Як ідентифікувати та виправити зловмисне програмне забезпечення VPNFilter зараз (04.25.24)

Не всі шкідливі програми створюються рівними. Одним із доказів цього є існування зловмисного програмного забезпечення VPNFilter , нової породи шкідливих програм маршрутизаторів, що має руйнівні властивості. Однією з його характерних особливостей є те, що він може пережити перезавантаження, на відміну від більшості інших загроз Інтернету речей (IoT).

Нехай ця стаття допоможе вам визначити зловмисне програмне забезпечення VPNFilter, а також його список цільових об'єктів. Ми також навчимо вас, як запобігти нанесенню хаосу у вашій системі.

Що таке зловмисне програмне забезпечення VPNFilter?

Подумайте про VPNFilter як про руйнівну шкідливу програму, яка загрожує маршрутизаторам, пристроям IoT і навіть підключеним до мережі пристроїв зберігання даних (NAS). Він вважається складним модульним варіантом шкідливого програмного забезпечення, який головним чином націлений на мережеві пристрої різних виробників.

Спочатку зловмисне програмне забезпечення було виявлено на мережевих пристроях Linksys, NETGEAR, MikroTik та TP-Link. Це було виявлено і в пристроях QNAP NAS. На сьогоднішній день в 54 країнах зареєстровано близько 500 000 заражень, що демонструє його величезний охоплення та присутність.

Cisco Talos, команда, яка викрила VPNFilter, надає велику публікацію в блозі про шкідливе програмне забезпечення та технічні деталі навколо нього. На перший погляд, мережеве обладнання від ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti та ZTE має ознаки зараження.

На відміну від більшості інших зловмисних програм, орієнтованих на IoT, VPNFilter важко усунути, оскільки він зберігається навіть після перезавантаження системи. Вразливими для його атак є пристрої, які використовують свої облікові дані за замовчуванням, або ті з відомими вразливими місцями нульового дня, які ще не мали оновлення мікропрограми.

Пристрої, на які, як відомо, впливає зловмисне програмне забезпечення VPNFilter

Відомо, що цільовими зловмисними програмами є маршрутизатори як для підприємств, так і для невеликих офісів чи домашніх офісів. Зверніть увагу на такі марки та моделі маршрутизаторів:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Пристрої Upvel - невідомі моделі
  • Пристрої ZTE ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Інші QNAP Пристрої NAS з програмним забезпеченням QTS

Загальним знаменником серед більшості цільових пристроїв є використання облікових даних за замовчуванням. Вони також мають відомі подвиги, особливо для старих версій.

Що робить VPNFilter зловмисне програмне забезпечення для заражених пристроїв?

VPNFilter працює, щоб заподіяти виснажливі збитки пошкодженим пристроям, а також служити способом збору даних. Це працює у три етапи:

Етап 1

Це означає встановлення та підтримку постійної присутності на цільовому пристрої. Шкідливе програмне забезпечення зв’яжеться із сервером команд та управління (C & amp; C), щоб завантажити додаткові модулі та чекати інструкцій. На цьому етапі існує кілька вбудованих надмірностей для пошуку C & Stage 2 на випадок зміни інфраструктури під час розгортання загрози. VPNFilter 1-го етапу витримує перезавантаження.

2-й етап

Це має основне корисне навантаження. Хоча він не може продовжуватися через перезавантаження, він має більше можливостей. Він здатний збирати файли, виконувати команди та виконувати ексфільтрацію даних та керування пристроєм. Продовжуючи свою руйнівну дію, шкідливе програмне забезпечення може «обмуровувати» пристрій, коли воно отримує команду від зловмисників. Це виконується шляхом перезапису частини мікропрограми пристрою та подальшої перезавантаження. Злочинні дії роблять пристрій непридатним для використання.

Етап 3

Існує декілька відомих модулів, які виступають як плагіни для Етапу 2. Вони включають в себе знімок пакетів для шпигування трафіку, що проходить через пристрій, що дозволяє красти облікові дані веб-сайту відстеження протоколів Modbus SCADA. Інший модуль дозволяє Stage 2 безпечно спілкуватися через Tor. На основі розслідування Cisco Talos один модуль забезпечує зловмисний вміст для трафіку, який проходить через пристрій. Таким чином, зловмисники можуть надалі впливати на підключені пристрої.

6 червня було відкрито ще два модулі 3-го етапу. Перший називається "ssler", і він може перехоплювати весь трафік, що проходить через пристрій, за допомогою порту 80. Він дозволяє зловмисникам переглядати веб-трафік і перехоплювати його, щоб виконувати людину в середніх атаках. Наприклад, він може змінити запити HTTPS на HTTP, надсилаючи нібито зашифровані дані небезпечно. Другий називається "dstr", який включає команду kill для будь-якого модуля Stage 2, в якому відсутня ця функція. Після запуску він усуне всі сліди шкідливого програмного забезпечення, перш ніж цеглуватиме пристрій.

