Securitate

Cum de a detecta malware VPNFilter înainte de a distruge ruterul

Cum de a detecta malware VPNFilter înainte de a distruge ruterul / Securitate

Routerul, dispozitivul de rețea și malware-ul Internet al obiectelor sunt tot mai frecvente. Majoritatea se concentrează pe infectarea dispozitivelor vulnerabile și pe adăugarea lor la botneturi puternice. Dispozitivele de rutare și internetul obiectelor (IoT) sunt întotdeauna alimentate, mereu online și așteaptă instrucțiuni. Perfect furaj botnet, atunci.

Dar nu toate malware-urile sunt aceleași.

VPNFilter este o amenințare distructivă împotriva programelor malware pentru dispozitivele de rutare, dispozitivele IoT și chiar unele dispozitive de stocare în rețea (NAS). Cum verificați pentru o infecție malware VPNFilter? Și cum o poți curăța? Să aruncăm o privire mai atentă la VPNFilter.

Ce este VPNFilter?

VPNFilter este o variantă sofisticată de modulară modulară care vizează în primul rând dispozitive de rețea de la o gamă largă de producători, precum și de dispozitive NAS. VPNFilter a fost inițial găsit pe dispozitivele Linksys, MikroTik, NETGEAR și TP-Link, precum și pe dispozitivele QNAP NAS, cu aproximativ 500 000 de infecții în 54 de țări.

Echipa care a dezvăluit VPNFilter, Cisco Talos, a actualizat recent detaliile privind malware-ul, indicând faptul că echipamentele de rețea de la producători precum ASUS, D-Link, Huawei, Ubiquiti, UPVEL și ZTE prezintă acum infecții VPNFilter. Cu toate acestea, la momentul redactării, nu sunt afectate dispozitive de rețea Cisco.

Malware-ul este diferit de cea mai mare parte a celorlalte tipuri de malware concentrat pe IoT, deoarece persistă după rebootarea sistemului, ceea ce face dificilă eradicarea. Dispozitivele care utilizează acreditările lor de conectare implicite sau cu vulnerabilități cunoscute, care nu au primit actualizări de firmware, sunt deosebit de vulnerabile.

Ce face VPNFilter?

Deci, VPNFilter este a “platformă multiplă, modulară” care poate provoca daune distructive dispozitivelor. În plus, poate servi și ca amenințare la colectarea datelor. VPNFilter funcționează în mai multe etape.

Etapa 1: VPNFilter Stage 1 stabilește un cap de plafon pe dispozitiv, contactând serverul său de comandă și control (C & C) pentru a descărca module suplimentare și a aștepta instrucțiuni. Etapa 1 are, de asemenea, mai multe concedieri inbușate pentru a localiza etapele 2 C & C în cazul modificării infrastructurii în timpul desfășurării. Stadiul 1 VPNFilter este, de asemenea, capabil să supraviețuiască unui repornire, făcându-l o amenințare puternică.

Etapa 2: VPNFilter Stage 2 nu persistă prin reboot, dar are o gamă mai largă de capabilități. Etapa 2 poate colecta date private, executa comenzi și interfera cu gestionarea dispozitivelor. De asemenea, există diferite versiuni ale Etapei 2 în sălbăticie. Unele versiuni sunt echipate cu un modul distrugător care suprascrie o partiție a firmware-ului dispozitivului, apoi repornește pentru a face dispozitivul inutilizabil (cărămizile malware, de obicei, ruterul, IoT sau dispozitivul NAS).

Etapa 3: Modulele VPNFilter Stage 3 funcționează ca plugin-uri pentru Etapa 2, extindând funcționalitatea VPNFilter. Un modul funcționează ca un sniffer de pachete care colectează traficul pe dispozitiv și fură acreditările. Altul permite malware-ului Stage 2 să comunice în siguranță folosind Tor. Cisco Talos a găsit, de asemenea, un modul care injectează conținut rău intenționat în trafic care trece prin dispozitiv, ceea ce înseamnă că hackerul poate oferi alte exploatații altor dispozitive conectate printr-un dispozitiv router, IoT sau NAS.

În plus, modulele VPNFilter “permiteți furtul acreditărilor site-urilor web și monitorizarea protocoalelor Modbus SCADA.”

Foto sharing Meta

O altă caracteristică interesantă (dar nu nouă descoperită) a malware-ului VPNFilter este folosirea serviciilor de partajare foto online pentru a găsi adresa IP a serverului C & C. Analiza Talos a constatat că malware-ul indică o serie de adrese URL ale Photobucket. Malware-ul descarcă prima imagine din galerie, referințele URL și extrage o adresă IP a serverului ascunsă în metadatele imaginii.

Adresa IP “este extras din șase valori întregi pentru latitudinea și longitudinea GPS în informațiile EXIF.” Dacă aceasta nu reușește, malware-ul Stage 1 revine la un domeniu obișnuit (toknowall.com - mai multe despre acest lucru mai jos) pentru a descărca imaginea și pentru a încerca același proces.

Îndepărtarea pachetelor direcționate

Raportul actualizat Talos a dezvăluit câteva informații interesante despre modulul de sniffing pachet VPNFilter. Mai degrabă decât să trezească totul, are un set destul de strict de reguli care vizează anumite tipuri de trafic. În mod specific, traficul de la sistemele industriale de control (SCADA) care se conectează utilizând rețele VPN TP-Link R600, conexiuni la o listă de adrese IP predefinite (indicând o cunoaștere avansată a altor rețele și trafic dezirabil), precum și pachete de date de 150 octeți sau mai mare.

