Jak teraz zidentyfikować i naprawić złośliwe oprogramowanie VPNFilter (04.28.24)

Nie wszystkie złośliwe oprogramowanie są sobie równe. Jednym z dowodów na to jest istnienie złośliwego oprogramowania VPN Filter, nowego rodzaju złośliwego oprogramowania routera, które ma niszczycielskie właściwości. Jedną z charakterystycznych cech jest to, że może przetrwać ponowne uruchomienie, w przeciwieństwie do większości innych zagrożeń Internetu rzeczy (IoT).

Niech ten artykuł poprowadzi Cię przez identyfikację złośliwego oprogramowania VPNFilter, a także jego listę celów. Nauczymy Cię również, jak przede wszystkim zapobiegać sianiu spustoszenia w Twoim systemie.

Co to jest złośliwe oprogramowanie VPNFilter?

Pomyśl o VPNFilter jako destrukcyjnym złośliwym oprogramowaniu, które zagraża routerom, urządzeniom IoT, a nawet podłączonym do sieci urządzenia pamięci masowej (NAS). Jest uważany za wyrafinowany modułowy wariant złośliwego oprogramowania, którego celem są głównie urządzenia sieciowe różnych producentów.

Początkowo złośliwe oprogramowanie zostało wykryte na urządzeniach sieciowych Linksys, NETGEAR, MikroTik i TP-Link. Odkryto go również w urządzeniach QNAP NAS. Do tej pory istnieje około 500 000 infekcji w 54 krajach, co pokazuje jego ogromny zasięg i obecność.

Cisco Talos, zespół, który ujawnił VPNFilter, udostępnia obszerny wpis na blogu na temat złośliwego oprogramowania i szczegółów technicznych związanych z nim. Wygląda na to, że sprzęt sieciowy firm ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti i ZTE ma oznaki infekcji.

W przeciwieństwie do większości innych złośliwych programów ukierunkowanych na IoT, VPNFilter jest trudny do wyeliminowania, ponieważ utrzymuje się nawet po ponownym uruchomieniu systemu. Podatne na ataki są urządzenia, które używają swoich domyślnych danych logowania lub te ze znanymi lukami dnia zerowego, które nie miały jeszcze aktualizacji oprogramowania układowego.

Urządzenia, o których wiadomo, że mają wpływ na złośliwe oprogramowanie VPNFilter

Wiadomo, że celem tego złośliwego oprogramowania są routery zarówno dla przedsiębiorstw, jak i małych biur lub biur domowych. Zwróć uwagę na następujące marki i modele routerów:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Rowek
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Urządzenia Upvel – nieznane modele
  • Urządzenia ZTE ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Inne QNAP Urządzenia NAS z oprogramowaniem QTS

Wspólnym mianownikiem większości docelowych urządzeń jest korzystanie z domyślnych danych logowania. Znane są również exploity, zwłaszcza w przypadku starszych wersji.

Co robi złośliwe oprogramowanie VPNFilter na zainfekowanych urządzeniach?

VPNFilter działa w celu powodowania wyniszczających uszkodzeń na dotkniętych urządzeniach, a także służy jako metoda gromadzenia danych. Działa w trzech etapach:

Etap 1

Oznacza instalację i utrzymywanie stałej obecności na urządzeniu docelowym. Złośliwe oprogramowanie skontaktuje się z serwerem dowodzenia (C&C) w celu pobrania dodatkowych modułów i oczekiwania na instrukcje. W tej fazie istnieje wiele wbudowanych nadmiarowości w celu zlokalizowania C&C Etapu 2 na wypadek, gdyby nastąpiła zmiana infrastruktury podczas wdrażania zagrożenia. Etap 1 VPNFilter może wytrzymać ponowne uruchomienie.

Etap 2

To zawiera główny ładunek. Chociaż nie jest w stanie utrzymać się po ponownym uruchomieniu, ma więcej możliwości. Jest w stanie zbierać pliki, wykonywać polecenia oraz przeprowadzać eksfiltrację danych i zarządzanie urządzeniami. Kontynuując swoje destrukcyjne skutki, złośliwe oprogramowanie może „zamurować” urządzenie po otrzymaniu polecenia od atakujących. Odbywa się to poprzez nadpisanie części oprogramowania sprzętowego urządzenia i ponowne uruchomienie. Czyny przestępcze sprawiają, że urządzenie nie nadaje się do użytku.

