Slik Spot VPNFilter Malware før det ødelegger ruteren
Router, nettverksenhet og Internett for ting skadelig programvare blir stadig vanligere. Mest fokusert på å infisere sårbare enheter og legge dem til kraftige botnets. Routere og Internett av ting (IoT) -enheter er alltid oppkoblet, alltid online, og venter på instruksjoner. Perfekt botnetfôr, da.
Men ikke alle skadelig programvare er de samme.
VPNFilter er en destruktiv malware-trussel mot rutere, IoT-enheter, og til og med noen nettverkstilkoblede lagringsenheter (NAS). Hvordan ser du etter en VPNFilter malware infeksjon? Og hvordan kan du rydde den opp? La oss se nærmere på VPNFilter.
Hva er VPNFilter?
VPNFilter er en sofistikert modulær malwarevariant som primært retter seg mot nettverksenheter fra et bredt spekter av produsenter, samt NAS-enheter. VPNFilter ble opprinnelig funnet på Linksys, MikroTik, NETGEAR og TP-Link nettverksenheter, samt QNAP NAS-enheter, med rundt 500 000 infeksjoner i 54 land.
Teamet som avslørte VPNFilter, Cisco Talos, nylig oppdaterte detaljer angående skadelig programvare, noe som indikerer at nettverksutstyr fra produsenter som ASUS, D-Link, Huawei, Ubiquiti, UPVEL og ZTE nå viser VPNFilter-infeksjoner. På tidspunktet for skrivingen påvirkes imidlertid ikke Cisco nettverksenheter.
Malware er ulikt de fleste andre IoT-fokuserte malware fordi den vedvarer etter at systemet startes, noe som gjør det vanskelig å utrydde. Enheter som bruker standardinnloggingsinformasjonen eller med kjente nulldagssårbarheter som ikke har mottatt fastvareoppdateringer, er spesielt sårbare.
Hva gjør VPNFilter?
Så, VPNFilter er en “flerfaset, modulær plattform” som kan forårsake ødeleggende skader på enheter. Videre kan det også fungere som en datainnsamlingstrussel. VPNFilter fungerer i flere stadier.
Trinn 1: VPNFilter Stage 1 etablerer en beachhead på enheten, kontakter sin kommando- og kontrollserver (C & C) for å laste ned tilleggsmoduler og avventer instruksjoner. Fase 1 har også flere innebygde redundanser for å finne fase 2 C & C i tilfelle infrastruktur endring under distribusjon. Steg 1 VPNFilter malware er også i stand til å overleve en omstart, noe som gjør den til en robust trussel.
Trinn 2: VPNFilter Stage 2 varer ikke gjennom en omstart, men det kommer med et bredere spekter av funksjoner. Fase 2 kan samle private data, utføre kommandoer og forstyrre enhetsadministrasjon. Det er også forskjellige versjoner av trinn 2 i naturen. Noen versjoner er utstyrt med en ødeleggende modul som overskriver en partisjon av enhetens firmware, og starter deretter på nytt for å gjøre enheten ubrukelig (malware-teglene på ruteren, IoT eller NAS-enheten, i utgangspunktet).
Trinn 3: VPNFilter Stage 3 moduler fungerer som plugins for trinn 2, og utvider funksjonaliteten til VPNFilter. En modul fungerer som en pakkesniffer som samler innkommende trafikk på enheten og stjeler legitimasjon. En annen tillater at malware i trinn 2 kommuniserer sikkert med Tor. Cisco Talos fant også en modul som injiserer skadelig innhold i trafikk som passerer gjennom enheten, noe som betyr at hackeren kan levere videre utnyttelser til andre tilkoblede enheter via en router, IoT eller NAS-enhet.
I tillegg VPNFilter moduler “tillate tyveri av nettstedets legitimasjon og overvåkning av Modbus SCADA protokoller.”
Foto Deling Meta
En annen interessant (men ikke nylig oppdaget) funksjon av VPNFilter malware er bruken av online fotodelingstjenester for å finne IP-adressen til C & C-serveren. Talos-analysen fant at malware peker på en rekke Photobucket-nettadresser. Malware laster ned det første bildet i galleriet URL-referanser og trekker ut en server-IP-adresse som er skjult i bildemetadataene.
IP-adressen “er hentet fra seks heltallverdier for GPS-breddegrad og lengdegrad i EXIF-informasjonen.” Hvis det mislykkes, faller malware 1 til et vanlig domene (toknowall.com-mer på dette under) for å laste ned bildet og forsøke den samme prosessen.
Målrettet pakke sniffing
Den oppdaterte Talos-rapporten avslørte noen interessante innsikter i VPNFilter-pakkens sniffing-modulen. Snarere enn å bare bøye alt opp, har det et ganske strengt sett regler som retter seg mot bestemte typer trafikk. Spesielt trafikk fra industrielle kontrollsystemer (SCADA) som kobler sammen TP-Link R600 VPN, tilkoblinger til en liste over forhåndsdefinerte IP-adresser (som angir en avansert kunnskap om andre nettverk og ønsket trafikk), samt datapakker med 150 byte eller større.
