Как обнаружить вредоносное ПО VPNFilter до того, как оно уничтожит ваш маршрутизатор

Реклама

Роутер, сетевое устройство и вредоносные программы Интернета вещей становятся все более распространенными. Большинство фокусируется на заражении уязвимых устройств и добавлении их в мощные бот-сети. Маршрутизаторы и устройства Интернета вещей (IoT) всегда включены, всегда подключены к сети и ждут инструкций. Тогда идеальный корм для ботнетов.

Но не все вредоносные программы одинаковы.

VPNFilter представляет собой разрушительную вредоносную угрозу для маршрутизаторов, устройств IoT и даже некоторых сетевых устройств хранения (NAS). Как вы проверяете наличие вредоносного ПО VPNFilter? И как ты можешь это убрать? Давайте внимательнее посмотрим на VPNFilter.

Что такое VPNFilter?

VPNFilter - это сложный модульный вариант вредоносного ПО, который в первую очередь предназначен для сетевых устройств широкого круга производителей, а также устройств NAS. Изначально VPNFilter был обнаружен на сетевых устройствах Linksys, MikroTik, NETGEAR и TP-Link, а также на устройствах NAS QNAP, и насчитывал около 500 000 случаев заражения в 54 странах.

команда, которая обнаружила VPNFilterCisco Талос, недавно обновленные детали Что касается вредоносного ПО, то это указывает на то, что сетевое оборудование таких производителей, как ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE, в настоящее время демонстрирует заражение VPNFilter. Однако на момент написания статьи сетевые устройства Cisco не были затронуты.

Вредоносное ПО отличается от большинства других IoT-ориентированных вредоносных программ, поскольку оно сохраняется после перезагрузки системы, что затрудняет его уничтожение. Устройства, использующие свои учетные данные по умолчанию или известные уязвимости нулевого дня, которые не получили обновлений встроенного программного обеспечения, особенно уязвимы.

Что делает VPNFilter?

Итак, VPNFilter - это «многоэтапная, модульная платформа», которая может привести к разрушительному повреждению устройств. Кроме того, это также может служить угрозой сбора данных. VPNFilter работает в несколько этапов.

Этап 1: Этап 1 VPNFilter устанавливает плацдарм на устройстве, связываясь с его сервером управления и контроля (C & C), чтобы загрузить дополнительные модули и ожидать инструкций. Стадия 1 также имеет несколько встроенных избыточностей для обнаружения C & C стадии 2 в случае изменения инфраструктуры во время развертывания. Вредоносная программа Stage 1 VPNFilter также способна пережить перезагрузку, что делает ее серьезной угрозой.

Этап 2: VPNFilter Stage 2 не сохраняется после перезагрузки, но он обладает более широким спектром возможностей. Этап 2 может собирать личные данные, выполнять команды и мешать управлению устройством. Кроме того, есть разные версии Стадии 2 в дикой природе. Некоторые версии оснащены деструктивным модулем, который перезаписывает раздел прошивки устройства, затем перезагружается, чтобы сделать устройство непригодным для использования (вредоносное ПО блокирует маршрутизатор, IoT или устройство NAS, в принципе).

Этап 3: Модули VPNFilter Stage 3 работают как плагины для Stage 2, расширяя функциональные возможности VPNFilter. Один модуль действует как анализатор пакетов, который собирает входящий трафик на устройстве и похищает учетные данные. Другое позволяет вредоносной программе Stage 2 безопасно общаться с помощью Tor. Cisco Talos также обнаружил один модуль, который внедряет вредоносный контент в трафик, проходящий через устройство, Это означает, что хакер может доставить другие эксплойты на другие подключенные устройства через маршрутизатор, IoT или NAS. устройство.

Кроме того, модули VPNFilter «допускают кражу учетных данных веб-сайта и мониторинг протоколов SCADA Modbus».

Мета обмена фотографиями

Еще одна интересная (но не недавно обнаруженная) особенность вредоносного ПО VPNFilter - использование онлайн-служб обмена фотографиями для поиска IP-адреса своего C & C-сервера. Анализ Talos обнаружил, что вредоносная программа указывает на серию URL-адресов Photobucket. Вредонос загружает первое изображение в галерее URL ссылается и извлекает IP-адрес сервера, скрытый в изображении метаданные.

IP-адрес «извлекается из шести целочисленных значений широты и долготы GPS в информации EXIF». Если это не удается, то Вредоносная программа 1-го уровня возвращается к обычному домену (toknowall.com - подробнее об этом ниже), чтобы загрузить образ и попробовать то же самое обработать.

Целевой нюхающий пакет

Обновленный отчет Talos выявил некоторые интересные идеи о модуле сниффинга пакетов VPNFilter. Вместо того, чтобы просто пылесосить все, у него есть довольно строгий набор правил, предназначенных для определенных типов трафика. В частности, трафик от промышленных систем управления (SCADA), которые подключаются с использованием VPN TP-Link R600, подключается к списку предварительно определенные IP-адреса (указывающие на расширенные знания других сетей и желаемый трафик), а также пакеты данных 150 байт или больше.

