Πώς να εντοπίσετε το κακόβουλο λογισμικό VPNFilter πριν καταστρέψει το δρομολογητή σας

Πώς να εντοπίσετε το κακόβουλο λογισμικό VPNFilter πριν καταστρέψει το δρομολογητή σας

Το κακόβουλο λογισμικό δρομολογητή, συσκευής δικτύου και Internet of Things είναι όλο και πιο συνηθισμένο. Οι περισσότεροι εστιάζουν στη μόλυνση ευάλωτων συσκευών και την προσθήκη τους σε ισχυρά botnets. Οι δρομολογητές και οι συσκευές Internet of Things (IoT) είναι πάντα ενεργοποιημένες, πάντα στο διαδίκτυο και περιμένουν οδηγίες. Τέλεια κτηνοτροφία botnet, λοιπόν.





Αλλά δεν είναι όλα τα κακόβουλα προγράμματα το ίδιο.



Το VPNFilter είναι μια καταστροφική απειλή κακόβουλου λογισμικού για δρομολογητές, συσκευές IoT, ακόμη και ορισμένες συσκευές αποθήκευσης (NAS). Πώς ελέγχετε για μόλυνση από κακόβουλο λογισμικό VPNFilter; Και πώς μπορείτε να το καθαρίσετε; Ας ρίξουμε μια πιο προσεκτική ματιά στο VPNFilter.





Τι είναι το VPNFilter;

Το VPNFilter είναι μια εξελιγμένη αρθρωτή παραλλαγή κακόβουλου λογισμικού που στοχεύει κυρίως συσκευές δικτύωσης από ένα ευρύ φάσμα κατασκευαστών, καθώς και συσκευές NAS. Το VPNFilter βρέθηκε αρχικά σε συσκευές δικτύου Linksys, MikroTik, NETGEAR και TP-Link, καθώς και συσκευές QNAP NAS, με περίπου 500.000 μολύνσεις σε 54 χώρες.

ο ομάδα που αποκάλυψε το VPNFilter , Cisco Talos, πρόσφατα ενημερωμένες λεπτομέρειες σχετικά με το κακόβουλο λογισμικό, υποδεικνύοντας ότι ο εξοπλισμός δικτύωσης από κατασκευαστές όπως οι ASUS, D-Link, Huawei, Ubiquiti, UPVEL και ZTE εμφανίζουν πλέον μολύνσεις VPNFilter. Ωστόσο, κατά τη στιγμή της γραφής, καμία συσκευή δικτύου Cisco δεν επηρεάζεται.



Το κακόβουλο λογισμικό δεν μοιάζει με το άλλο κακόβουλο λογισμικό που εστιάζει στο IoT, επειδή επιμένει μετά την επανεκκίνηση του συστήματος, καθιστώντας δύσκολη την εξάλειψή του. Οι συσκευές που χρησιμοποιούν τα προεπιλεγμένα διαπιστευτήρια σύνδεσής τους ή με γνωστά τρωτά σημεία μηδενικής ημέρας που δεν έχουν λάβει ενημερώσεις υλικολογισμικού είναι ιδιαίτερα ευάλωτα.

πώς να αποκτήσετε τοπικά κανάλια στο roku

Τι κάνει το VPNFilter;

Έτσι, το VPNFilter είναι μια «πολυεπίπεδη, αρθρωτή πλατφόρμα» που μπορεί να προκαλέσει καταστροφικές βλάβες σε συσκευές. Επιπλέον, μπορεί επίσης να χρησιμεύσει ως απειλή συλλογής δεδομένων. Το VPNFilter λειτουργεί σε διάφορα στάδια.



Στάδιο 1: Το VPNFilter Stage 1 καθιερώνει ένα headhead στη συσκευή, επικοινωνώντας με το διακομιστή εντολών και ελέγχου (C&C) για λήψη πρόσθετων μονάδων και αναμονή οδηγιών. Το Στάδιο 1 έχει επίσης πολλαπλές ενσωματωμένες απολύσεις για τον εντοπισμό των Κ & Σ Σταδίου 2 σε περίπτωση αλλαγής υποδομής κατά την ανάπτυξη. Το κακόβουλο λογισμικό Stage 1 VPNFilter είναι επίσης σε θέση να επιβιώσει από μια επανεκκίνηση, καθιστώντας το μια ισχυρή απειλή.