Craig William, senior teknologisk leder og global oppsøkelsesleder hos Talos, fortalte Ars, “De leter etter veldig spesifikke ting. De prøver ikke å samle så mye trafikk som de kan. De er etter visse svært små ting som legitimasjon og passord. Vi har ikke mye intel på det andre enn det virker utrolig målrettet og utrolig sofistikert. Vi prøver fortsatt å finne ut hvem de brukte det på.”
Hvor kom VPNFilter fra?
VPNFilter antas å være arbeidet til en statsstøttet hackinggruppe. At den opprinnelige VPNFilter infeksjonsoverskriften var overveiende følt over hele Ukraina, pekte de innledende fingrene på russisk støttede fingeravtrykk og hackingsgruppen Fancy Bear.
Men slik er sofistikering av malware det er ingen klar opprinnelse, og ingen hacking gruppe, nasjonalstat eller på annen måte har gått frem for å hevde malware. Gitt de detaljerte malwarereglene og målrettingen av SCADA og andre industrielle systemprotokoller, virker en nasjonalt skuespiller mest sannsynlig.
Uansett hva jeg tror, mener FBI at VPNFilter er en Fancy Bear-skapelse. I mai 2018 grep FBI et domene-ToKnowAll.com-det var antatt å ha vært vant til å installere og kommandere Stage 2 og Stage 3 VPNFilter malware. Domenenes beslag bidro absolutt til å stoppe den umiddelbare spredningen av VPNFilter, men adskilt ikke hovedarterien; Den ukrainske SBU tok et VPNFilter-angrep på et kjemisk prosessanlegg i juli 2018, for en.
VPNFilter har også likheter med BlackEnergy malware, en APT Trojan i bruk mot et bredt spekter av ukrainske mål. Igjen, mens dette er langt fra fullstendig bevis, kommer den systemiske målrettingen av Ukraina hovedsakelig fra hackinggrupper med russiske bånd.
Er jeg infisert med VPNFilter?
Sjansene er at ruteren din ikke har VPNFilter malware. Men det er alltid bedre å være trygg enn unnskyld:
- Sjekk denne listen for ruteren din. Hvis du ikke er på listen, er alt greit.
- Du kan gå til Symantec VPNFilter Check-siden. Sjekk vilkår og betingelser boksen, og trykk deretter Kjør VPNFilter Check knappen i midten. Testen fullføres innen sekunder.
Jeg er infisert med VPNFilter: Hva gjør jeg?
Hvis Symantec VPNFilter-kontrollen bekrefter at ruteren er infisert, har du en klar fremgangsmåte.
- Tilbakestill ruteren, kjør deretter VPNFilter-kontrollen på nytt.
- Tilbakestill ruteren til fabrikkinnstillingene.
- Last ned den nyeste fastvaren til ruteren din, og fyll ut en ren fastvareinstallasjon, helst uten at ruteren gjør en online-tilkobling under prosessen..
I tillegg til dette må du fullføre hele systemskanninger på hver enhet som er koblet til den infiserte ruteren.
Du bør alltid endre standardinnloggingsinformasjonen til ruteren din, i tillegg til eventuelle IoT- eller NAS-enheter (IoT-enheter gjør ikke denne oppgaven enkle. Hvorfor Internett av ting er det største sikkerhetsmardrittet Hvorfor Internett av ting er det største sikkerhetsmardrittet En dag kommer du hjem fra jobb for å oppdage at ditt skytsikrede hjemmesikkerhetssystem har blitt brutt. Hvordan kunne dette skje? Med Internett av Ting (IoT), kan du finne ut den harde måten. Les mer) hvis det er mulig . Også, mens det er tegn på at VPNFilter kan unngå noen brannmurer, ha en installert og riktig konfigurert. 7 enkle tips for å sikre ruteren og Wi-Fi-nettverket i løpet av få minutter. 7 enkle tips for å sikre ruteren og Wi-Fi-nettverket i minutter. Er det noen som sniffer og avlyser på din Wi-Fi-trafikk, stjeler passordene dine og kredittkortnummer? Vil du selv vite om noen var? Sannsynligvis ikke, så sørg for det trådløse nettverket med disse 7 enkle trinnene. Les mer vil hjelpe til med å holde mange andre ekkel ting ut av nettverket ditt.
Se opp for ruterens malware!
Ruterens malware blir stadig mer vanlig. IoT skadelig programvare og sårbarheter er overalt, og med antall enheter som kommer på nettet, blir det bare verre. Ruteren din er fokuspunktet for data i hjemmet ditt. Likevel mottar den ikke nesten like mye sikkerhetsoppmerksomhet som andre enheter.
Enkelt sagt er ruteren din ikke sikker som du tror 10 måter ruteren din ikke er så sikker som du tror 10 måter ruteren din ikke er så sikker som du tror Her er 10 måter ruteren din kunne bli utnyttet av hackere og kjøre- av trådløse hijackere. Les mer .
Utforsk mer om: Internett av ting, Malware, Online Security, Router.