Sådan identificeres og rettes VPNFilter Malware nu (04.27.24)

Ikke al malware oprettes ens. Et bevis på dette er eksistensen af ​​ VPNFilter malware , en ny race af routermalware, der har destruktive egenskaber. Et særpræg, det har, er at det kan overleve genstart, i modsætning til de fleste andre IoT-trusler (Internet of Things).

Lad denne artikel guide dig gennem identifikation af VPNFilter-malware såvel som dens liste over mål. Vi vil også lære dig, hvordan du forhindrer det i at skabe kaos på dit system i første omgang.

Hvad er VPNFilter malware?

Tænk på VPNFilter som destruktiv malware, der truer routere, IoT-enheder og endda netværks-tilknyttet lagringsenheder (NAS). Det betragtes som en sofistikeret modulær malware-variant, der primært er målrettet mod netværksenheder fra forskellige producenter.

Oprindeligt blev malware detekteret på Linksys, NETGEAR, MikroTik og TP-Link netværksenheder. Det blev også opdaget i QNAP NAS-enheder. Til dato er der omkring 500.000 infektioner i 54 nationer, der demonstrerer dets enorme rækkevidde og tilstedeværelse.

Cisco Talos, teamet, der udsatte VPNFilter, giver et omfattende blogindlæg om malware og tekniske detaljer omkring det. Fra udseendet af det har netværksudstyr fra ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti og ZTE tegn på infektion.

I modsætning til de fleste andre IoT-målrettede malware er VPNFilter vanskeligt at eliminere, da det fortsætter, selv efter en systemgenstart. Beviser sårbare over for dets angreb er enheder, der bruger deres standard loginoplysninger, eller dem med kendte nul-dags sårbarheder, der endnu ikke har firmwareopdateringer.

Enheder, der er kendt for at blive påvirket af VPNFilter Malware

Både routere til virksomheder og mindre kontorer eller hjemmekontorer er kendt for at være et mål for denne malware. Vær opmærksom på følgende routermærker og modeller:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Upvel Devices -kendte modeller
  • ZTE Devices ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Andet QNAP NAS-enheder, der kører QTS-software

En fællesnævner blandt de fleste af de målrettede enheder er deres brug af standardoplysninger. De har også kendte bedrifter, især til ældre versioner.

Hvad gør VPNFilter Malware til inficerede enheder?

VPNFilter fungerer for at forårsage svækkende skader på berørte enheder samt fungere som en dataindsamlingsmetode. Det fungerer i tre faser:

Trin 1

Dette markerer installation og opretholder en vedvarende tilstedeværelse på en målenhed. Malwaren kontakter en kommando- og kontrolserver (C & amp; C) for at downloade yderligere moduler og afvente instruktioner. I denne fase er der flere indbyggede afskedigelser for at lokalisere fase 2 C & amp; C'er, hvis der sker en infrastrukturændring, mens truslen implementeres. Trin 1 VPNFilter kan modstå en genstart.

Trin 2

Dette indeholder den største nyttelast. Selvom det ikke er i stand til at fortsætte gennem en genstart, har den flere muligheder. Det er i stand til at indsamle filer, udføre kommandoer og udføre dataeksfiltrering og enhedsadministration. Fortsat med dets destruktive virkninger kan malware “mure” enheden, når den først modtager en kommando fra angribere. Dette udføres ved at overskrive en del af enhedens firmware og efterfølgende genstart. De kriminelle handlinger gør enheden ubrugelig.

Trin 3

Der findes flere kendte moduler af dette og fungerer som plugins til fase 2. Disse omfatter en pakke-sniffer til at spionere på trafik, der er rutet gennem enheden, hvilket muliggør tyveri af hjemmesidens legitimationsoplysninger og sporing af Modbus SCADA-protokoller. Et andet modul lader trin 2 kommunikere sikkert via Tor. Baseret på Cisco Talos-undersøgelsen leverer et modul ondsindet indhold til trafik, der passerer gennem enheden. På denne måde kan angribere yderligere påvirke tilsluttede enheder.

Den 6. juni blev yderligere to trin 3-moduler eksponeret. Den første kaldes "ssler", og den kan opfange al trafik, der passerer gennem enheden ved hjælp af port 80. Det gør det muligt for angribere at se webtrafikken og opfange den for at udføre mennesket i mellemangrebene. Det kan for eksempel ændre HTTPS-anmodninger til HTTP-dem og sende angiveligt krypterede data usikkert. Den anden kaldes "dstr", som indeholder en kill-kommando til ethvert trin 2-modul, der mangler denne funktion. Når det er udført, fjerner det alle spor af malware, før det mursten enheden.

