Sådan opdages VPNFilter Malware, før det ødelægger din router

Sådan opdages VPNFilter Malware, før det ødelægger din router

Router, netværksenhed og Internet of Things -malware er stadig mere almindelig. De fleste fokuserer på at inficere sårbare enheder og tilføje dem til kraftfulde botnet. Routere og Internet of Things (IoT) -enheder er altid tændt, altid online og venter på instruktioner. Perfekt botnetfoder, altså.





Men ikke alle malware er ens.



VPNFilter er en ødelæggende malware-trussel mod routere, IoT-enheder og endda nogle netværkstilsluttede lagringsenheder (NAS). Hvordan tjekker du for en VPNFilter malware -infektion? Og hvordan kan du rense det? Lad os se nærmere på VPNFilter.





Hvad er VPNFilter?

VPNFilter er en sofistikeret modulær malware -variant, der primært er målrettet mod netværksenheder fra en lang række producenter såvel som NAS -enheder. VPNFilter blev oprindeligt fundet på Linksys, MikroTik, NETGEAR og TP-Link netværksenheder samt QNAP NAS-enheder med omkring 500.000 infektioner i 54 lande.

Det team, der afslørede VPNFilter , Cisco Talos, nyligt opdaterede detaljer angående malware, hvilket indikerer, at netværksudstyr fra producenter som ASUS, D-Link, Huawei, Ubiquiti, UPVEL og ZTE nu viser VPNFilter-infektioner. I skrivende stund påvirkes imidlertid ingen Cisco -netværksenheder.



Malwaren er i modsætning til de fleste andre IoT-fokuserede malware, fordi den vedvarer efter et system genstart, hvilket gør det svært at udrydde. Enheder, der bruger deres standard loginoplysninger eller med kendte nul-dages sårbarheder, der ikke har modtaget firmwareopdateringer, er særligt sårbare.

gratis film ingen download ingen tilmelding

Hvad gør VPNFilter?

Så VPNFilter er en 'multi-stage, modulær platform', der kan forårsage ødelæggende skader på enheder. Desuden kan det også fungere som en trussel mod dataindsamling. VPNFilter fungerer i flere faser.



Scene 1: VPNFilter Stage 1 etablerer et beachhead på enheden og kontakter dens kommando- og kontrolserver (C&C) for at downloade yderligere moduler og afvente instruktioner. Fase 1 har også flere indbyggede afskedigelser for at lokalisere Fase 2 C & C'er i tilfælde af infrastrukturændringer under implementeringen. Stage 1 VPNFilter -malware er også i stand til at overleve en genstart, hvilket gør det til en robust trussel.

Trin 2: VPNFilter Stage 2 vedvarer ikke ved en genstart, men det kommer med en bredere vifte af muligheder. Trin 2 kan indsamle private data, udføre kommandoer og forstyrre enhedsstyring. Der er også forskellige versioner af fase 2 i naturen. Nogle versioner er udstyret med et destruktivt modul, der overskriver en partition af enhedens firmware og derefter genstarter for at gøre enheden ubrugelig (malware tegner routeren, IoT eller NAS -enheden grundlæggende).



Trin 3: VPNFilter Stage 3 -moduler fungerer som plugins til fase 2 og udvider funktionaliteten i VPNFilter. Et modul fungerer som en pakkesniffer, der samler indkommende trafik på enheden og stjæler legitimationsoplysninger. En anden tillader trin 2 -malware at kommunikere sikkert ved hjælp af Tor. Cisco Talos fandt også et modul, der injicerer ondsindet indhold i trafik, der passerer gennem enheden, hvilket betyder, at hackeren kan levere yderligere bedrifter til andre tilsluttede enheder via en router, IoT eller NAS -enhed.

Derudover tillader VPNFilter -moduler 'tyveri af webstedsoplysninger og overvågning af Modbus SCADA -protokoller.'

Fotodeling Meta

En anden interessant (men ikke nyligt opdaget) funktion ved VPNFilter -malware er brugen af ​​online fotodelingstjenester til at finde IP -adressen på dens C & C -server. Talos -analysen fandt ud af, at malware peger på en række Photobucket -webadresser. Malware downloader det første billede i galleriet URL -referencerne og udtrækker en server -IP -adresse skjult i billedmetadataene.

IP -adressen 'udtrækkes fra seks heltalsværdier for GPS -breddegrad og længdegrad i EXIF ​​-oplysningerne.' Hvis det ikke lykkes, falder Stage 1-malware tilbage til et almindeligt domæne (toknowall.com --- mere om dette nedenfor) for at downloade billedet og prøve den samme proces.

Målrettet pakkesniffning

Den opdaterede Talos -rapport afslørede nogle interessante indsigter i VPNFilter -pakkesniffemodulet. I stedet for bare at hovere alt op, har det et ret strengt regelsæt, der er målrettet mod bestemte typer trafik. Specielt trafik fra industrielle kontrolsystemer (SCADA), der forbinder ved hjælp af TP-Link R600 VPN'er, forbindelser til en liste med foruddefinerede IP-adresser (hvilket indikerer en avanceret viden om andre netværk og ønskelig trafik) samt datapakker på 150 bytes eller større.

