātus datus, izpildīt komandas un traucēt ierīču pārvaldību. Arī savvaļā ir dažādas 2. posma versijas. Dažas versijas ir aprīkotas ar destruktīvu moduli, kas pārraksta ierīces programmaparatūras nodalījumu, pēc tam tiek restartēts, lai padarītu ierīci nelietojamu (ļaunprātīga programmatūra pamatā bloķē maršrutētāju, IoT vai NAS ierīci).



3. posms: VPNFilter 3. posma moduļi darbojas kā 2. posma spraudņi, paplašinot VPNFilter funkcionalitāti. Viens modulis darbojas kā pakešu snifferis, kas savāc ierīcē ienākošo trafiku un nozog akreditācijas datus. Cits ļauj 2. posma ļaunprātīgai programmatūrai droši sazināties, izmantojot Tor. Cisco Talos arī atrada vienu moduli, kas injicē ļaunprātīgu saturu satiksmē, kas iet caur ierīci, kas nozīmē, ka hakeris var nodrošināt turpmāku izmantošanu citām savienotajām ierīcēm, izmantojot maršrutētāju, IoT vai NAS ierīci.

Turklāt VPNFilter moduļi 'ļauj nozagt vietņu akreditācijas datus un uzraudzīt Modbus SCADA protokolus'.

Foto koplietošanas Meta

Vēl viena interesanta (bet nesen atklāta) VPNFilter ļaunprātīgas programmatūras iezīme ir tiešsaistes fotoattēlu koplietošanas pakalpojumu izmantošana, lai atrastu sava C&C servera IP adresi. Talos analīze atklāja, ka ļaunprātīga programmatūra norāda uz virkni Photobucket URL. Ļaunprātīga programmatūra lejupielādē galerijā pirmo attēlu uz URL atsaucēm un iegūst servera IP adresi, kas paslēpta attēla metadatos.

IP adrese 'tiek iegūta no sešām veselām GPS platuma un garuma vērtībām EXIF ​​informācijā.' Ja tas neizdodas, 1. posma ļaunprātīga programmatūra atgriežas parastajā domēnā (toknowall.com --- vairāk par to zemāk), lai lejupielādētu attēlu un mēģinātu veikt to pašu procesu.

Mērķtiecīga pakešu šņaukšana

Atjauninātajā Talos pārskatā tika atklāts interesants ieskats VPNFilter pakešu šņaukšanas modulī. Tā vietā, lai tikai uzliktu visu uz augšu, tam ir diezgan stingrs noteikumu kopums, kas paredzēts konkrētiem satiksmes veidiem. Konkrēti, trafiks no rūpnieciskām vadības sistēmām (SCADA), kas savienojas, izmantojot TP-Link R600 VPN, savienojumi ar iepriekš noteiktu IP adrešu sarakstu (kas norāda uz padziļinātām zināšanām par citiem tīkliem un vēlamo trafiku), kā arī 150 baitu datu paketes vai lielāks.

Kreigs Viljams, vecākais tehnoloģiju līderis un Talos globālās informācijas menedžeris, stāstīja Ars , 'Viņi meklē ļoti specifiskas lietas. Viņi nemēģina savākt tik daudz satiksmes, cik vien iespējams. Viņi meklē dažas ļoti mazas lietas, piemēram, akreditācijas datus un paroles. Mums nav daudz informācijas par to, izņemot to, kas šķiet neticami mērķtiecīgs un neticami sarežģīts. Mēs joprojām cenšamies noskaidrot, kam viņi to izmantoja. '

No kurienes radās VPNFilter?

Tiek uzskatīts, ka VPNFilter ir valsts sponsorētas hakeru grupas darbs. Sākotnējais VPNFilter infekcijas pieaugums pārsvarā bija jūtams visā Ukrainā, sākotnējie pirksti norādīja uz Krievijas atbalstītajiem pirkstu nospiedumiem un hakeru grupu Fancy Bear.

Tomēr šāda ir ļaunprātīgas programmatūras izsmalcinātība, nav skaidras ģenēzes, un neviena hakeru grupa, nacionāla valsts vai citādi, nav pieteikusies, lai pieprasītu ļaunprātīgu programmatūru. Ņemot vērā sīki izstrādātus ļaunprātīgas programmatūras noteikumus un mērķauditorijas atlasi pēc SCADA un citiem rūpnieciskās sistēmas protokoliem, visticamāk, šķiet, nacionālās valsts dalībnieks.