Ось ще сім модулів Stage 3, розкриті 26 вересня:
  • htpx - Він працює так само, як ssler, перенаправлення та перевірка всього HTTP-трафіку, що проходить через заражений пристрій, з метою виявлення та реєстрації будь-яких виконуваних файлів Windows. Він може виконувати виконувані програми під час проходження заражених маршрутизаторів, що дозволяє зловмисникам встановлювати шкідливе програмне забезпечення на різні машини, підключені до однієї мережі.
  • ndbr - Це вважається багатофункціональним інструментом SSH.
  • nm - Цей модуль є зброєю мережевого картографування для сканування локальної підмережі .
  • netfilter - Ця утиліта відмови в обслуговуванні може заблокувати доступ до деяких зашифрованих додатків.
  • переадресація портів - Перенаправляє мережевий трафік до інфраструктури, визначеної зловмисниками.
  • socks5proxy - Це дозволяє встановлювати проксі-сервер SOCKS5 на вразливих пристроях.
Виявлено походження VPNFilter

Це шкідливе програмне забезпечення, ймовірно, є роботою суб’єкта хакерської діяльності, що фінансується державою. Початкові інфекції в основному відчувались в Україні, легко пов’язуючи цей акт із хакерською групою Fancy Bear та групами, які підтримують Росія.

Це, однак, ілюструє витончену природу VPNFilter. Це не може бути пов’язано з чітким походженням та конкретною групою злому, і хтось ще не крок вперед, щоб взяти на себе відповідальність за це. Спонсори національних держав спекулюються, оскільки SCADA поряд з іншими протоколами промислових систем має вичерпні правила щодо шкідливого програмного забезпечення та націлювання.

Якщо ви хотіли запитати у ФБР, VPNFilter - це дітище Fancy Bear. Ще в травні 2018 року агентство захопило домен ToKnowAll.com, який, як вважають, може допомогти встановити та керувати VPNFilter Stage 2 та 3. Вилучення допомогло зупинити розповсюдження шкідливого програмного забезпечення, але не вдалося вирішити основне зображення.

У своєму оголошенні від 25 травня ФБР надсилає терміновий запит користувачам перезавантажити свої маршрутизатори Wi-Fi вдома, щоб зупинити велику атаку зловмисного програмного забезпечення на іноземній основі. На той момент агентство визначило іноземних кіберзлочинців за компрометацію невеликих офісних та домашніх маршрутизаторів Wi-Fi - разом із іншими мережевими пристроями - на сто тисяч.

Я просто звичайний користувач - що означає атака VPNFilter Я?

Хороша новина полягає в тому, що ваш маршрутизатор, швидше за все, не приховує шкідливого програмного забезпечення, якщо ви перевірили список маршрутизаторів VPNFilter, який ми надали вище. Але завжди найкраще помилятися на стороні обережності. Symantec, наприклад, запускає перевірку VPNFilter, щоб ви могли перевірити, чи вас це стосується чи ні. Щоб запустити перевірку, потрібно лише кілька секунд.

Ось у чому річ. Що робити, якщо ви насправді заражені? Вивчіть ці кроки:
  • Скиньте налаштування маршрутизатора. Потім запустіть VPNFilter Check ще раз.
  • Скиньте налаштування маршрутизатора до заводських налаштувань.
  • Подумайте про те, щоб вимкнути будь-які налаштування віддаленого управління на своєму пристрої.
  • Завантажте найновішу прошивку для свого маршрутизатора. Завершіть чисту інсталяцію мікропрограми, в ідеалі, якщо маршрутизатор не підключається до Інтернету, поки процес триває.
  • Завершіть повне сканування системи на вашому комп’ютері чи пристрої, підключеному до зараженого маршрутизатора. Не забудьте використовувати надійний інструмент оптимізатора ПК, щоб працювати разом із вашим надійним сканером зловмисного програмного забезпечення.
  • Захистіть свої з’єднання. Захистіть себе високоякісною платною VPN із послужним списком найвищого рівня конфіденційності та безпеки в Інтернеті.
  • Заведіть звичку змінювати облікові дані за замовчуванням для свого маршрутизатора, а також інших пристроїв IoT або NAS .
  • Встановіть і налаштуйте брандмауер, щоб унеможливлювати зловживання у вашій мережі.
  • Захистіть свої пристрої надійними унікальними паролями.
  • Увімкніть шифрування .

Якщо ваш маршрутизатор зазнає потенційних наслідків, можливо, непогано перевірити на веб-сайті виробника будь-яку нову інформацію та заходи щодо захисту своїх пристроїв. Це негайний крок, оскільки вся ваша інформація проходить через ваш маршрутизатор. Коли маршрутизатор скомпрометований, це ставить під загрозу конфіденційність і безпеку ваших пристроїв.

Підсумок

Шкідливе програмне забезпечення VPNFilter також може бути однією з найсильніших та найбільш незнищенних загроз за останній час для корпоративних та малих офісних або домашніх маршрутизаторів. історії. Спочатку це було виявлено на мережевих пристроях Linksys, NETGEAR, MikroTik, TP-Link та NAS-пристроях QNAP. Ви можете знайти список уражених маршрутизаторів вище.

VPNFilter не можна ігнорувати після ініціювання близько 500 000 заражень у 54 країнах. Він працює в три етапи і робить маршрутизатори непрацездатними, збирає інформацію, яка проходить через маршрутизатори, і навіть блокує мережевий трафік. Виявлення та аналіз його мережевої діяльності залишається складним завданням.

У цій статті ми описали способи захисту від шкідливого програмного забезпечення та кроки, які можна вжити, якщо ваш маршрутизатор зламаний. Наслідки жахливі, тому ніколи не слід займатися важливим завданням перевірки своїх пристроїв.

Відео YouTube: Як ідентифікувати та виправити зловмисне програмне забезпечення VPNFilter зараз

04, 2024