Cara Mengesan VPN Perisian Malware Sebelum Menghancurkan Penghala Anda

Cara Mengesan VPN Perisian Malware Sebelum Menghancurkan Penghala Anda

Router, peranti rangkaian, dan malware Internet of Things semakin biasa. Sebahagian besar fokus menjangkiti peranti yang rentan dan menambahkannya ke botnet yang kuat. Peranti Router dan Internet of Things (IoT) selalu dihidupkan, sentiasa dalam talian, dan menunggu arahan. Makanan botnet yang sempurna.





Tetapi tidak semua malware sama.



VPNFilter adalah ancaman malware yang merosakkan kepada router, peranti IoT, dan bahkan beberapa peranti storan yang dilampirkan rangkaian (NAS). Bagaimana anda memeriksa jangkitan malware VPNFilter? Dan bagaimana anda boleh membersihkannya? Mari kita perhatikan VPNFilter dengan lebih dekat.





Apa itu VPNFilter?

VPNFilter adalah varian malware modular canggih yang terutama menyasarkan peranti rangkaian dari pelbagai pengeluar, dan juga peranti NAS. VPNFilter pada mulanya dijumpai pada peranti rangkaian Linksys, MikroTik, NETGEAR dan TP-Link, serta peranti QNAP NAS, dengan sekitar 500,000 jangkitan di 54 negara.

The pasukan yang menemui VPNFilter , Cisco Talos, butiran yang baru dikemas kini mengenai perisian hasad, yang menunjukkan bahawa peralatan rangkaian dari pengeluar seperti ASUS, D-Link, Huawei, Ubiquiti, UPVEL, dan ZTE kini menunjukkan jangkitan VPNFilter. Walau bagaimanapun, pada masa penulisan, tidak ada peranti rangkaian Cisco yang terjejas.



Malware tidak seperti kebanyakan perisian hasrat IoT lain kerana ia berterusan setelah sistem dihidupkan semula, menjadikannya sukar untuk dibasmi. Peranti yang menggunakan kelayakan masuk lalai mereka atau dengan kerentanan sifar hari yang diketahui yang tidak menerima kemas kini firmware sangat terdedah.

pindahkan fail dari satu pc ke komputer yang lain

Apa yang Dilakukan oleh VPNFilter?

Jadi, VPNFilter adalah 'platform pelbagai peringkat, modular' yang boleh menyebabkan kerosakan pada peranti. Selain itu, ia juga boleh menjadi ancaman pengumpulan data. VPNFilter berfungsi dalam beberapa peringkat.



Tahap 1: VPNFilter Stage 1 menetapkan beachhead pada peranti, menghubungi pelayan perintah dan kawalannya (C&C) untuk memuat turun modul tambahan dan menunggu arahan. Tahap 1 juga mempunyai banyak pengurangan yang diperlukan untuk mencari C & C Tahap 2 sekiranya berlaku perubahan infrastruktur semasa penyebaran. Malware Tahap 1 VPNFilter juga dapat bertahan dari reboot, menjadikannya ancaman kuat.

Tahap 2: VPNFilter Stage 2 tidak berterusan melalui reboot, tetapi dilengkapi dengan kemampuan yang lebih luas. Tahap 2 dapat mengumpulkan data peribadi, melaksanakan perintah, dan mengganggu pengurusan perangkat. Juga, terdapat pelbagai versi Tahap 2 di alam liar. Beberapa versi dilengkapi dengan modul yang merosakkan yang menimpa partisi firmware peranti, kemudian reboot untuk menjadikan peranti tidak dapat digunakan (malware pada dasarnya akan membuat router, IoT, atau NAS device).



