Hur man upptäcker VPNFilter Malware innan den förstör din router

Hur man upptäcker VPNFilter Malware innan den förstör din router

Router, nätverksenhet och Internet of Things -skadlig kod är allt vanligare. De flesta fokuserar på att infektera sårbara enheter och lägga till dem i kraftfulla botnät. Routrar och Internet of Things (IoT) -enheter är alltid påslagna, alltid online och väntar på instruktioner. Perfekt botnätfoder alltså.





Men inte alla skadliga program är desamma.



VPNFilter är ett destruktivt hot mot skadlig kod för routrar, IoT-enheter och till och med vissa nätverksanslutna lagringsenheter (NAS). Hur kontrollerar du om det finns en VPNFilter -infektion med skadlig kod? Och hur kan du städa upp det? Låt oss titta närmare på VPNFilter.





Vad är VPNFilter?

VPNFilter är en sofistikerad modulär malware -variant som främst riktar sig till nätverksenheter från ett stort antal tillverkare, liksom NAS -enheter. VPNFilter hittades ursprungligen på Linksys, MikroTik, NETGEAR och TP-Link nätverksenheter, samt QNAP NAS-enheter, med cirka 500 000 infektioner i 54 länder.

De team som avslöjade VPNFilter , Cisco Talos, nyligen uppdaterade detaljer angående skadlig programvara, vilket indikerar att nätverksutrustning från tillverkare som ASUS, D-Link, Huawei, Ubiquiti, UPVEL och ZTE nu visar VPNFilter-infektioner. Men i skrivande stund påverkas inga Cisco -nätverksenheter.



Skadlig programvara är till skillnad från de flesta andra IoT-fokuserade skadliga program eftersom den kvarstår efter en omstart av systemet, vilket gör det svårt att utrota. Enheter som använder sina standardinloggningsuppgifter eller med kända nolldagars sårbarheter som inte har fått firmware-uppdateringar är särskilt sårbara.

varför förlorar min dator internetanslutningen

Vad gör VPNFilter?

Så, VPNFilter är en 'flerstegs, modulär plattform' som kan orsaka destruktiv skada på enheter. Dessutom kan det också fungera som ett datainsamlingshot. VPNFilter fungerar i flera steg.



Steg 1: VPNFilter Stage 1 etablerar ett strandhuvud på enheten och kontaktar dess kommando- och kontrollserver (C&C) för att ladda ner ytterligare moduler och invänta instruktioner. Steg 1 har också flera inbyggda uppsägningar för att lokalisera steg 2 -C & C i händelse av infrastrukturändring under distributionen. Stage 1 VPNFilter -skadlig programvara kan också överleva en omstart, vilket gör det till ett robust hot.

Steg 2: VPNFilter Stage 2 fortsätter inte genom en omstart, men det har ett större utbud av funktioner. Steg 2 kan samla in privata data, utföra kommandon och störa enhetshantering. Det finns också olika versioner av steg 2 i naturen. Vissa versioner är utrustade med en destruktiv modul som skriver över en partition av enhetens firmware och sedan startar om för att göra enheten oanvändbar (skadlig programvara blockerar routern, IoT eller NAS -enheten i princip).



Steg 3: VPNFilter Stage 3 -moduler fungerar som plugins för steg 2, vilket utökar funktionaliteten för VPNFilter. En modul fungerar som en paketsniffer som samlar inkommande trafik på enheten och stjäl referenser. En annan tillåter steg 2 -skadlig kod att kommunicera säkert med Tor. Cisco Talos hittade också en modul som injicerar skadligt innehåll i trafik som passerar genom enheten, vilket innebär att hackaren kan leverera ytterligare utnyttjanden till andra anslutna enheter via en router, IoT eller NAS -enhet.

Dessutom möjliggör VPNFilter -moduler 'stöld av webbplatsuppgifter och övervakning av Modbus SCADA -protokoll.'

Fotodelning Meta

En annan intressant (men inte nyupptäckt) egenskap hos VPNFilter -skadlig programvara är dess användning av fotodelningstjänster online för att hitta IP -adressen till sin C & C -server. Talos -analysen fann att skadlig programvara pekar på en serie Photobucket -webbadresser. Skadlig programvara hämtar den första bilden i galleriet URL -referenserna och extraherar en server -IP -adress dold i bildens metadata.

IP -adressen 'extraheras från sex heltalsvärden för GPS -latitud och longitud i EXIF ​​-informationen.' Om det misslyckas faller steg 1-skadlig programvara tillbaka till en vanlig domän (toknowall.com --- mer om detta nedan) för att ladda ner bilden och försöka samma process.

Riktat förpackningssniffning

Den uppdaterade Talos -rapporten avslöjade några intressanta inblickar i VPNFilter -paketet för sniffning. I stället för att bara sväva upp allt har det en ganska strikt uppsättning regler som riktar sig till specifika typer av trafik. Specifikt trafik från industriella styrsystem (SCADA) som ansluts med TP-Link R600 VPN, anslutningar till en lista med fördefinierade IP-adresser (vilket indikerar avancerad kunskap om andra nätverk och önskvärd trafik), samt datapaket på 150 byte eller större.

