Kuidas tuvastada VPNFiltri pahavara enne, kui see ruuteri hävitab

Kuidas tuvastada VPNFiltri pahavara enne, kui see ruuteri hävitab

Ruuteri, võrguseadme ja asjade Interneti pahavara on üha tavalisem. Enamik keskendub haavatavate seadmete nakatamisele ja nende lisamisele võimsatele robotivõrkudele. Ruuterid ja asjade Interneti (IoT) seadmed on alati sisse lülitatud, alati võrgus ja ootavad juhiseid. Täiuslik robotivõrgu sööt.





Kuid mitte kõik pahavarad pole ühesugused.



VPNFilter on hävitav pahavaraoht ruuteritele, IoT-seadmetele ja isegi mõnele võrguga ühendatud salvestusseadmele (NAS). Kuidas kontrollida VPNFilteri pahavara nakatumist? Ja kuidas saate seda puhastada? Vaatame VPNFilterit lähemalt.





Mis on VPNFilter?

VPNFilter on keerukas modulaarne pahavara variant, mis on suunatud peamiselt paljude tootjate võrguseadmetele ja ka NAS -seadmetele. VPNFilter leiti algselt võrguseadmetest Linksys, MikroTik, NETGEAR ja TP-Link, aga ka QNAP NAS-i seadmetest, kus oli 54 riigis umbes 500 000 nakatunut.

The meeskond, kes avastas VPNFiltri , Cisco Talos, hiljuti värskendatud üksikasjad pahavara kohta, mis näitab, et selliste tootjate nagu ASUS, D-Link, Huawei, Ubiquiti, UPVEL ja ZTE võrguseadmed näitavad nüüd VPNFilter nakkusi. Selle kirjutamise ajal ei mõjuta see aga ühtegi Cisco võrguseadet.



Pahavara erineb enamikust teistest IoT-põhistele pahavaradele, kuna see püsib ka pärast süsteemi taaskäivitamist, mistõttu on selle likvideerimine keeruline. Seadmed, mis kasutavad vaikimisi sisselogimisandmeid või millel on teadaolevad nullpäeva haavatavused ja mis pole püsivara värskendusi saanud, on eriti haavatavad.

kuidas iPhone'is vanade tekstide juurde tagasi pöörduda

Mida VPNFilter teeb?

Niisiis, VPNFilter on mitmeastmeline moodulplatvorm, mis võib seadmeid kahjustavalt kahjustada. Lisaks võib see olla ka andmete kogumise oht. VPNFilter töötab mitmes etapis.



1. etapp: VPNFilter Stage 1 loob seadmel rannapea, võttes ühendust selle juhtimis- ja juhtimisserveriga (C&C), et alla laadida lisamooduleid ja oodata juhiseid. 1. etapis on ka mitu sisseehitatud koondamist, et leida 2. etapi C & Cs, kui kasutuselevõtu ajal muutub infrastruktuur. Stage 1 VPNFilter pahavara suudab ka taaskäivituse üle elada, muutes selle tugevaks ohuks.

2. etapp: VPNFilter Stage 2 ei kesta taaskäivitamisel, kuid sellel on laiem valik võimalusi. 2. etapp võib koguda privaatseid andmeid, täita käske ja häirida seadmehaldust. Samuti on looduses 2. etapi erinevaid versioone. Mõned versioonid on varustatud hävitava mooduliga, mis kirjutab üle seadme püsivara partitsiooni, seejärel taaskäivitatakse, et muuta seade kasutuskõlbmatuks (pahavara blokeerib põhimõtteliselt ruuteri, IoT või NAS -seadme).



3. etapp: VPNFilter 3. etapi moodulid töötavad nagu 2. etapi pistikprogrammid, laiendades VPNFilteri funktsionaalsust. Üks moodul toimib pakettide nuusutajana, mis kogub seadmesse sissetulevat liiklust ja varastab mandaadi. Teine võimaldab teise astme pahavara Tori abil turvaliselt suhelda. Cisco Talos leidis ka ühe mooduli, mis süstib seadet läbivasse liiklusse pahatahtlikku sisu, mis tähendab, et häkker saab ruuteri, IoT või NAS -seadme kaudu teistele ühendatud seadmetele edasisi võimalusi pakkuda.

Lisaks võimaldavad VPNFilter moodulid 'veebisaidi mandaadi varguse ja Modbus SCADA protokollide jälgimise'.

Fotode jagamise meta

Veel üks huvitav (kuid mitte hiljuti avastatud) VPNFilteri pahavara funktsioon on veebipõhiste fotojagamisteenuste kasutamine oma C&C serveri IP -aadressi leidmiseks. Talose analüüsist selgus, et pahavara osutab Photobucket'i URL -ide seeriale. Pahavara laadib galerii esimese pildi alla URL -i viited ja ekstraheerib pildi metaandmetesse peidetud serveri IP -aadressi.

IP -aadress 'ekstraheeritakse EXIF ​​-teabes GPS -i laius- ja pikkuskraadi kuue täisarvuväärtuse põhjal.' Kui see ei õnnestu, langeb 1. etapi pahavara tagasi tavalisele domeenile (toknowall.com --- sellest lähemalt allpool), et pilt alla laadida ja sama protsessi proovida.

Sihtotstarbeline pakettide nuusutamine

Värskendatud Talose aruanne näitas huvitavaid teadmisi VPNFilteri pakettide nuusutusmooduli kohta. Selle asemel, et lihtsalt kõike üles riputada, on sellel üsna ranged reeglid, mis on suunatud teatud tüüpi liiklusele. Täpsemalt liiklus tööstuslikest juhtimissüsteemidest (SCADA), mis ühenduvad TP-Link R600 VPN-ide abil, ühendused eelnevalt määratletud IP-aadresside loendiga (mis näitab teiste võrkude edasist tundmist ja soovitud liiklust), samuti 150-baitised andmepaketid või suurem.