Tahap 3: Modul VPNFilter Stage 3 berfungsi seperti plugin untuk Tahap 2, memperluas fungsi VPNFilter. Satu modul berfungsi sebagai pengesan paket yang mengumpulkan lalu lintas masuk pada peranti dan mencuri bukti kelayakan. Satu lagi membolehkan perisian jahat Tahap 2 berkomunikasi dengan selamat menggunakan Tor. Cisco Talos juga menemukan satu modul yang menyuntikkan kandungan berbahaya ke lalu lintas yang melewati peranti, yang bermaksud penggodam dapat menyampaikan eksploitasi lebih lanjut ke peranti lain yang terhubung melalui router, IoT, atau peranti NAS.

Sebagai tambahan, modul VPNFilter 'memungkinkan untuk mencuri kelayakan laman web dan pemantauan protokol Modbus SCADA.'

Perkongsian Foto Meta

Satu lagi ciri menarik (tetapi tidak baru ditemui) dari perisian hasad VPNFilter adalah penggunaan perkhidmatan perkongsian foto dalam talian untuk mencari alamat IP pelayan C&C-nya. Analisis Talos mendapati bahawa perisian hasad menunjuk pada rangkaian URL Photobucket. Malware memuat turun gambar pertama di galeri yang merujuk URL dan mengekstrak alamat IP pelayan yang tersembunyi di dalam metadata gambar.

Alamat IP 'diekstrak dari enam nilai integer untuk garis lintang dan garis bujur GPS dalam maklumat EXIF.' Sekiranya gagal, perisian jahat Tahap 1 kembali ke domain biasa (toknowall.com --- lebih lanjut mengenai ini di bawah) untuk memuat turun gambar dan mencuba proses yang sama.

Menghidu Paket Sasaran

Laporan Talos yang dikemas kini mendedahkan beberapa pandangan menarik mengenai modul sniffing paket VPNFilter. Daripada mengarahkan semuanya, ia mempunyai sekumpulan peraturan yang cukup ketat yang menargetkan jenis lalu lintas tertentu. Secara khusus, lalu lintas dari sistem kawalan industri (SCADA) yang menghubungkan menggunakan TP-Link R600 VPN, sambungan ke senarai alamat IP yang telah ditentukan (menunjukkan pengetahuan lanjutan mengenai rangkaian lain dan lalu lintas yang diinginkan), serta paket data 150 bait atau lebih besar.

Craig William, pemimpin teknologi kanan, dan pengurus jangkauan global di Talos, kata Ars , 'Mereka mencari perkara yang sangat spesifik. Mereka tidak berusaha mengumpulkan sebanyak mungkin lalu lintas. Mereka mengikuti perkara-perkara yang sangat kecil seperti kelayakan dan kata laluan. Kami tidak memiliki banyak pengetahuan selain itu sepertinya sangat disasarkan dan sangat canggih. Kami masih berusaha untuk mengetahui siapa mereka menggunakannya. '

Dari mana datangnya VPNFilter?

VPNFilter dianggap karya kumpulan penggodam yang ditaja oleh negara. Bahawa lonjakan jangkitan VPNFilter awal terutama dirasakan di seluruh Ukraine, jari-jari awal menunjukkan cap jari yang disokong oleh Rusia dan kumpulan penggodam, Fancy Bear.

Namun, seperti kecanggihan malware tidak ada genesis yang jelas dan tidak ada kumpulan penggodam, negara bangsa atau sebaliknya, telah melangkah maju untuk menuntut malware tersebut. Memandangkan peraturan malware yang terperinci dan penargetan SCADA dan protokol sistem perindustrian lain, pelaku negara bangsa nampaknya sangat mungkin.

Tidak kira apa yang saya fikirkan, FBI percaya VPNFilter adalah ciptaan Fancy Bear. Pada bulan Mei 2018, FBI merampas domain --- ToKnowAll.com --- yang dianggap telah digunakan untuk memasang dan memerintahkan malware Tahap 2 dan Tahap 3 VPN. Penyitaan domain sememangnya membantu menghentikan penyebaran VPNFilter secara langsung, tetapi tidak memutuskan arteri utama; SBU Ukraine menjatuhkan serangan Penyaring VPN pada kilang pemprosesan kimia pada bulan Julai 2018, untuk satu.

komputer memerlukan selama-lamanya untuk boot windows 10

VPNFilter juga mempunyai persamaan dengan perisian jahat BlackEnergy, sebuah APT Trojan yang digunakan terhadap berbagai sasaran Ukraine. Sekali lagi, walaupun ini jauh dari bukti yang lengkap, penyasaran sistemik Ukraine terutamanya berasal dari kumpulan peretasan dengan hubungan Rusia.