Craig William, lider în tehnologie și manager global la Talos, a declarat pentru Ars, “Căut lucruri foarte specifice. Nu încearcă să adune cât mai mult trafic posibil. Sunt după anumite lucruri foarte mici precum acreditările și parolele. Nu avem o mulțime de informații despre asta altfel decât pare incredibil de țintit și incredibil de sofisticat. Încă încercăm să ne dăm seama la cine folosesc asta.”

Unde a venit VPNFilter?

VPNFilter este considerat a fi o lucrare a unui grup de hacking sponsorizat de stat. Faptul că infecția inițială a virusului VPNFilter a fost resimțită preponderent pe tot teritoriul Ucrainei, degetele inițiale au indicat amprentele digitale susținute de ruși și grupul de hacking, Fancy Bear.

Cu toate acestea, aceasta este sofisticarea malware-ului, nu există geneză clară și nici un grup de hacking, stat-națiune sau altfel, a avansat pentru a pretinde malware-ul. Având în vedere regulile detaliate privind malware-ul și direcționarea SCADA și a altor protocoale de sistem industrial, un actor de stat-națiune pare cel mai probabil.

Indiferent de ceea ce cred, FBI consideră că VPNFilter este o creație Fancy Bear. În mai 2018, FBI a confiscat un domeniu - ToKnowAll.com - despre care se credea că a fost folosit pentru a instala și a comanda malware-ul Stage 2 și Stage 3 VPNFilter. Captarea domeniului a ajutat cu siguranță la stoparea răspândirii imediate a VPNFilter, dar nu a întrerupt artera principală; SBU ucrainean a luat un atac VPNFilter asupra unei fabrici de procesare chimică în iulie 2018, pentru unul.

VPNFilter are, de asemenea, asemănări cu malware-ul BlackEnergy, un troian APT folosit împotriva unei game largi de ținte ucrainene. Din nou, în timp ce acest lucru este departe de dovezi complete, direcționarea sistemică a Ucrainei se datorează predominant grupurilor de hacking cu legături rusești.

Sunt infectat cu VPNFilter?

Este posibil ca ruterul dvs. să nu conțină malware-ul VPNFilter. Dar este întotdeauna mai bine să fii în siguranță decât să îmi pare rău:

  1. Verificați această listă pentru routerul dvs. Dacă nu sunteți pe listă, totul este bine.
  2. Puteți să vă îndreptați către site-ul Symantec VPNFilter Check. Verificați caseta Termeni și condiții, apoi apăsați pe Executați verificarea VPNFilter butonul în mijloc. Testul se termină în câteva secunde.

Sunt infectat cu VPNFilter: Ce fac?

Dacă Symantec VPNFilter Check confirmă faptul că routerul este infectat, aveți o acțiune clară.

  1. Resetați ruterul, apoi executați din nou verificarea VPNFilter.
  2. Resetați ruterul la setările din fabrică.
  3. Descărcați cel mai recent firmware pentru router și completați o instalare de firmware curată, de preferință fără ca routerul să facă o conexiune online în timpul procesului.

În plus, trebuie să efectuați scanări complete ale sistemului pe fiecare dispozitiv conectat la routerul infectat.

Trebuie întotdeauna să schimbați datele de conectare implicite ale routerului dvs., precum și orice dispozitive IoT sau NAS (dispozitivele IoT nu fac această sarcină ușoară) De ce Internetul lucrurilor este cel mai mare coșmar de securitate De ce Internetul lucrurilor este cel mai mare coșmar de securitate Într-o zi, veți ajunge acasă de la serviciu pentru a descoperi că sistemul dvs. de securitate acasă, acționat în cloud, a fost încălcat, cum a putut să se întâmple acest lucru cu internetul de lucruri (IoT), puteți afla mai greu. . De asemenea, în timp ce există dovezi că VPNFilter poate eschiva unele firewall-uri, având unul instalat și configurat corect 7 Sfaturi simple pentru a vă asigura Router-ul și rețeaua Wi-Fi în câteva minute 7 Sfaturi simple pentru a vă asigura ruterul și rețeaua Wi-Fi în procesul-verbal Este cineva sniffing și interceptarea traficului Wi-Fi, furtul parolelor și numerelor cardurilor de credit? Vrei să știi chiar dacă cineva a fost? Probabil nu, asigurați-vă astfel rețeaua wireless cu acești 7 pași simpli. Citește mai mult vă va ajuta să țineți din rețeaua dvs. multe alte lucruri urâte.

Ferește-te de malware-ul Router-ului!

Routerul malware este tot mai frecvent. Malware-ul și vulnerabilitățile IoT sunt peste tot, iar numărul de dispozitive care vin online se va înrăutăți. Routerul dvs. este punctul focal pentru datele din casa dvs. Cu toate acestea, acesta nu primește aproape aceeași atenție de securitate ca și alte dispozitive.

Pur și simplu, ruterul dvs. nu este sigur pe măsură ce credeți că 10 moduri Router-ul dvs. nu este la fel de sigur cum credeți 10 moduri Router-ul nu este la fel de sigur pe cât credeți Aici sunt 10 moduri în care router-ul dvs. ar putea fi exploatat de hackeri și drivere- de către infractorii wireless. Citeste mai mult .

Explorați mai multe despre: Internetul obiectelor, malware, securitate online, router.