Neatkarīgi no tā, ko es domāju, FIB uzskata, ka VPNFilter ir izdomāts lācis. 2018. gada maijā FIB konfiscēja domēnu --- ToKnowAll.com --- tika uzskatīts, ka tas tika izmantots, lai instalētu un komandētu 2. un 3. posma VPNFilter ļaunprātīgu programmatūru. Domēna konfiskācija noteikti palīdzēja apturēt tūlītēju VPNFilter izplatīšanos, bet nesagrieza galveno artēriju; Ukrainas SBU 2018. gada jūlijā noņēma VPNFilter uzbrukumu ķīmiskās pārstrādes rūpnīcai.

labākās lietotnes klēpjdatora operētājsistēmai Windows 10 lejupielādēt bez maksas

VPNFilter ir arī līdzības ar BlackEnergy ļaunprātīgu programmatūru, APT Trojas zirgu, kas tiek izmantots pret plašu Ukrainas mērķu klāstu. Atkal, lai gan tas nebūt nav pilns pierādījums, Ukrainas sistēmiskā mērķauditorija pārsvarā izriet no hakeru grupām ar Krievijas saitēm.

Vai esmu inficēts ar VPNFilter?

Iespējams, ka jūsu maršrutētājā nav VPNFilter ļaunprātīgas programmatūras. Bet vienmēr labāk būt drošam nekā nožēlot:

  1. Pārbaudiet šo sarakstu jūsu maršrutētājam. Ja jūs neesat sarakstā, viss ir kārtībā.
  2. Jūs varat doties uz Symantec VPNFilter Check vietni. Atzīmējiet izvēles rūtiņu un nosacījumus, pēc tam noklikšķiniet uz Palaidiet VPNFilter Check poga vidū. Pārbaude tiek pabeigta dažu sekunžu laikā.

Esmu inficēts ar VPNFilter: ko man darīt?

Ja Symantec VPNFilter Check apstiprina, ka jūsu maršrutētājs ir inficēts, jums ir skaidra rīcība.

  1. Atiestatiet maršrutētāju un pēc tam vēlreiz palaidiet VPNFilter Check.
  2. Atiestatiet maršrutētāja rūpnīcas iestatījumus.
  3. Lejupielādējiet maršrutētāja jaunāko programmaparatūru un pabeidziet tīru programmaparatūras instalēšanu, vēlams, lai maršrutētājs procesa laikā neveidotu tiešsaistes savienojumu.

Turklāt jums ir jāveic pilnīga sistēmas skenēšana katrā ierīcē, kas pievienota inficētajam maršrutētājam.

Jums vienmēr jāmaina maršrutētāja noklusējuma pieteikšanās akreditācijas dati, kā arī visas IoT vai NAS ierīces (IoT ierīces šo uzdevumu nepadara vieglu), ja tas ir iespējams. Turklāt, lai gan ir pierādījumi, ka VPNFilter var izvairīties no dažiem ugunsmūriem, kam tāds ir instalēts un pareizi konfigurēts palīdzēs izvairīties no tīkla daudz citu nepatīkamu lietu.

Uzmanieties no maršrutētāja ļaunprātīgas programmatūras!

Maršrutētāja ļaunprātīga programmatūra kļūst arvien izplatītāka. IoT ļaunprātīga programmatūra un ievainojamības ir visur, un, palielinoties tiešsaistē pieejamo ierīču skaitam, tas tikai pasliktināsies. Jūsu maršrutētājs ir jūsu mājas datu centrs. Tomēr tai netiek pievērsta tikpat liela uzmanība drošībai kā citām ierīcēm.

Vienkārši sakot, jūsu maršrutētājs nav drošs, kā jūs domājat.

Kopīgot Kopīgot Čivināt E -pasts Rokas animācijas rokasgrāmata iesācējiem

Runas animēšana var būt izaicinājums. Ja esat gatavs sākt pievienot dialogu savam projektam, mēs to sadalīsim jūsu vietā.

Lasīt Tālāk Saistītās tēmas
  • Drošība
  • Maršrutētājs
  • Drošība tiešsaistē
  • Lietas internets
  • Ļaunprātīga programmatūra
Par autoru Gevins Filips(Publicēti 945 raksti)

Gevins ir jaunākais redaktors operētājsistēmai Windows un Technology Explained, regulārs Really Useful Podcast līdzautors un regulārs produktu recenzents. Viņam ir bakalaura grāds (Hons) Mūsdienu rakstīšana ar digitālās mākslas praksi, kas izlaupīta no Devonas kalniem, kā arī vairāk nekā desmit gadu profesionālā rakstīšanas pieredze. Viņam patīk daudz tējas, galda spēles un futbols.

vai varat izmantot divu dažādu zīmolu aunus
Vairāk no Gevina Filipsa

Abonējiet mūsu biļetenu

Pievienojieties mūsu informatīvajam izdevumam, lai iegūtu tehniskus padomus, pārskatus, bezmaksas e -grāmatas un ekskluzīvus piedāvājumus!

Noklikšķiniet šeit, lai abonētu