Adakah Saya Dijangkiti Dengan VPNFilter?

Kemungkinannya, penghala anda tidak menyimpan malware VPNFilter. Tetapi selalu lebih baik selamat daripada menyesal:

  1. Lihat senarai ini untuk penghala anda. Sekiranya anda tidak berada dalam senarai, semuanya baik-baik saja.
  2. Anda boleh pergi ke laman Symantec VPNFilter Check. Tandakan kotak terma dan syarat, kemudian tekan Jalankan Pemeriksaan VPNFilter butang di tengah. Ujian selesai dalam beberapa saat.

Saya Dijangkiti Dengan VPNFilter: Apa yang Perlu Saya Lakukan?

Sekiranya Symantec VPNFilter Check mengesahkan bahawa penghala anda dijangkiti, anda mempunyai tindakan yang jelas.

  1. Tetapkan semula penghala anda, kemudian jalankan Semakan VPNFilter sekali lagi.
  2. Tetapkan semula penghala anda ke tetapan kilang.
  3. Muat turun firmware terkini untuk penghala anda, dan selesaikan pemasangan firmware yang bersih, lebih baik tanpa penghala membuat sambungan dalam talian semasa prosesnya.

Selanjutnya, anda perlu menyelesaikan imbasan sistem penuh pada setiap peranti yang disambungkan ke penghala yang dijangkiti.

Anda harus selalu menukar kelayakan masuk lalai penghala anda, begitu juga mana-mana peranti IoT atau NAS (peranti IoT tidak menjadikan tugas ini mudah) jika mungkin. Juga, walaupun terdapat bukti bahawa VPNFilter dapat menghindari beberapa firewall, mempunyai satu yang dipasang dan dikonfigurasikan dengan betul akan membantu menjauhkan banyak perkara jahat dari rangkaian anda.

Awas Router Malware!

Malware penghala semakin biasa. Malware dan kerentanan IoT ada di mana-mana, dan dengan jumlah peranti yang dalam talian, hanya akan bertambah buruk. Penghala anda adalah titik fokus untuk data di rumah anda. Namun ia tidak mendapat perhatian keselamatan hampir sama seperti peranti lain.

Ringkasnya, penghala anda tidak selamat seperti yang anda fikirkan.

Berkongsi Berkongsi Tweet E-mel Panduan Pemula untuk Animasi Ucapan

Animasi pertuturan boleh menjadi cabaran. Sekiranya anda sudah bersedia untuk mula menambahkan dialog ke projek anda, kami akan menguraikan proses untuk anda.

Baca Seterusnya Topik-topik yang berkaitan
  • Keselamatan
  • Penghala
  • Keselamatan Dalam Talian
  • Internet Perkara
  • Perisian hasad
Mengenai Pengarang Gavin Phillips(945 Artikel Diterbitkan)

Gavin adalah Editor Junior untuk Windows dan Teknologi yang Dijelaskan, penyumbang tetap Podcast yang Sangat Berguna, dan pengulas produk biasa. Dia memiliki Penulisan Kontemporari BA (Kepujian) dengan Amalan Seni Digital yang dijarah dari bukit Devon, serta lebih dari satu dekad pengalaman menulis profesional. Dia menikmati banyak teh, permainan papan, dan bola sepak.

mengapa itunes tidak mengenali iphone 6 saya
Lagi Dari Gavin Phillips

Langgan buletin kami

Sertailah buletin kami untuk mendapatkan petua, ulasan, ebook percuma, dan tawaran eksklusif!

Klik di sini untuk melanggan