Etap 3

Kilka znanych modułów tego istnieje i działa jako wtyczki do etapu 2. Obejmują one sniffer pakietów do szpiegowania ruchu kierowanego przez urządzenie, umożliwiając kradzież danych uwierzytelniających witryny i śledzenie protokołów Modbus SCADA. Kolejny moduł umożliwia bezpieczną komunikację Stage 2 za pośrednictwem Tora. Na podstawie dochodzenia przeprowadzonego przez Cisco Talos jeden moduł dostarcza złośliwą zawartość do ruchu przechodzącego przez urządzenie. W ten sposób atakujący mogą dalej wpływać na podłączone urządzenia.

6 czerwca ujawniono jeszcze dwa moduły Stage 3. Pierwszy z nich nazywa się „ssler” i może przechwytywać cały ruch przechodzący przez urządzenie za pomocą portu 80. Umożliwia atakującym przeglądanie ruchu sieciowego i przechwytywanie go w celu wykonywania ataków typu man in the middle. Może na przykład zmienić żądania HTTPS na HTTP, wysyłając rzekomo zaszyfrowane dane w niepewny sposób. Drugi jest nazwany „dstr”, który zawiera polecenie kill do dowolnego modułu Stage 2, który nie ma tej funkcji. Po uruchomieniu usunie wszystkie ślady złośliwego oprogramowania, zanim zablokuje urządzenie.

Oto siedem kolejnych modułów Stage 3 ujawnionych 26 września:
  • htpx – działa podobnie jak ssler, przekierowuje i sprawdza cały ruch HTTP przechodzący przez zainfekowane urządzenie w celu zidentyfikowania i zalogowania wszelkich plików wykonywalnych systemu Windows. Może trojanować pliki wykonywalne podczas przechodzenia przez zainfekowane routery, co pozwala atakującym instalować złośliwe oprogramowanie na różnych maszynach podłączonych do tej samej sieci.
  • ndbr – Jest to wielofunkcyjne narzędzie SSH.
  • nm – Ten moduł jest bronią do mapowania sieci do skanowania lokalnej podsieci .
  • netfilter – To narzędzie do odmowy usługi może blokować dostęp do niektórych zaszyfrowanych aplikacji.
  • portforwarding – przekazuje ruch sieciowy do infrastruktury określonej przez atakujących.
  • socks5proxy – umożliwia ustanowienie serwera proxy SOCKS5 na podatnych urządzeniach.
Ujawniono początki VPNFilter

To złośliwe oprogramowanie jest prawdopodobnie dziełem sponsorowanej przez państwo jednostki hakerskiej. Początkowe infekcje były odczuwalne przede wszystkim na Ukrainie, łatwo przypisując czyn grupie hakerskiej Fancy Bear i grupom wspieranym przez Rosję.

To jednak ilustruje wyrafinowany charakter VPNFilter. Nie można go kojarzyć z wyraźnym pochodzeniem i konkretną grupą hakerską, a ktoś jeszcze nie wystąpił, aby wziąć za to odpowiedzialność. Spekuluje się o sponsorze z państwa narodowego, ponieważ SCADA wraz z innymi protokołami systemów przemysłowych ma kompleksowe zasady dotyczące złośliwego oprogramowania i kierowania.

Jeśli jednak zapytasz FBI, VPNFilter jest pomysłem Fancy Bear. W maju 2018 r. agencja przejęła domenę ToKnowAll.com, uważaną za kluczową w instalacji i dowodzeniu Stage 2 i 3 VPNFilter. Zajęcie pomogło powstrzymać rozprzestrzenianie się złośliwego oprogramowania, ale nie poradziło sobie z głównym obrazem.

