Hur man identifierar och fixar VPNFilter Malware nu (04.25.24)

Inte all skadlig kod skapas lika. Ett bevis på detta är förekomsten av VPNFilter-skadlig kod , en ny typ av router-malware som har destruktiva egenskaper. En tydlig egenskap den har är att den kan överleva omstart, till skillnad från de flesta andra IoT-hot (Internet of Things).

Låt den här artikeln vägleda dig genom att identifiera VPNFilter-skadlig programvara samt dess lista över mål. Vi kommer också att lära dig hur du förhindrar att det förstör ditt system i första hand.

Vad är VPNFilter skadlig programvara?

Tänk på VPNFilter som destruktiv skadlig kod som hotar routrar, IoT-enheter och till och med nätverksanslutna lagringsenheter (NAS). Det anses vara en sofistikerad modulär malware-variant som huvudsakligen riktar sig till nätverksenheter från olika tillverkare.

Inledningsvis upptäcktes skadlig programvara på nätverksenheterna Linksys, NETGEAR, MikroTik och TP-Link. Det upptäcktes också i QNAP NAS-enheter. Hittills finns det cirka 500 000 infektioner i 54 länder som visar dess enorma räckvidd och närvaro.

Cisco Talos, teamet som exponerade VPNFilter, tillhandahåller ett omfattande blogginlägg om skadlig programvara och tekniska detaljer kring det. Från utseendet på det har nätverksutrustning från ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti och ZTE tecken på infektion.

Till skillnad från de flesta andra IoT-riktade skadliga program är VPNFilter svårt att eliminera eftersom det kvarstår även efter att systemet har startats om. Att visa sårbarhet för sina attacker är enheter som använder standardinloggningsuppgifterna eller de med kända nolldagssårbarheter som inte har haft firmwareuppdateringar än.

Enheter som är kända för att påverkas av VPNFilter Malware

Både företag och routrar för små kontor eller hemmakontor är kända för att vara ett mål för denna skadliga programvara. Notera följande routermärken och modeller:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Upvel Devices -kända modeller
  • ZTE Devices ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Övrigt QNAP NAS-enheter som kör QTS-programvara

En gemensam nämnare bland de flesta riktade enheter är deras användning av standardreferenser. De har också känt utnyttjande, särskilt för äldre versioner.

Vad gör VPNFilter skadlig programvara mot infekterade enheter?

VPNFilter fungerar för att orsaka försvagande skador på berörda enheter och fungerar som en datainsamlingsmetod. Det fungerar i tre steg:

Steg 1

Detta markerar installationen och upprätthåller en ihållande närvaro på en målenhet. Skadlig programvara kommer att kontakta en kommando- och kontrollserver (C & amp; C) för att ladda ner ytterligare moduler och vänta på instruktioner. I den här fasen finns det flera inbyggda uppsägningar för att lokalisera steg 2 C & amp; Cs om en infrastrukturförändring inträffar medan hotet distribueras. Steg 1 VPNFilter tål en omstart.

Steg 2

Den här har den största nyttolasten. Även om den inte kan bestå genom en omstart har den fler funktioner. Det kan samla in filer, utföra kommandon och utföra dataexfiltrering och enhetshantering. Fortsatt på dess destruktiva effekter kan skadlig programvara "brick" enheten när den får ett kommando från angriparna. Detta utförs genom att en del av enhetens firmware skrivs över och därefter startas om. De kriminella handlingarna gör enheten oanvändbar.

Steg 3

Flera kända moduler av detta finns och fungerar som plugins för steg 2. Dessa består av ett paket sniffer för att spionera på trafik som dirigeras genom enheten, vilket möjliggör stöld av webbplatsuppgifter och spårning av Modbus SCADA-protokoll. En annan modul låter steg 2 kommunicera säkert via Tor. Baserat på Cisco Talos-undersökningen tillhandahåller en modul skadligt innehåll till trafik som passerar genom enheten. På detta sätt kan angripare ytterligare påverka anslutna enheter.

Den 6 juni exponerades ytterligare två steg 3-moduler. Den första kallas "ssler" och den kan fånga upp all trafik som passerar genom enheten med port 80. Det gör det möjligt för angripare att se webbtrafiken och fånga upp den för att utföra människan i mitten attacker. Det kan till exempel ändra HTTPS-förfrågningar till HTTP-sådana, skicka förmodligen krypterad data på ett osäkert sätt. Den andra kallas "dstr", som innehåller ett dödkommando till alla steg 2-moduler som saknar den här funktionen. När den har körts kommer den att eliminera alla spår av skadlig kod innan den klossar enheten.

