Jak rozpoznat malware VPNFilter, než zničí váš router

Jak rozpoznat malware VPNFilter, než zničí váš router

Router, síťová zařízení a malware Internet of Things jsou stále běžnější. Většina se zaměřuje na infikování zranitelných zařízení a jejich přidávání do výkonných botnetů. Směrovače a zařízení internetu věcí (IoT) jsou vždy napájeny, vždy online a čekají na pokyny. Perfektní krmivo pro botnety.





Ale ne každý malware je stejný.



VPNFilter je destruktivní hrozba malwaru pro směrovače, zařízení IoT a dokonce i některá zařízení připojená k síti (NAS). Jak zkontrolujete infekci malwarem VPNFilter? A jak to můžeš vyčistit? Podívejme se blíže na VPNFilter.





Co je VPNFilter?

VPNFilter je propracovaná modulární varianta malwaru, která se primárně zaměřuje na síťová zařízení od celé řady výrobců a také na zařízení NAS. VPNFilter byl původně nalezen na síťových zařízeních Linksys, MikroTik, NETGEAR a TP-Link a také na zařízeních QNAP NAS s přibližně 500 000 infekcemi v 54 zemích.

The tým, který odhalil VPNFilter , Cisco Talos, nedávno aktualizované podrobnosti pokud jde o malware, což naznačuje, že síťová zařízení od výrobců, jako jsou ASUS, D-Link, Huawei, Ubiquiti, UPVEL a ZTE, nyní vykazují infekce VPNFilter. V době psaní článku však nejsou ovlivněna žádná síťová zařízení Cisco.



Malware je na rozdíl od většiny ostatních malwarů zaměřených na IoT, protože přetrvává i po restartu systému, což ztěžuje jeho odstranění. Zvláště zranitelná jsou zařízení používající jejich výchozí přihlašovací údaje nebo se známými zranitelnostmi nulového dne, která neobdržela aktualizace firmwaru.

jak dostat soubory ze starého pevného disku

Co dělá VPNFilter?

VPNFilter je tedy „vícestupňová, modulární platforma“, která může způsobit destruktivní poškození zařízení. Kromě toho může také sloužit jako hrozba pro sběr dat. VPNFilter funguje v několika fázích.



Fáze 1: Fáze 1 VPNFilter zřizuje v zařízení předmostí, kontaktuje jeho velitelský a řídicí server (C&C), aby stáhl další moduly a čekal na pokyny. Fáze 1 má také několik vestavěných redundancí k lokalizaci C & C Stage 2 v případě změny infrastruktury během nasazení. Malware Fáze 1 VPNFilter je také schopen přežít restart, což z něj činí silnou hrozbu.

Fáze 2: Fáze 2 VPNFilter po restartu přetrvává, ale přichází s širší škálou funkcí. Fáze 2 může shromažďovat soukromá data, spouštět příkazy a zasahovat do správy zařízení. Také ve volné přírodě existují různé verze Stage 2. Některé verze jsou vybaveny destruktivním modulem, který přepíše oddíl firmwaru zařízení a poté se restartuje, aby bylo zařízení nepoužitelné (malware v zásadě vytváří router, IoT nebo zařízení NAS).



Fáze 3: Moduly VPNFilter Stage 3 fungují jako pluginy pro Stage 2 a rozšiřují funkce VPNFilter. Jeden modul funguje jako vyhledávač paketů, který shromažďuje příchozí provoz na zařízení a krade přihlašovací údaje. Další umožňuje malwaru Stage 2 bezpečně komunikovat pomocí Tor. Cisco Talos také našel jeden modul, který vnáší škodlivý obsah do provozu procházejícího zařízením, což znamená, že hacker může poskytovat další využití dalším připojeným zařízením prostřednictvím routeru, IoT nebo zařízení NAS.

Moduly VPNFilter navíc „umožňují krádež přihlašovacích údajů na webové stránky a monitorování protokolů SCADA Modbus“.

Sdílení fotografií Meta

Další zajímavou (ale ne nově objevenou) funkcí malwaru VPNFilter je použití online služeb pro sdílení fotografií k nalezení IP adresy jeho serveru C&C. Analýza Talos zjistila, že malware ukazuje na řadu adres URL Photobucket. Malware stáhne první obrázek v galerii, na který odkazuje URL, a extrahuje IP adresu serveru skrytou v metadatech obrázku.

IP adresa „je extrahována ze šesti celočíselných hodnot zeměpisné šířky a délky GPS v informacích EXIF.“ Pokud se to nezdaří, malware Stage 1 přejde zpět do běžné domény (toknowall.com --- více o tom níže), stáhne obrázek a pokusí se o stejný postup.

Cílené čichání paketů

Aktualizovaná zpráva Talos odhalila některé zajímavé poznatky o modulu sniffingu paketů VPNFilter. Spíše než jen vytahování všeho, má poměrně přísný soubor pravidel, která se zaměřují na konkrétní typy provozu. Konkrétně provoz z průmyslových řídicích systémů (SCADA), které se připojují pomocí VPN TP-Link R600, připojení k seznamu předdefinovaných IP adres (indikující pokročilou znalost dalších sítí a žádoucího provozu), stejně jako datové pakety o velikosti 150 bajtů nebo větší.

