Как да забележите зловреден софтуер на VPNFilter, преди да унищожи вашия рутер

Как да забележите зловреден софтуер на VPNFilter, преди да унищожи вашия рутер

Все по -често се среща злонамерен софтуер за рутер, мрежово устройство и Интернет на нещата. Повечето се фокусират върху заразяването на уязвими устройства и добавянето им към мощни ботнети. Рутерите и устройствата с Интернет на нещата (IoT) винаги са включени, винаги онлайн и чакат инструкции. Идеален фураж за ботнет.





Но не всички зловредни програми са еднакви.



VPNFilter е разрушителна заплаха от злонамерен софтуер за рутери, IoT устройства и дори някои устройства за съхранение, свързани с мрежа (NAS). Как да проверите за инфекция със злонамерен софтуер на VPNFilter? И как можете да го почистите? Нека разгледаме по -отблизо VPNFilter.





Какво е VPNFilter?

VPNFilter е сложен модулен вариант на зловреден софтуер, който е насочен предимно към мрежови устройства от широк кръг производители, както и към NAS устройства. VPNFilter първоначално е намерен на мрежови устройства Linksys, MikroTik, NETGEAR и TP-Link, както и на устройства с QNAP NAS, с около 500 000 инфекции в 54 държави.

The екип, който разкри VPNFilter , Cisco Talos, наскоро актуализирани подробности по отношение на зловредния софтуер, което показва, че мрежовото оборудване от производители като ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE сега показва инфекции с VPNFilter. По време на писането обаче не са засегнати мрежови устройства на Cisco.



Зловредният софтуер е различен от повечето други злонамерени програми, фокусирани върху IoT, защото продължава след рестартиране на системата, което затруднява изкореняването. Устройствата, използващи своите идентификационни данни за вход по подразбиране или с известни уязвимости от нулев ден, които не са получили актуализации на фърмуера, са особено уязвими.

правене на стартиращ usb от iso

Какво прави VPNFilter?

Така че VPNFilter е „многостепенна, модулна платформа“, която може да причини разрушителни щети на устройствата. Освен това той може да служи и като заплаха за събиране на данни. VPNFilter работи на няколко етапа.



Етап 1: VPNFilter Етап 1 установява плацдарм на устройството, като се свързва със сървъра му за управление и управление (C&C), за да изтегли допълнителни модули и да изчака инструкции. Етап 1 също има множество вградени съкращения за локализиране на C & C от етап 2 в случай на промяна на инфраструктурата по време на внедряване. Зловредният софтуер от етап 1 VPNFilter също може да оцелее при рестартиране, което го прави стабилна заплаха.

Етап 2: VPNFilter Stage 2 не продължава при рестартиране, но идва с по-широк спектър от възможности. Етап 2 може да събира лични данни, да изпълнява команди и да пречи на управлението на устройството. Също така, има различни версии на Етап 2 в дивата природа. Някои версии са оборудвани с разрушителен модул, който презаписва дял от фърмуера на устройството, след което се рестартира, за да направи устройството неизползваемо (зловредният софтуер затруднява маршрутизатора, IoT или NAS устройството).



Етап 3: Модулите VPNFilter етап 3 работят като приставки за етап 2, разширявайки функционалността на VPNFilter. Един модул действа като анализатор на пакети, който събира входящия трафик на устройството и краде идентификационни данни. Друг позволява на зловредния софтуер от етап 2 да комуникира сигурно с помощта на Tor. Cisco Talos също откри един модул, който инжектира злонамерено съдържание в трафика, преминаващ през устройството, което означава, че хакерът може да доставя допълнителни експлоатации на други свързани устройства чрез рутер, IoT или NAS устройство.

В допълнение, модулите VPNFilter „позволяват кражба на идентификационни данни на уебсайта и мониторинг на протоколи Modbus SCADA“.

Споделяне на снимки Мета

Друга интересна (но не новооткрита) характеристика на зловредния софтуер VPNFilter е използването на онлайн услуги за споделяне на снимки за намиране на IP адреса на неговия C&C сървър. Анализът на Talos установи, че зловредният софтуер сочи към поредица от URL адреси на Photobucket. Зловредният софтуер изтегля първото изображение в галерията URL адресите и извлича IP адрес на сървър, скрит в метаданните на изображението.

IP адресът „е извлечен от шест цели числа за GPS географска ширина и дължина в EXIF ​​информацията.“ Ако това не успее, зловредният софтуер от етап 1 се връща към обикновен домейн (toknowall.com --- повече за това по-долу), за да изтегли изображението и да опита същия процес.

Целенасочено подушване на пакети

Актуализираният доклад на Talos разкри някои интересни прозрения за модула за намиране на пакети VPNFilter. Вместо просто да прикрива всичко, той има доста строг набор от правила, насочени към конкретни видове трафик. По-конкретно, трафик от промишлени системи за управление (SCADA), които се свързват чрез TP-Link R600 VPN, връзки към списък с предварително дефинирани IP адреси (показващи напреднали познания за други мрежи и желания трафик), както и пакети данни от 150 байта или по -голям.