Här är ytterligare sju steg 3-moduler avslöjade den 26 september:
  • htpx - Det fungerar precis som ssler, omdirigera och inspektera all HTTP-trafik som går genom den infekterade enheten för att identifiera och logga alla Windows-körbara filer. Det kan Trojan-ize körbara filer genom att gå igenom infekterade routrar, som låter angripare installera skadlig kod på olika maskiner anslutna till samma nätverk.
  • ndbr - Detta anses vara ett multifunktionellt SSH-verktyg.
  • nm - Den här modulen är ett nätverksmappningsvapen för att skanna det lokala undernätet .
  • netfilter - Detta förnekande av tjänstverktyg kan blockera åtkomst till vissa krypterade appar.
  • portforwarding - Det vidarebefordrar nätverkstrafik till infrastruktur bestämd av angripare.
  • socks5proxy - Det gör det möjligt att skapa en SOCKS5-proxy på sårbara enheter.
Ursprunget till VPNFilter avslöjat

Detta skadlig kod är sannolikt arbetet för en statligt sponsrad hackingsenhet. Initiala infektioner kändes främst i Ukraina, vilket lätt hänfördes till hackinggruppen Fancy Bear och ryssstödda grupper.

Detta illustrerar dock VPNFilters sofistikerade natur. Det kan inte förknippas med ett tydligt ursprung och en specifik hackningsgrupp, och någon ska ännu gå framåt för att ansvara för det. En nationssponsor spekuleras eftersom SCADA tillsammans med andra industriella systemprotokoll har omfattande regler för skadlig programvara och inriktning.

Om du skulle fråga FBI är VPNFilter dock hjärnbarnet till Fancy Bear. Tillbaka i maj 2018 beslagtog byrån ToKnowAll.com-domänen, som anses vara avgörande för att installera och styra steg 2 och 3 VPNFilter. Beslaget hjälpte till att stoppa spridningen av skadlig programvara, men det misslyckades med att hantera huvudbilden.

I sitt tillkännagivande den 25 maj utfärdar FBI en brådskande begäran för användare att starta om sina Wi-Fi-routrar hemma för att stoppa en stor utländsk-baserad skadlig attack. Vid den tiden påpekade byrån utländska cyberbrottslingar för att de komprometterade Wi-Fi-routrar för små kontor och hemma - tillsammans med andra nätverksenheter - med hundratusen.

Jag är bara en vanlig användare - Vad menar VPNFilter Attack till Jag?

Den goda nyheten är att din router sannolikt inte kommer att ha det skadliga skadliga programmet om du kollade VPNFilter-routerlistan som vi tillhandahöll ovan. Men det är alltid bäst på sidan av försiktighet. Symantec, för en, kör VPNFilter Check så att du kan testa om du påverkas eller inte. Det tar bara några sekunder att köra kontrollen.

Nu är det här. Vad händer om du faktiskt är smittad? Utforska dessa steg:
  • Återställ din router. Kör sedan VPNFilter Check igen.
  • Återställ routern till fabriksinställningarna.
  • Överväg att inaktivera inställningar för fjärrhantering på din enhet.
  • Ladda ner den mest uppdaterade firmware för din router. Slutför en ren firmwareinstallation, helst utan att routern gör en onlineanslutning medan processen pågår.
  • Slutför en fullständig systemsökning på din dator eller enhet som har anslutits till den infekterade routern. Glöm inte att använda ett pålitligt PC-optimeringsverktyg för att arbeta tillsammans med din pålitliga scanner för skadlig kod.
  • Säkra dina anslutningar. Skydda dig med ett högkvalitativt betalt VPN med ett rekord av förstklassig integritet och säkerhet online.
  • Var vana att ändra standardinloggningsuppgifterna för din router, liksom andra IoT- eller NAS-enheter. .
  • Har en brandvägg installerad och korrekt konfigurerad för att hålla de dåliga grejerna borta från ditt nätverk.
  • Säkra dina enheter med stronga, unika lösenord.
  • Aktivera kryptering .

Om din router är potentiellt påverkad kan det vara en bra idé att kontakta tillverkarens webbplats för ny information och åtgärder för att skydda dina enheter. Detta är ett omedelbart steg att ta, eftersom all din information går via din router. När en router äventyras står dina enheters integritet och säkerhet på spel.

Sammanfattning

Den skadliga programvaran VPNFilter kan lika gärna vara ett av de strongaste och mest oförstörbara hot som drabbar företag och små kontors- eller hemroutrar på senare tid historia. Det upptäcktes ursprungligen på Linksys, NETGEAR, MikroTik och TP-Link nätverksenheter och QNAP NAS-enheter. Du hittar listan över berörda routrar ovan.

VPNFilter kan inte ignoreras efter att ha startat cirka 500 000 infektioner i 54 länder. Det fungerar i tre steg och gör routrar obrukbara, samlar information som passerar genom routrarna och till och med blockerar nätverkstrafik. Att upptäcka och analysera dess nätverksaktivitet är fortfarande ett svårt åtagande.

I den här artikeln beskrev vi sätt att hjälpa dig att skydda dig mot skadlig programvara och de steg du kan vidta om din router har äventyrats. Konsekvenserna är allvarliga, så du bör aldrig sitta på den viktiga uppgiften att kontrollera dina enheter.

YouTube-video: Hur man identifierar och fixar VPNFilter Malware nu

04, 2024