Craig William, senior teknikledare och global uppsökande chef på Talos, berättade Ars De letar efter mycket specifika saker. De försöker inte samla så mycket trafik som de kan. De är ute efter vissa mycket små saker som referenser och lösenord. Vi har inte mycket intellekt om det förutom att det verkar otroligt riktat och otroligt sofistikerat. Vi försöker fortfarande ta reda på vem de använde det på. '

Var kom VPNFilter ifrån?

VPNFilter anses vara arbetet i en statligt sponsrad hackinggrupp. Att den första VPNFilter-infektionsökningen övervägande kändes i hela Ukraina, pekade de första fingrarna på ryskstödda fingeravtryck och hackergruppen Fancy Bear.

Men det är sofistikeringen av skadlig programvara, det finns ingen klar uppkomst och ingen hackinggrupp, nationell stat eller på annat sätt har gått fram för att göra anspråk på skadlig programvara. Med tanke på de detaljerade reglerna för skadlig kod och inriktning på SCADA och andra industriella systemprotokoll verkar en nationalstatens aktör troligast.

Oavsett vad jag tycker tror FBI att VPNFilter är en Fancy Bear -skapelse. I maj 2018, FBI tog en domän --- ToKnowAll.com --- som man trodde hade använts för att installera och styra steg 2 och steg 3 VPNFilter-skadlig kod. Domänbeslaget hjälpte verkligen till att stoppa den omedelbara spridningen av VPNFilter, men avbröt inte huvudartären; den ukrainska SBU tog ner en VPNFilter-attack på en kemisk bearbetningsanläggning i juli 2018, för en.

hur man hackar någon bankkonto online

VPNFilter har också likheter med BlackEnergy-skadlig programvara, en APT-trojan som används mot ett brett spektrum av ukrainska mål. Även om detta långt ifrån är fullständigt bevis, härstammar Ukrainas systemiska inriktning främst från hackinggrupper med ryska band.

Är jag infekterad med VPNFilter?

Chansen är stor att din router inte har VPNFilter -skadlig kod. Men det är alltid bättre att vara säker än ledsen:

  1. Kontrollera denna lista för din router. Om du inte finns med på listan är allt okej.
  2. Du kan gå till webbplatsen Symantec VPNFilter Check. Markera rutan med villkor och tryck sedan på Kör VPNFilter Check knappen i mitten. Testet slutförs inom några sekunder.

Jag är infekterad med VPNFilter: Vad gör jag?

Om Symantec VPNFilter Check bekräftar att din router är infekterad har du ett tydligt handlingsalternativ.

  1. Återställ din router och kör sedan VPNFilter Check igen.
  2. Återställ din router till fabriksinställningarna.
  3. Ladda ner den senaste firmware för din router och slutför en ren firmware -installation, helst utan att routern gör en online -anslutning under processen.

Utöver detta måste du slutföra fullständiga systemsökningar på varje enhet som är ansluten till den infekterade routern.

Du bör alltid ändra standardinloggningsuppgifterna för din router, liksom alla IoT- eller NAS -enheter (IoT -enheter gör inte denna uppgift lätt) om det är möjligt. Även om det finns bevis för att VPNFilter kan undvika vissa brandväggar, med en installerad och korrekt konfigurerad kommer att hjälpa till att hålla många andra otäcka saker utanför ditt nätverk.

Se upp för routerprogramvara!

Routerprogram är allt vanligare. IoT -skadlig kod och sårbarheter finns överallt, och med antalet enheter som kommer online blir det bara värre. Din router är kontaktpunkten för data i ditt hem. Men den får inte så mycket säkerhetsuppmärksamhet som andra enheter.

Enkelt uttryckt är din router inte säker som du tror.

Dela med sig Dela med sig Tweet E-post En nybörjarguide för att animera tal

Att animera tal kan vara en utmaning. Om du är redo att börja lägga till dialog i ditt projekt bryter vi ner processen åt dig.

Läs Nästa Relaterade ämnen
  • säkerhet
  • Router
  • Online säkerhet
  • Sakernas internet
  • Skadlig programvara
Om författaren Gavin Phillips(945 artiklar publicerade)

Gavin är Junior Editor för Windows och Technology Explained, en regelbunden bidragsgivare till den riktigt användbara podden och en vanlig produktgranskare. Han har en BA (Hons) samtidsskrivning med digitala konstpraxis från Devons kullar, liksom över ett decennium av professionell skrivarupplevelse. Han njuter av stora mängder te, brädspel och fotboll.

hur bli av med extra sida i word
Mer från Gavin Phillips

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e -böcker och exklusiva erbjudanden!

Klicka här för att prenumerera