Στάδιο 2: Το VPNFilter Stage 2 δεν επιμένει κατά την επανεκκίνηση, αλλά έρχεται με ένα ευρύτερο φάσμα δυνατοτήτων. Το στάδιο 2 μπορεί να συλλέγει ιδιωτικά δεδομένα, να εκτελεί εντολές και να παρεμβαίνει στη διαχείριση συσκευών. Επίσης, υπάρχουν διαφορετικές εκδόσεις του Stage 2 σε άγρια ​​κατάσταση. Ορισμένες εκδόσεις είναι εξοπλισμένες με μια καταστρεπτική μονάδα που αντικαθιστά ένα διαμέρισμα του υλικολογισμικού της συσκευής και στη συνέχεια επανεκκινεί για να καταστήσει τη συσκευή άχρηστη (το κακόβουλο λογισμικό τούβλο του δρομολογητή, του IoT ή της συσκευής NAS, βασικά).



Στάδιο 3: Οι ενότητες VPNFilter Stage 3 λειτουργούν σαν προσθήκες για το στάδιο 2, επεκτείνοντας τη λειτουργικότητα του VPNFilter. Ένα module λειτουργεί ως πακέτο sniffer που συλλέγει την εισερχόμενη κίνηση στη συσκευή και κλέβει διαπιστευτήρια. Ένα άλλο επιτρέπει στο κακόβουλο λογισμικό Stage 2 να επικοινωνεί με ασφάλεια χρησιμοποιώντας το Tor. Η Cisco Talos βρήκε επίσης μια ενότητα που εγχέει κακόβουλο περιεχόμενο στην κίνηση που διέρχεται από τη συσκευή, πράγμα που σημαίνει ότι ο χάκερ μπορεί να παραδώσει περαιτέρω εκμεταλλεύσεις σε άλλες συνδεδεμένες συσκευές μέσω δρομολογητή, IoT ή συσκευής NAS.

Επιπλέον, οι ενότητες VPNFilter «επιτρέπουν την κλοπή διαπιστευτηρίων ιστότοπου και την παρακολούθηση των πρωτοκόλλων Modbus SCADA».

Κοινή χρήση φωτογραφιών Meta

Ένα άλλο ενδιαφέρον (αλλά όχι πρόσφατα ανακαλυφθέν) χαρακτηριστικό του κακόβουλου προγράμματος VPNFilter είναι η χρήση διαδικτυακών υπηρεσιών κοινής χρήσης φωτογραφιών για την εύρεση της διεύθυνσης IP του διακομιστή C&C. Η ανάλυση Talos διαπίστωσε ότι το κακόβουλο λογισμικό δείχνει μια σειρά διευθύνσεων URL Photobucket. Το κακόβουλο λογισμικό κατεβάζει την πρώτη εικόνα στη συλλογή τις αναφορές URL και εξάγει μια διεύθυνση IP διακομιστή κρυμμένη στα μεταδεδομένα της εικόνας.

Η διεύθυνση IP 'εξάγεται από έξι ακέραιες τιμές για το γεωγραφικό πλάτος και γεωγραφικό μήκος GPS στις πληροφορίες EXIF.' Εάν αυτό αποτύχει, το κακόβουλο λογισμικό Stage 1 επιστρέφει σε έναν κανονικό τομέα (toknowall.com --- περισσότερα για αυτό παρακάτω) για να κατεβάσετε την εικόνα και να επιχειρήσετε την ίδια διαδικασία.

Στοχευμένη μυρωδιά πακέτων

Η ανανεωμένη αναφορά Talos αποκάλυψε μερικές ενδιαφέρουσες πληροφορίες σχετικά με τη μονάδα sniffing πακέτων VPNFilter. Αντί να απλώνει τα πάντα, έχει ένα αρκετά αυστηρό σύνολο κανόνων που στοχεύουν συγκεκριμένους τύπους επισκεψιμότητας. Συγκεκριμένα, επισκεψιμότητα από βιομηχανικά συστήματα ελέγχου (SCADA) που συνδέονται μέσω VPN TP-Link R600, συνδέσεις με μια λίστα προκαθορισμένων διευθύνσεων IP (υποδεικνύοντας προηγμένη γνώση άλλων δικτύων και επιθυμητή κίνηση), καθώς και πακέτα δεδομένων 150 byte ή μεγαλύτερο.