Craig William, vanem tehnoloogiajuht ja Talose ülemaailmse teavitamise juht, rääkis Ars , 'Nad otsivad väga konkreetseid asju. Nad ei püüa koguda nii palju liiklust kui võimalik. Nad tahavad teatud väga väikeseid asju, nagu volikirjad ja paroolid. Meil pole selle kohta palju teavet, kui see tundub uskumatult sihitud ja uskumatult keerukas. Püüame ikka veel aru saada, kellele nad seda kasutasid. '

Kust VPNFilter tuli?

Arvatakse, et VPNFilter on riigi sponsoreeritud häkkerigrupi töö. Et VPNFilter'i nakkuse esialgne tõus oli valdavalt tunda kogu Ukrainas, osutasid esimesed sõrmed Venemaa toetatud sõrmejälgedele ja häkkimisrühmale Fancy Bear.

Kuid selline on pahavara keerukus, puudub selge genees ja häkkerirühm, rahvusriik või muul viisil, pole pahavara nõudmiseks edasi astunud. Arvestades üksikasjalikke pahavara eeskirju ning SCADA ja muude tööstussüsteemiprotokollide sihtimist, tundub rahvusriigi tegija kõige tõenäolisem.

Olenemata sellest, mida ma arvan, usub FBI, et VPNFilter on väljamõeldud karu looming. 2018. aasta mais FBI haaras domeeni --- ToKnowAll.com --- arvati, et seda kasutati 2. ja 3. etapi VPNFilter pahavara installimiseks ja käsutamiseks. Domeeni arestimine aitas kindlasti peatada VPNFilteri kohese leviku, kuid ei katkestanud peamist arterit; Ukraina SBU võttis 2018. aasta juulis maha ühe VPNFilteri rünnaku keemiatöötlemistehasele.

kuidas mängida gamecube mänge wii homebrew'is

VPNFilteril on sarnasusi ka pahavara BlackEnergy, APT troojaga, mida kasutatakse laia Ukraina sihtmärkide vastu. Jällegi, kuigi see pole kaugeltki täielik tõendusmaterjal, tuleneb Ukraina süsteemne sihtimine peamiselt Venemaa sidemetega häkkimisrühmade häkkimisest.

Kas ma olen nakatunud VPNFiltriga?

Võimalik, et teie ruuter ei sisalda pahavara VPNFilter. Kuid alati on parem olla ohutu kui kahetseda:

  1. Kontrollige seda loendit oma ruuteri jaoks. Kui sind pole nimekirjas, on kõik korras.
  2. Võite minna saidile Symantec VPNFilter Check. Märkige tingimuste kast ja klõpsake nuppu Käivitage VPNFilter Check nupp keskel. Test lõpeb mõne sekundi jooksul.

Olen nakatunud VPNFiltriga: mida teha?

Kui Symantec VPNFilter Check kinnitab, et teie ruuter on nakatunud, on teil selge tegevus.

  1. Lähtestage oma ruuter ja lähtestage uuesti VPNFilter Check.
  2. Lähtestage ruuter tehaseseadetele.
  3. Laadige oma ruuteri jaoks alla uusim püsivara ja installige puhas püsivara, eelistatavalt ilma, et ruuter looks protsessi ajal võrguühendust.

Lisaks peate iga nakatunud ruuteriga ühendatud seadmega täieliku süsteemi skannima.

Kui vähegi võimalik, peaksite alati muutma oma ruuteri, samuti IoT- või NAS -seadmete (IoT -seadmed ei tee seda ülesannet lihtsaks) vaikimisi sisselogimisandmeid. Lisaks on tõendeid selle kohta, et VPNFilter võib mõnest tulemüürist kõrvale hiilida, millel on üks installitud ja õigesti konfigureeritud aitab teie võrgust eemal hoida palju muud vastikut.

Olge ettevaatlik ruuteri pahavara suhtes!

Ruuteri pahavara on üha tavalisem. IoT pahavara ja haavatavused on kõikjal ning võrku saabuvate seadmete arvu tõttu see ainult halveneb. Teie ruuter on teie kodu andmete keskpunkt. Kuid see ei päri peaaegu sama palju turvalisust kui teised seadmed.

Lihtsamalt öeldes pole teie ruuter turvaline, nagu arvate.

Jaga Jaga Piiksuma E -post Algaja juhend kõne animeerimiseks

Kõne animeerimine võib olla väljakutse. Kui olete valmis oma projektile dialoogi lisama, jagame teie jaoks protsessi.

Loe edasi Seotud teemad
  • Turvalisus
  • Ruuter
  • Turvalisus Internetis
  • Asjade Internet
  • Pahavara
Autori kohta Gavin Phillips(Avaldatud 945 artiklit)

Gavin on Windowsi ja tehnoloogia selgitatud noorem toimetaja, tõeliselt kasuliku taskuhäälingusaate regulaarne kaastööline ja tavaline tooteülevaataja. Tal on BA (Hons) kaasaegne kirjutamine digitaalse kunsti praktikatega, mis on rüüstatud Devoni mägedest, samuti üle kümne aasta pikkune professionaalne kirjutamiskogemus. Ta naudib suures koguses teed, lauamänge ja jalgpalli.

kuidas Wordis logo teha
Veel Gavin Phillipsilt

Telli meie uudiskiri

Liituge meie uudiskirjaga, et saada tehnilisi näpunäiteid, ülevaateid, tasuta e -raamatuid ja eksklusiivseid pakkumisi!

Tellimiseks klõpsake siin