Крейг Уильям, старший технологический лидер и глобальный менеджер по связям с общественностью в Талосе, сказал Арс«Они ищут очень конкретные вещи. Они не пытаются собрать как можно больше трафика. Им нужны такие мелочи, как учетные данные и пароли. У нас не так много информации, кроме того, что кажется невероятно целенаправленным и невероятно сложным. Мы все еще пытаемся выяснить, на ком они это использовали ».

Откуда взялся VPNFilter?

VPNFilter считается работа спонсируемой государством хакерской группы. То, что первоначальный всплеск заражения VPNFilter ощущался преимущественно по всей Украине, первые пальцы указывали на российские отпечатки пальцев и хакерскую группу Fancy Bear.

Тем не менее, такова сложность вредоносного программного обеспечения, что нет четкого генезиса, и ни одна хакерская группа, национальное государство или иное, не выступила с требованием заявить о наличии вредоносного ПО. Принимая во внимание подробные правила для вредоносных программ и таргетирование SCADA и других протоколов промышленных систем, субъект от национального государства выглядит наиболее вероятным.

Независимо от того, что я думаю, ФБР считает VPNFilter творением Fancy Bear. В мае 2018 года ФБР захватили домен—ToKnowAll.com - считалось, что он использовался для установки и управления вредоносными программами VPNFilter на уровне 2 и этапе 3. Захват домена, безусловно, помог остановить немедленное распространение VPNFilter, но не разорвал основную артерию; Украинская СБУ приняла удар VPNFilter на химическом заводе в июле 2018, например.

VPNFilter также имеет сходство с вредоносной программой BlackEnergy, APT-трояном, который используется против широкого спектра украинских целей. Опять же, хотя это далеко не полное свидетельство, системное нацеливание на Украину в основном происходит от хакерских групп с российскими связями.

Я заражен VPNFilter?

Скорее всего, ваш маршрутизатор не содержит вредоносного ПО VPNFilter. Но всегда лучше быть в безопасности, чем потом сожалеть

1. Проверьте этот список для вашего роутера. Если вас нет в списке, все в порядке.
2. Вы можете направиться к Symantec VPNFilter Проверить сайт. Установите флажок с условиями, затем нажмите Запустите проверку VPNFilter кнопка посередине. Тест завершается в течение нескольких секунд.

Я заражен VPNFilter: что мне делать?

Если Symantec VPNFilter Check подтвердит, что ваш маршрутизатор заражен, у вас есть четкий порядок действий.

1. Перезагрузите маршрутизатор, затем снова запустите проверку VPNFilter.
2. Сброс вашего роутера до заводских настроек.
3. Загрузите последнюю версию микропрограммы для своего маршрутизатора и выполните чистую установку микропрограммы, желательно, чтобы маршрутизатор не подключался к Интернету во время процесса.

В дополнение к этому вам необходимо выполнить полное сканирование системы на каждом устройстве, подключенном к зараженному маршрутизатору.

Вы должны всегда изменять учетные данные по умолчанию для вашего маршрутизатора, а также любых устройств IoT или NAS (IoT-устройства не облегчают эту задачу Почему Интернет вещей - самый большой кошмар безопасностиОднажды вы приходите домой с работы и обнаруживает, что ваша облачная система домашней безопасности была взломана. Как это могло случиться? С Интернетом вещей (IoT) вы могли бы найти трудный путь. Прочитайте больше ) если вообще возможно. Кроме того, хотя есть доказательства того, что VPNFilter может обойти некоторые брандмауэры, если он установлен и правильно настроен 7 простых советов, чтобы обезопасить свой маршрутизатор и сеть Wi-Fi за считанные минутыКто-то нюхает и подслушивает ваш трафик Wi-Fi, крадет ваши пароли и номера кредитных карт? Знаете ли вы, если кто-то был? Вероятно, нет, поэтому защитите свою беспроводную сеть с помощью этих 7 простых шагов. Прочитайте больше поможет сохранить много других неприятных вещей в вашей сети.

Остерегайтесь вредоносных программ маршрутизатора!

Вредоносное ПО для роутеров становится все более распространенным. Вредоносные программы и уязвимости IoT повсюду, а количество подключаемых устройств будет только ухудшаться. Ваш маршрутизатор является центром данных в вашем доме. Тем не менее, он не получает почти такого же внимания к безопасности, как другие устройства.

Проще говоря, ваш роутер не защищен, как вы думаете 10 способов, которыми ваш маршрутизатор не так безопасен, как вы думаетеВот 10 способов, которыми ваш маршрутизатор может быть использован хакерами и беспроводными угонщиками. Прочитайте больше .