reklama

Malwaru směrovače, síťového zařízení a Internetu věcí je stále běžnější. Většina se zaměřuje na infikování zranitelných zařízení a jejich přidání do výkonných botnetů. Směrovače a zařízení internetu věcí (IoT) jsou vždy zapnutá, vždy online a čekají na pokyny. Perfektní krmivo pro botnet.

Ale ne veškerý malware je stejný.

VPNFilter je destruktivní hrozba malwaru pro směrovače, zařízení IoT a dokonce i některá zařízení připojená k síti (NAS). Jak zkontrolujete napadení virem VPNFilter? A jak to můžete vyčistit? Podívejme se blíže na VPNFilter.

Co je VPNFilter?

VPNFilter je sofistikovaná modulární varianta malwaru, která se primárně zaměřuje na síťová zařízení od široké řady výrobců i zařízení NAS. VPNFilter byl původně nalezen na síťových zařízeních Linksys, MikroTik, NETGEAR a TP-Link, jakož i na zařízeních QNAP NAS, s přibližně 500 000 infekcemi v 54 zemích.

tým, který odkryl VPNFilter, Cisco Talos, nedávno aktualizované podrobnosti pokud jde o malware, což naznačuje, že síťová zařízení od výrobců, jako jsou ASUS, D-Link, Huawei, Ubiquiti, UPVEL a ZTE, nyní vykazují infekce VPNFilter. V době psaní však nejsou ovlivněna žádná síťová zařízení Cisco.

Malware je na rozdíl od většiny ostatních malwaru zaměřených na IoT, protože přetrvává i po restartu systému, což ztěžuje jeho eradikaci. Zařízení, která používají své výchozí přihlašovací údaje nebo se známými zranitelnostmi v nultém dni, která neobdržela aktualizace firmwaru, jsou zvláště zranitelná.

Co VPNFilter dělá?

VPNFilter je tedy „vícestupňová modulární platforma“ může způsobit destruktivní poškození zařízení. Kromě toho může také sloužit jako hrozba sběru dat. VPNFilter funguje v několika fázích.

Fáze 1: VPNFilter Stage 1 zřizuje předmostí na zařízení a kontaktuje svůj příkazový a řídicí server (C&C), aby stáhl další moduly a čekal na pokyny. Fáze 1 má také několik vestavěných redundancí k nalezení C a Cs fáze 2 v případě změny infrastruktury během nasazení. Malware VPNFilter 1. fáze také dokáže přežít restartování počítače, což z něj činí robustní hrozbu.

2. fáze: VPNFilter Stage 2 netrvá přes restart, ale přichází s širší škálou možností. Krok 2 může shromažďovat soukromá data, provádět příkazy a zasahovat do správy zařízení. Také ve volné přírodě existují různé verze 2. fáze. Některé verze jsou vybaveny destruktivním modulem, který přepisuje oddíl firmwaru zařízení, poté se restartuje, aby se zařízení stalo nepoužitelným (malware zděný router, IoT nebo NAS zařízení, v podstatě).

Etapa 3: Moduly VPNFilter Stage 3 fungují jako pluginy pro Stage 2 a rozšiřují funkčnost VPNFilter. Jeden modul funguje jako paketový sniffer, který shromažďuje příchozí provoz na zařízení a odcizuje přihlašovací údaje. Další umožňuje bezpečně komunikovat malware Stage 2 pomocí Tor. Cisco Talos také našel jeden modul, který vstřikuje škodlivý obsah do provozu procházejícího zařízením, což znamená, že hacker může poskytovat další využití na další připojená zařízení prostřednictvím routeru, IoT nebo NAS přístroj.

Kromě toho moduly VPNFilter „umožňují krádež pověření webových stránek a monitorování protokolů Modbus SCADA“.

Sdílení fotografií Meta

Další zajímavou (ale ne nově objevenou) vlastností škodlivého softwaru VPNFilter je použití služeb sdílení fotografií online k nalezení IP adresy jeho serveru C&C. Analýza Talos zjistila, že malware odkazuje na řadu adres URL Photobucket. Malware stáhne soubor první obrázek v galerii odkazuje na URL a extrahuje IP adresu serveru skrytou v obrázku metadata.

IP adresa „je extrahována ze šesti celých hodnot pro GPS šířku a délku v EXIF ​​informací.“ Pokud se to nezdaří, Malware první fáze spadne zpět do běžné domény (toknowall.com - více k tomuto níže) ke stažení obrázku a pokusu o stejný proces.

cisco talos vpnfilter malware server infastructure

Cílené paketové čichání

Aktualizovaná zpráva Talos odhalila některé zajímavé poznatky o modulu čichání paketů VPNFilter. Spíše než jen zvednutí všeho, má poměrně přísná pravidla, která se zaměřují na konkrétní typy provozu. Konkrétně přenos z průmyslových řídicích systémů (SCADA), které se připojují pomocí VPN VPN TP-Link R600, připojení k seznamu předdefinované IP adresy (označující pokročilé znalosti jiných sítí a žádoucí provoz), jakož i datové pakety 150 bajty nebo větší.