Craig William, ανώτερος τεχνολογικός ηγέτης και παγκόσμιος διευθυντής επικοινωνίας στο Talos, είπε στον Αρς , «Lookingάχνουν πολύ συγκεκριμένα πράγματα. Δεν προσπαθούν να συγκεντρώσουν όσο περισσότερη κίνηση μπορούν. Ακολουθούν ορισμένα πολύ μικρά πράγματα, όπως διαπιστευτήρια και κωδικοί πρόσβασης. Δεν έχουμε πολλές πληροφορίες για αυτό εκτός από αυτό που φαίνεται απίστευτα στοχευμένο και απίστευτα εξεζητημένο. Ακόμα προσπαθούμε να καταλάβουμε σε ποιον το χρησιμοποιούσαν ».

Από πού προήλθε το VPNFilter;

Το VPNFilter πιστεύεται ότι είναι έργο μιας κρατικής ομάδας χάκερ. Ότι η αρχική αύξηση μόλυνσης VPNFilter έγινε κυρίως αισθητή σε όλη την Ουκρανία, τα πρώτα δάχτυλα έδειξαν τα δακτυλικά αποτυπώματα που υποστηρίζονται από τη Ρωσία και την ομάδα χάκερ, Fancy Bear.

Ωστόσο, αυτή είναι η πολυπλοκότητα του κακόβουλου λογισμικού, δεν υπάρχει σαφής γένεση και καμία ομάδα χάκερ, εθνικό κράτος ή άλλο, δεν έχει προχωρήσει για να διεκδικήσει το κακόβουλο λογισμικό. Δεδομένων των λεπτομερών κανόνων κακόβουλου λογισμικού και της στόχευσης του SCADA και άλλων πρωτοκόλλων βιομηχανικών συστημάτων, ένας φορέας εθνικού κράτους φαίνεται πολύ πιθανός.

Ανεξάρτητα από το τι πιστεύω, το FBI πιστεύει ότι το VPNFilter είναι μια δημιουργία Fancy Bear. Τον Μάιο του 2018, το FBI κατέλαβε ένα domain --- ToKnowAll.com --- που θεωρήθηκε ότι χρησιμοποιήθηκε για την εγκατάσταση και εντολή κακόβουλου λογισμικού Stage 2 και Stage 3 VPNFilter. Η κατάσχεση τομέα σίγουρα βοήθησε να σταματήσει η άμεση εξάπλωση του VPNFilter, αλλά δεν διέκοψε την κύρια αρτηρία. η ουκρανική SBU απέσυρε μια επίθεση VPNFilter σε εργοστάσιο επεξεργασίας χημικών τον Ιούλιο του 2018, για ένα.

πώς να απαλλαγείτε από τα windows 10 bloatware

Το VPNFilter παρουσιάζει επίσης ομοιότητες με το κακόβουλο λογισμικό BlackEnergy, ένα APT Trojan που χρησιμοποιείται ενάντια σε ένα ευρύ φάσμα ουκρανικών στόχων. Και πάλι, ενώ αυτό απέχει πολύ από πλήρη στοιχεία, η συστημική στόχευση της Ουκρανίας προέρχεται κυρίως από πειρατικές ομάδες με ρωσικές σχέσεις.

Είμαι μολυσμένος με το VPNFilter;

Οι πιθανότητες είναι ότι ο δρομολογητής σας δεν φιλοξενεί το κακόβουλο λογισμικό VPNFilter. Αλλά είναι πάντα καλύτερο να είσαι ασφαλής παρά συγγνώμη:

  1. Ελέγξτε αυτήν τη λίστα για το δρομολογητή σας. Εάν δεν είστε στη λίστα, όλα είναι εντάξει.
  2. Μπορείτε να κατευθυνθείτε στον ιστότοπο Symantec VPNFilter Check. Ελέγξτε το πλαίσιο όρων και προϋποθέσεων και, στη συνέχεια, πατήστε το Εκτελέστε VPNFilter Check κουμπί στη μέση. Η δοκιμή ολοκληρώνεται μέσα σε δευτερόλεπτα.