Craig William, vedoucí technologický lídr a manažer globálního dosahu ve společnosti Talos, řekl Ars „Hledají velmi konkrétní věci. Nesnaží se shromáždit takový provoz, jaký by mohli. Sledují určité velmi malé věci, jako jsou přihlašovací údaje a hesla. Nemáme o tom mnoho informací, než se zdá neuvěřitelně cílené a neuvěřitelně propracované. Stále se snažíme zjistit, na koho to používali. '

Odkud pochází VPNFilter?

VPNFilter je považován za dílo hackerské skupiny sponzorované státem. Že počáteční nárůst infekce VPNFilter byl převážně cítit na celé Ukrajině, počáteční prsty ukazovaly na otisky prstů podporované Ruskem a hackerskou skupinu Fancy Bear.

Taková je však náročnost malwaru, neexistuje žádná jasná geneze a žádná hackerská skupina, národní stát ani nic jiného, ​​nevystoupila a nepožaduje malware. Vzhledem k podrobným pravidlům pro malware a cílení protokolů SCADA a dalších průmyslových systémů se nejpravděpodobněji jeví aktér národního státu.

Bez ohledu na to, co si myslím, FBI věří, že VPNFilter je výtvor Fancy Bear. V květnu 2018 FBI zabavili doménu --- ToKnowAll.com --- to bylo myšleno, že bylo použito k instalaci a ovládání malwaru Stage 2 a Stage 3 VPNFilter. Zabavení domény určitě pomohlo zastavit okamžité šíření VPNFilteru, ale nepřerušilo hlavní tepnu; ukrajinská SBU pro jednoho zaútočila na útok VPNFilter na chemický zpracovatelský závod v červenci 2018.

jak chránit wifi před sousedy

VPNFilter se také podobá malwaru BlackEnergy, trojskému koni APT používanému proti široké škále ukrajinských cílů. Opět platí, že i když to není zdaleka úplný důkaz, systémové cílení Ukrajiny pochází převážně z hackerských skupin s ruskými vazbami.

Jsem nakažen VPNFilterem?

Je pravděpodobné, že váš router neobsahuje malware VPNFilter. Ale vždy je lepší být v bezpečí, než litovat:

  1. Zkontrolujte tento seznam pro váš router. Pokud nejste na seznamu, je vše v pořádku.
  2. Můžete přejít na web Symantec VPNFilter Check. Zaškrtněte políčko smluvních podmínek a poté klikněte na Spusťte kontrolu VPNFilter tlačítko uprostřed. Test se dokončí během několika sekund.

Jsem nakažen filtrem VPN: Co mám dělat?

Pokud kontrola Symantec VPNFilter Check potvrdí, že je váš router napaden, máte jasný postup.

  1. Resetujte router a poté znovu spusťte kontrolu VPNFilter.
  2. Obnovte tovární nastavení routeru.
  3. Stáhněte si nejnovější firmware pro svůj router a dokončete čistou instalaci firmwaru, nejlépe bez toho, aby se router během procesu připojil online.

Kromě toho musíte provést úplné skenování systému na každém zařízení připojeném k infikovanému routeru.

Pokud je to vůbec možné, měli byste vždy změnit výchozí přihlašovací údaje vašeho routeru a všech zařízení IoT nebo NAS (zařízení IoT tento úkol neusnadňují). I když existují důkazy, že VPNFilter může obejít některé brány firewall, mít nainstalovaný a správně nakonfigurovaný pomůže udržet ve vaší síti spoustu dalších ošklivých věcí.

Dávejte si pozor na malware routeru!

Směrovací malware je stále běžnější. IoT malware a zranitelnosti jsou všude a s počtem zařízení připojených online se bude jen zhoršovat. Váš router je ústředním bodem pro data ve vaší domácnosti. Přesto se mu nedostává zdaleka tolik pozornosti zabezpečení jako ostatním zařízením.

Jednoduše řečeno, váš router není bezpečný, jak si myslíte.

Podíl Podíl tweet E-mailem Průvodce pro začátečníky k animované řeči

Animovaná řeč může být výzva. Pokud jste připraveni začít s přidáváním dialogu do projektu, proces za vás rozdělíme.

Číst dále Související témata
  • Bezpečnostní
  • Router
  • Zabezpečení online
  • Internet věcí
  • Malware
O autorovi Gavin Phillips(945 publikovaných článků)

Gavin je juniorský editor pro Windows a vysvětlenou technologii, pravidelný přispěvatel do Skutečně užitečného podcastu a pravidelný recenzent produktů. Má BA (Hons) Contemporary Writing with Digital Art Practices drancované z kopců Devonu, stejně jako více než deset let zkušeností s profesionálním psaním. Má rád velké množství čaje, deskových her a fotbalu.

jak obejít účet Google v systému Android
Více od Gavina Phillipse

Přihlaste se k odběru našeho zpravodaje

Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné elektronické knihy a exkluzivní nabídky!

Kliknutím sem se přihlásíte k odběru