Craig William, vedoucí technologického lídra a globální vedoucí dosahu v Talos, řekl Ars„Hledají velmi specifické věci. Nesnaží se shromáždit co nejvíce provozu. Jsou po určitých velmi malých věcech, jako jsou přihlašovací údaje a hesla. Nemáme na to spoustu informací, než se zdá neuvěřitelně cílené a neuvěřitelně sofistikované. Stále se snažíme přijít na to, kdo to používali. “

Odkud pochází VPNFilter?

Předpokládá se, že je VPNFilter práce hackerské skupiny sponzorované státem. Že počáteční nárůst infekce VPNFilteru byl pociťován převážně na Ukrajině, počáteční prsty směřovaly k otiskům prstů podporovaným Ruskem a hackerské skupině Fancy Bear.

Taková je však sofistikace malwaru, že neexistuje jasná geneze a žádná hackerská skupina, národní stát ani jinak nepokročila k získání malwaru. Vzhledem k podrobným pravidlům malwaru a cílení SCADA a dalších protokolů průmyslového systému se zdá, že herec národního státu je nejpravděpodobnější.

Bez ohledu na to, co si myslím, FBI věří, že VPNFilter je výtvor Fancy Bear. V květnu 2018 FBI zabavil doménu—ToKnowAll.com — které byly považovány za použité k instalaci a příkazům malwaru VPNFilteru Stage 2 a Stage 3. Zabavení domény jistě pomohlo zastavit okamžité šíření VPNFilteru, ale neoddělilo hlavní tepnu; v červenci 2018 ukrajinský SBU v červenci 2018 zastavil útok VPNFilter na chemický závod.

VPNFilter také nese podobnosti s malware BlackEnergy, trojanem APT používaným proti širokému spektru ukrajinských cílů. I když to není zdaleka úplný důkaz, systémové cílení Ukrajiny pochází převážně z hackerských skupin s ruskými vazbami.

Jsem infikován VPNFilterem?

Pravděpodobně je, že váš router nesnáší malware VPNFilter. Ale vždy je lepší být v bezpečí než líto:

  1. Zkontrolujte tento seznam pro váš router. Pokud nejste na seznamu, vše je v pořádku.
  2. Můžete zamířit na Web Symantec VPNFilter Check. Zaškrtněte políčko a podmínky a stiskněte Spusťte kontrolu VPNFilter tlačítko uprostřed. Test je dokončen během několika sekund.
webová stránka pro kontrolu infekce symantec předního malware

Jsem infikován VPNFilterem: Co mám dělat?

Pokud kontrola Symantec VPNFilter Check potvrdí, že je váš router napaden, máte jasný postup.

  1. Resetujte router a znovu spusťte kontrolu VPNFilter.
  2. Obnovte výchozí nastavení routeru.
  3. Stáhněte si nejnovější firmware pro svůj router a dokončete čistou instalaci firmwaru, nejlépe bez toho, aby se router během procesu připojil online.

Dále musíte dokončit úplná prověřování systému na každém zařízení připojeném k infikovanému routeru.

Vždy byste měli změnit výchozí přihlašovací údaje svého routeru, jakož i všech zařízení IoT nebo NAS (IoT zařízení tento úkol neusnadňují Proč internet věcí je největší bezpečnostní noční můrouJednoho dne přijedete z práce domů a zjistíte, že váš domácí bezpečnostní systém podporovaný cloudem byl porušen. Jak se to mohlo stát? S internetem věcí (IoT) byste to mohli najít tvrdě. Přečtěte si více ) pokud je to možné. I když existují důkazy, že VPNFilter se může vyhnout některým firewallům, mít jednu nainstalovanou a správně nakonfigurovanou 7 jednoduchých tipů, jak zabezpečit směrovač a síť Wi-Fi během několika minutČichá někdo odposlouchávání a odposlouchávání vašeho Wi-Fi provozu, krádeže vašich hesel a čísel kreditních karet? Věděli byste vůbec, jestli to někdo byl? Pravděpodobně ne, tak zabezpečte bezdrátovou síť pomocí těchto 7 jednoduchých kroků. Přečtěte si více pomůže udržet spoustu dalších nepříjemných věcí mimo vaši síť.

Dejte si pozor na Router Malware!

Routerový malware je stále běžnější. Malware a zranitelnost IoT jsou všude a počet zařízení přicházejících do režimu online se zhorší. Váš směrovač je ústředním bodem pro data u vás doma. Přesto se mu nedostává téměř tolik pozornosti jako ostatní zařízení.

Jednoduše řečeno, váš směrovač není bezpečný, jak si myslíte 10 způsobů, jak váš router není tak bezpečný, jak si myslíteZde je 10 způsobů, jak by váš router mohl být zneužit hackery a bezdrátovými únosci. Přečtěte si více .

Gavin je Senior Writer pro MUO. On je také editor a SEO manažer pro MakeUseOf krypto-zaměřený sesterský web, Blocks Decoded. Má BA (Hons) Contemporary Writing s Digital Art Practices drancovaný z kopců Devonu, stejně jako více než deset let profesionálního psaní. Užívá si hojného množství čaje.