W swoim ogłoszeniu z 25 maja FBI wydaje pilną prośbę do użytkowników o ponowne uruchomienie routerów Wi-Fi w domu, aby powstrzymać duży atak zagranicznego złośliwego oprogramowania. W tym czasie agencja wskazała zagranicznych cyberprzestępców, którzy narażali małe biurowe i domowe routery Wi-Fi – wraz z innymi urządzeniami sieciowymi – o sto tysięcy.

Jestem zwykłym użytkownikiem – co oznacza atak VPNFilter Ja?

Dobra wiadomość jest taka, że ​​Twój router prawdopodobnie nie będzie zawierał złośliwego oprogramowania, jeśli sprawdziłeś listę routerów VPNFilter, którą podaliśmy powyżej. Ale zawsze najlepiej jest zachować ostrożność. Symantec, na przykład, uruchamia VPNFilter Check, dzięki czemu możesz przetestować, czy dotyczy Cię to, czy nie. Sprawdzenie zajmuje tylko kilka sekund.

Oto, o co chodzi. A jeśli rzeczywiście jesteś zarażony? Zapoznaj się z tymi krokami:
  • Zresetuj router. Następnie ponownie uruchom VPNFilter Check.
  • Zresetuj router do ustawień fabrycznych.
  • Rozważ wyłączenie wszelkich ustawień zdalnego zarządzania na swoim urządzeniu.
  • Pobierz najnowsze oprogramowanie sprzętowe routera. Dokończ czystą instalację oprogramowania układowego, najlepiej bez nawiązywania przez router połączenia online w trakcie procesu.
  • Przeprowadź pełne skanowanie systemu na komputerze lub urządzeniu, które zostało podłączone do zainfekowanego routera. Nie zapomnij użyć niezawodnego narzędzia do optymalizacji komputera do pracy w połączeniu z zaufanym skanerem złośliwego oprogramowania.
  • Zabezpiecz swoje połączenia. Zapewnij sobie ochronę dzięki wysokiej jakości płatnej sieci VPN, która zapewnia najwyższą prywatność i bezpieczeństwo w Internecie.
  • Nabierz nawyku zmiany domyślnych danych logowania routera, a także innych urządzeń IoT lub NAS .
  • Zainstaluj i odpowiednio skonfigurowaną zaporę sieciową, aby uniemożliwić szkodliwe działanie sieci.
  • Zabezpiecz swoje urządzenia silnymi, unikalnymi hasłami.
  • Włącz szyfrowanie .

Jeśli Twój router jest potencjalnie zagrożony, dobrym pomysłem może być sprawdzenie w witrynie producenta, aby uzyskać nowe informacje i kroki, które należy podjąć, aby chronić swoje urządzenia. Jest to natychmiastowy krok, ponieważ wszystkie informacje przechodzą przez router. Gdy router zostanie naruszony, zagrożona jest prywatność i bezpieczeństwo Twoich urządzeń.

Podsumowanie

Złośliwe oprogramowanie VPNFilter może równie dobrze być jednym z najsilniejszych i najbardziej niezniszczalnych zagrożeń, które w ostatnim czasie uderzają w routery korporacyjne i małe biura lub historia. Początkowo został wykryty na urządzeniach sieciowych Linksys, NETGEAR, MikroTik i TP-Link oraz urządzeniach QNAP NAS. Listę routerów, których dotyczy problem, można znaleźć powyżej.

Nie można zignorować filtra VPN po zainicjowaniu około 500 000 infekcji w 54 krajach. Działa w trzech etapach i uniemożliwia działanie routerów, zbiera informacje przechodzące przez routery, a nawet blokuje ruch sieciowy. Wykrywanie i analizowanie aktywności sieciowej pozostaje trudnym przedsięwzięciem.

W tym artykule przedstawiliśmy sposoby obrony przed złośliwym oprogramowaniem oraz kroki, które możesz podjąć w przypadku naruszenia bezpieczeństwa routera. Konsekwencje są straszne, więc nigdy nie powinieneś siedzieć przy ważnym zadaniu sprawdzania swoich urządzeń.

Wideo YouTube.: Jak teraz zidentyfikować i naprawić złośliwe oprogramowanie VPNFilter

04, 2024