Крейг Уилям, старши технологичен лидер и глобален мениджър в Talos, каза пред Ars , „Те търсят много специфични неща. Те не се опитват да съберат възможно най -голям трафик. Те търсят определени много малки неща като идентификационни данни и пароли. Нямаме много информация за това, освен че изглежда невероятно целенасочена и невероятно сложна. Все още се опитваме да разберем на кого са го използвали.

Откъде дойде VPNFilter?

Смята се, че VPNFilter е дело на спонсорирана от държавата хакерска група. Че първоначалният скок на инфекция с VPNFilter се усеща предимно в цяла Украйна, първоначалните пръсти сочат отпечатъци от Русия, подкрепени от хакерството, и хакерската група Fancy Bear.

Такава е обаче сложността на зловредния софтуер, няма ясен генезис и нито една хакерска група, национална държава или по друг начин, не е пристъпила напред, за да претендира за зловредния софтуер. Като се имат предвид подробните правила за зловреден софтуер и насочването на SCADA и други протоколи на промишлените системи, участник от националната държава изглежда най-вероятно.

Независимо от това, което мисля, ФБР вярва, че VPNFilter е създание на Fancy Bear. През май 2018 г. ФБР иззел домейн --- ToKnowAll.com --- това се смяташе за използвано за инсталиране и командване на зловреден софтуер от етап 2 и етап 3 VPNFilter. Изземването на домейна със сигурност помогна да се спре незабавното разпространение на VPNFilter, но не прекъсна главната артерия; украинската СБУ предприе атака срещу VPNFilter срещу завод за химическа обработка през юли 2018 г.

как да стартирам windows xp на windows 10

VPNFilter също има прилики с зловредния софтуер BlackEnergy, APT троянец, който се използва срещу широк кръг украински цели. Отново, макар това да е далеч от пълни доказателства, системното насочване към Украйна предимно произтича от хакерски групи с руски връзки.

Заразена ли съм с VPNFilter?

Шансовете са, че вашият рутер не съдържа зловреден софтуер VPNFilter. Но винаги е по -добре да бъдете в безопасност, отколкото да съжалявате:

  1. Проверете този списък за вашия рутер. Ако не сте в списъка, всичко е наред.
  2. Можете да се насочите към сайта за проверка на Symantec VPNFilter. Поставете отметка в полето „Общи условия“, след което натиснете Стартирайте VPNFilter Check бутон в средата. Тестът завършва за секунди.

Аз съм заразен с VPNFilter: Какво да правя?

Ако проверката на Symantec VPNFilter потвърди, че вашият рутер е заразен, имате ясен курс на действие.

  1. Нулирайте рутера си, след това стартирайте отново VPNFilter Check.
  2. Нулирайте рутера до фабричните настройки.
  3. Изтеглете най -новия фърмуер за вашия рутер и завършете чиста инсталация на фърмуера, за предпочитане без рутера да прави онлайн връзка по време на процеса.

Освен това трябва да завършите пълно сканиране на системата на всяко устройство, свързано към заразения рутер.

Винаги трябва да променяте идентификационните данни за вход по подразбиране на вашия рутер, както и на всички IoT или NAS устройства (IoT устройствата не правят тази задача лесна), ако изобщо е възможно. Също така, въпреки че има доказателства, че VPNFilter може да избегне някои защитни стени, като имате инсталиран и правилно конфигуриран ще помогне да се запазят много други гадни неща извън вашата мрежа.

Внимавайте за злонамерен софтуер на рутера!

Зловредният софтуер на рутера е все по -често срещан. Зловредният софтуер и уязвимостите на IoT са навсякъде и с броя на устройствата, които идват онлайн, само ще се влоши. Вашият рутер е фокусната точка за данни във вашия дом. И все пак той не получава почти толкова внимание на сигурността, колкото другите устройства.

Просто казано, вашият рутер не е защитен, както си мислите.

Дял Дял Туит електронна поща Ръководство за начинаещи по анимиране на реч

Анимирането на реч може да бъде предизвикателство. Ако сте готови да започнете да добавяте диалог към вашия проект, ние ще разбием процеса вместо вас.

Прочетете Напред Свързани теми
  • Сигурност
  • Рутер
  • Онлайн сигурност
  • Интернет на нещата
  • Зловреден софтуер
За автора Гавин Филипс(945 публикувани статии)

Гавин е младши редактор за Windows и обяснени технологии, редовен сътрудник на наистина полезен подкаст и редовен рецензент на продукти. Той има бакалавърска степен „Съвременно писане“ с дигитални арт практики, ограбени от хълмовете на Девън, както и над десетилетие професионален опит в писането. Той се радва на обилно количество чай, настолни игри и футбол.

Roku Stick срещу Amazon Fire Stick 2016
Още от Гавин Филипс

Абонирайте се за нашия бюлетин

Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и изключителни оферти!

Щракнете тук, за да се абонирате