Her er syv flere trin 3-moduler afsløret den 26. september:
  • htpx - Det fungerer Ligesom ssler omdirigerer og inspicerer al HTTP-trafik gennem den inficerede enhed for at identificere og logge eventuelle Windows-eksekverbare filer. Det kan Trojan-ize eksekverbare filer, mens de går gennem inficerede routere, som lader angribere installere malware på forskellige maskiner, der er forbundet til det samme netværk.
  • ndbr - Dette betragtes som et multifunktionelt SSH-værktøj.
  • nm - Dette modul er et netværkskortlægningsvåben til scanning af det lokale undernet .
  • netfilter - Denne benægtelse af serviceværktøj kan blokere adgang til nogle krypterede apps.
  • portforwarding - Det videresender netværkstrafik til infrastruktur bestemt af angribere.
  • socks5proxy - Det gør det muligt at etablere en SOCKS5-proxy på sårbare enheder.
Oprindelsen til VPNFilter afsløret

Dette malware er sandsynligvis arbejdet med en statsstøttet hackingenhed. Indledende infektioner blev primært mærket i Ukraine og tilskrev let handlingen til hacking-gruppen Fancy Bear og russisk-støttede grupper.

Dette illustrerer dog VPNFilters sofistikerede natur. Det kan ikke være forbundet med en klar oprindelse og en bestemt hackinggruppe, og nogen skal endnu gå frem for at påberåbe sig ansvaret for det. Der spekuleres i en nationalstatssponsor, da SCADA sammen med andre industrielle systemprotokoller har omfattende malware-regler og målretning.

Hvis du skulle spørge FBI, er VPNFilter dog hjernebarnet til Fancy Bear. Tilbage i maj 2018 beslaglagde agenturet ToKnowAll.com-domænet, der blev anset for at være medvirkende til installation og kommando af fase 2 og 3 VPNFilter. Beslaglæggelsen hjalp med at standse spredningen af ​​malware, men det lykkedes ikke at tackle de vigtigste img.

I sin meddelelse den 25. maj fremsætter FBI en presserende anmodning om, at brugerne genstarter deres Wi-Fi-routere derhjemme for at stoppe et stort udenlandsk-baseret malwareangreb. På det tidspunkt fastslog agenturet udenlandske cyberkriminelle for at kompromittere Wi-Fi-routere på små kontorer og hjem - sammen med andre netværksenheder - med hundrede tusind.

Jeg er bare en almindelig bruger - Hvad betyder VPNFilter Attack Mig?

Den gode nyhed er, at din router sandsynligvis ikke huser den skadelige malware, hvis du tjekkede VPNFilter-routerlisten, som vi har angivet ovenfor. Men det er altid bedst på den side af forsigtighed. Symantec kører for det første VPNFilter Check, så du kan teste, om du er berørt eller ej. Det tager kun få sekunder at køre kontrollen.

Nu er det her. Hvad hvis du faktisk er smittet? Udforsk disse trin:
  • Nulstil din router. Kør derefter VPNFilter Check igen.
  • Nulstil din router til dens fabriksindstillinger.
  • Overvej at deaktivere eventuelle fjernstyringsindstillinger på din enhed.
  • Download den mest opdaterede firmware til din router. Fuldfør en ren firmwareinstallation, ideelt uden at routeren opretter en onlineforbindelse, mens processen er i gang.
  • Gennemfør en komplet systemscanning på din computer eller enhed, der er forbundet til den inficerede router. Glem ikke at bruge et pålideligt pc-optimeringsværktøj til at arbejde sammen med din betroede malware-scanner.
  • Sikre dine forbindelser. Bliv beskyttet med en betalt VPN af høj kvalitet med en track record af topnotch online privatliv og sikkerhed.
  • Bliv vant til at ændre standard loginoplysningerne til din router såvel som andre IoT- eller NAS-enheder. .
  • Få en firewall installeret og korrekt konfigureret til at holde de dårlige ting ude af dit netværk.
  • Beskyt dine enheder med stærke, unikke adgangskoder.
  • Aktivér kryptering .

Hvis din router potentielt er berørt, kan det være en god ide at kontakte producentens websted for nye oplysninger og skridt til at tage for at beskytte dine enheder. Dette er et øjeblikkeligt skridt at tage, da alle dine oplysninger går gennem din router. Når en router er kompromitteret, er dine enheds privatliv og sikkerhed på spil.

Oversigt

VPNFilter-malware kan lige så godt være en af ​​de stærkeste og mest uforgængelige trusler mod nyere virksomheds- og mindre kontor- eller hjemmereuter historie. Det blev oprindeligt detekteret på Linksys, NETGEAR, MikroTik og TP-Link netværksenheder og QNAP NAS-enheder. Du kan finde listen over berørte routere ovenfor.

VPNFilter kan ikke ignoreres efter initiering af 500.000 infektioner i 54 lande. Det fungerer i tre faser og gør routere ubrugelige, indsamler information, der passerer gennem routerne og blokerer endda netværkstrafik. Opdagelse såvel som analyse af dets netværksaktivitet er fortsat en vanskelig opgave.

I denne artikel skitserede vi måder, hvorpå du kan beskytte dig mod malware og de trin, du kan tage, hvis din router er kompromitteret. Konsekvenserne er dystre, så du bør aldrig sidde ved den vigtige opgave at kontrollere dine enheder.

YouTube Video.: Sådan identificeres og rettes VPNFilter Malware nu

04, 2024