Craig William, senior teknologileder og global opsøgende leder hos Talos, fortalte Ars , 'De leder efter meget specifikke ting. De prøver ikke at samle så meget trafik som de kan. De leder efter meget små ting som legitimationsoplysninger og adgangskoder. Vi har ikke meget forstand på det, udover det virker utroligt målrettet og utroligt sofistikeret. Vi forsøger stadig at finde ud af, hvem de brugte det til. '

Hvor kom VPNFilter fra?

VPNFilter menes at være værket i en statsstøttet hackergruppe. At den indledende VPNFilter-infektionsbølge overvejende blev mærket i hele Ukraine, pegede første fingre på russisk-støttede fingeraftryk og hackergruppen, Fancy Bear.

Det er imidlertid sofistikeringen af ​​malware, der er ingen klar tilblivelse, og ingen hackergruppe, nationalstat eller på anden måde har trådt frem for at gøre krav på malware. I betragtning af de detaljerede malware-regler og målretning af SCADA og andre industrielle systemprotokoller forekommer en nationalstatsaktør sandsynligvis.

Uanset hvad jeg synes, mener FBI, at VPNFilter er en Fancy Bear -skabelse. I maj 2018 blev FBI beslaglagt et domæne --- ToKnowAll.com --- der menes at have været brugt til at installere og kommandere fase 2 og fase 3 VPNFilter malware. Domæneanfaldet hjalp bestemt med at stoppe den umiddelbare spredning af VPNFilter, men afbrød ikke hovedpulsåren; den ukrainske SBU nedlagde et VPNFilter-angreb på et kemisk forarbejdningsanlæg i juli 2018 for én.

Spil Windows 98 -spil på Windows 10

VPNFilter har også ligheder med BlackEnergy-malware, en APT-trojan, der bruges mod en lang række ukrainske mål. Selvom dette langt fra er fuldstændigt bevis, stammer den systemiske målretning mod Ukraine overvejende fra hackinggrupper med russiske bånd.

Er jeg inficeret med VPNFilter?

Chancerne er store, at din router ikke rummer VPNFilter -malware. Men det er altid bedre at være sikker end undskyld:

  1. Tjek denne liste til din router. Hvis du ikke er på listen, er alt i orden.
  2. Du kan gå til Symantec VPNFilter Check -webstedet. Marker feltet vilkår og betingelser, og tryk derefter på Kør VPNFilter Check knappen i midten. Testen afsluttes inden for få sekunder.

Jeg er inficeret med VPNFilter: Hvad gør jeg?

Hvis Symantec VPNFilter Check bekræfter, at din router er inficeret, har du en klar fremgangsmåde.

  1. Nulstil din router, og kør derefter VPNFilter Check igen.
  2. Nulstil din router til fabriksindstillingerne.
  3. Download den nyeste firmware til din router, og afslut en ren firmwareinstallation, helst uden at routeren opretter en online forbindelse under processen.

Desuden skal du fuldføre hele systemscanninger på hver enhed, der er forbundet til den inficerede router.

Du bør altid ændre standard loginoplysninger for din router samt alle IoT- eller NAS -enheder (IoT -enheder gør ikke denne opgave let) hvis det overhovedet er muligt. Selvom der er tegn på, at VPNFilter kan undgå nogle firewalls, have en installeret og korrekt konfigureret vil hjælpe med at holde en masse andre grimme ting ude af dit netværk.

Pas på router -malware!

Router -malware er stadig mere almindelig. IoT -malware og sårbarheder er overalt, og med antallet af enheder, der kommer online, bliver det kun værre. Din router er omdrejningspunktet for data i dit hjem. Alligevel modtager den ikke nær så meget sikkerhedsopmærksomhed som andre enheder.

Kort sagt, din router er ikke sikker, som du tror.

Del Del Tweet E -mail En begyndervejledning til animering af tale

Animering af tale kan være en udfordring. Hvis du er klar til at begynde at tilføje dialog til dit projekt, nedbryder vi processen for dig.

Læs Næste Relaterede emner
  • Sikkerhed
  • Router
  • Online sikkerhed
  • Internet of Things
  • Malware
Om forfatteren Gavin Phillips(945 artikler udgivet)

Gavin er Junior Editor for Windows og Technology Explained, en regelmæssig bidragsyder til den virkelig nyttige podcast og en regelmæssig produktanmelder. Han har en BA (Hons) Contemporary Writing med digitale kunstpraksis pillet fra Devons bakker samt over et årti med professionel skriveerfaring. Han nyder rigelige mængder te, brætspil og fodbold.

gratis filmoverførsel for at se offline
Mere fra Gavin Phillips

Abonner på vores nyhedsbrev

Tilmeld dig vores nyhedsbrev for at få tekniske tips, anmeldelser, gratis e -bøger og eksklusive tilbud!

Klik her for at abonnere