Είμαι μολυσμένος με VPNFilter: Τι κάνω;

Εάν ο έλεγχος Symantec VPNFilter επιβεβαιώσει ότι ο δρομολογητής σας έχει μολυνθεί, έχετε μια σαφή πορεία δράσης.

  1. Επαναφέρετε το δρομολογητή σας και, στη συνέχεια, εκτελέστε ξανά τον έλεγχο VPNFilter.
  2. Επαναφέρετε το δρομολογητή σας στις εργοστασιακές ρυθμίσεις.
  3. Κατεβάστε το πιο πρόσφατο υλικολογισμικό για το δρομολογητή σας και ολοκληρώστε μια καθαρή εγκατάσταση υλικολογισμικού, κατά προτίμηση χωρίς ο δρομολογητής να πραγματοποιήσει σύνδεση στο διαδίκτυο κατά τη διαδικασία.

Επιπλέον, πρέπει να ολοκληρώσετε πλήρεις σαρώσεις συστήματος σε κάθε συσκευή που είναι συνδεδεμένη στο μολυσμένο δρομολογητή.

Θα πρέπει πάντα να αλλάζετε τα προεπιλεγμένα διαπιστευτήρια σύνδεσης του δρομολογητή σας, καθώς και οποιεσδήποτε συσκευές IoT ή NAS (οι συσκευές IoT δεν διευκολύνουν αυτήν την εργασία), αν είναι δυνατόν. Επίσης, ενώ υπάρχουν ενδείξεις ότι το VPNFilter μπορεί να αποφύγει ορισμένα τείχη προστασίας, έχοντας ένα εγκατεστημένο και σωστά διαμορφωμένο θα σας βοηθήσει να κρατήσετε πολλά άλλα άσχημα πράγματα εκτός του δικτύου σας.

Προσοχή στο κακόβουλο λογισμικό του δρομολογητή!

Το κακόβουλο λογισμικό του δρομολογητή είναι όλο και πιο κοινό. Το κακόβουλο λογισμικό IoT και τα τρωτά σημεία είναι παντού και με τον αριθμό των συσκευών που έρχονται στο διαδίκτυο, θα επιδεινωθούν. Ο δρομολογητής σας είναι το σημείο εστίασης για δεδομένα στο σπίτι σας. Ωστόσο, δεν λαμβάνει τόσο μεγάλη προσοχή ασφαλείας όσο άλλες συσκευές.

Με απλά λόγια, ο δρομολογητής σας δεν είναι ασφαλής όπως νομίζετε.

Μερίδιο Μερίδιο Τιτίβισμα ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ Ένας αρχάριος οδηγός για την εμψύχωση του λόγου

Η εμψύχωση του λόγου μπορεί να είναι μια πρόκληση. Εάν είστε έτοιμοι να αρχίσετε να προσθέτετε διάλογο στο έργο σας, θα αναλύσουμε τη διαδικασία για εσάς.

Διαβάστε Επόμενο Σχετικά θέματα
  • Ασφάλεια
  • Δρομολογητής
  • Online Ασφάλεια
  • το διαδίκτυο των πραγμάτων
  • Κακόβουλο λογισμικό
Σχετικά με τον Συγγραφέα Γκάβιν Φίλιπς(Δημοσιεύθηκαν 945 άρθρα)

Ο Gavin είναι ο Junior Editor για Windows and Technology Explained, τακτικός συνεργάτης του Really Useful Podcast και τακτικός αναθεωρητής προϊόντων. Έχει BA (Hons) Σύγχρονη Γραφή με Πρακτικές Artηφιακής Τέχνης που λεηλατήθηκαν από τους λόφους του Ντέβον, καθώς και πάνω από μια δεκαετία επαγγελματικής εμπειρίας συγγραφής. Απολαμβάνει άφθονο τσάι, επιτραπέζια παιχνίδια και ποδόσφαιρο.

πώς να αλλάξετε το όνομα του κοινωνικού συλλόγου
Περισσότερα από τον Gavin Phillips

Εγγραφείτε στο newsletter μας

Εγγραφείτε στο ενημερωτικό μας δελτίο για τεχνικές συμβουλές, κριτικές, δωρεάν ebooks και αποκλειστικές προσφορές!

Κάντε κλικ εδώ για εγγραφή