Paano Makita ang VPNFilter Malware Bago Ito Wasakin ang Iyong Router

Paano Makita ang VPNFilter Malware Bago Ito Wasakin ang Iyong Router

Ang router, network device, at Internet of Things malware ay lalong nagiging karaniwan. Karamihan ay nakatuon sa paghawa sa mga mahina na aparato at pagdaragdag sa mga ito sa mga malalakas na botnet. Ang mga aparato ng Router at Internet of Things (IoT) ay palaging pinalakas, palaging online, at naghihintay para sa mga tagubilin. Perpektong botnet fodder, kung gayon.





Ngunit hindi lahat ng malware ay pareho.



Ang VPNFilter ay isang mapanirang malware na banta sa mga router, aparato ng IoT, at kahit na ilang mga aparatong naka-attach sa network (NAS). Paano mo susuriin ang isang impeksyon sa VPNFilter malware? At paano mo ito malinis? Tingnan natin nang mas malapit ang VPNFilter.





Ano ang VPNFilter?

Ang VPNFilter ay isang sopistikadong variant ng modular malware na pangunahing target ang mga aparato sa pag-network mula sa isang malawak na hanay ng mga tagagawa, pati na rin ang mga aparato ng NAS. Ang VPNFilter ay paunang nahanap sa Linksys, MikroTik, NETGEAR at mga TP-Link network device, pati na rin ang mga aparato ng QNAP NAS, na may halos 500,000 impeksyon sa 54 na mga bansa.

Ang koponan na natuklasan ang VPNFilter , Cisco Talos, kamakailang nai-update na mga detalye patungkol sa malware, na nagpapahiwatig na ang mga kagamitan sa pag-network mula sa mga tagagawa tulad ng ASUS, D-Link, Huawei, Ubiquiti, UPVEL, at ZTE ay nagpapakita ngayon ng mga impeksyon sa Filter. Gayunpaman, sa oras ng pagsulat na ito, walang aparatong network ng Cisco ang apektado.



Ang malware ay hindi katulad ng karamihan sa iba pang malware na nakatuon sa IoT sapagkat nagpapatuloy ito pagkatapos ng isang pag-reboot ng system, na ginagawang mahirap matanggal. Ang mga aparato na gumagamit ng kanilang mga default na kredensyal sa pag-login o may kilalang mga zero-day na kahinaan na hindi nakatanggap ng mga pag-update ng firmware ay partikular na mahina.

bakit ang aking home button ay hindi gumagana

Ano ang Ginagawa ng VPNFilter?

Kaya, ang VPNFilter ay isang 'multi-stage, modular platform' na maaaring maging sanhi ng mapanirang pinsala sa mga aparato. Bukod dito, maaari rin itong magsilbing banta sa pagkolekta ng data. Gumagana ang VPNFilter sa maraming mga yugto.



Yugto 1: Ang VPNFilter Stage 1 ay nagtataguyod ng isang beachhead sa aparato, pagkontak sa command at control server (C&C) nito upang mag-download ng karagdagang mga module at maghintay ng mga tagubilin. Ang entablado 1 ay mayroon ding maraming inbuilt na redundancies upang hanapin ang Stage 2 C & Cs sa kaso ng pagbabago ng imprastraktura sa panahon ng pag-deploy. Ang Stage 1 VPNFilter malware ay makakaligtas din sa isang pag-reboot, na ginagawang isang malakas na banta.

Yugto 2: Ang VPNFilter Stage 2 ay hindi mananatili sa pamamagitan ng isang pag-reboot, ngunit mayroon itong mas malawak na saklaw ng mga kakayahan. Ang yugto 2 ay maaaring mangolekta ng pribadong data, magpatupad ng mga utos, at makagambala sa pamamahala ng aparato. Gayundin, mayroong iba't ibang mga bersyon ng Stage 2 sa ligaw. Ang ilang mga bersyon ay nilagyan ng isang mapanirang module na nag-o-overtake ng isang pagkahati ng firmware ng aparato, pagkatapos ay muling pag-reboot upang gawing hindi magamit ang aparato (ang mga brick brick ay ang router, IoT, o NAS aparato, karaniwang).



Yugto 3: Ang mga module ng VPNFilter Stage 3 ay gumagana tulad ng mga plugin para sa Stage 2, na nagpapalawak ng pag-andar ng VPNFilter. Ang isang module ay gumaganap bilang isang packet sniffer na nangongolekta ng papasok na trapiko sa aparato at nagnanakaw ng mga kredensyal. Pinapayagan ng isa pa ang Stage 2 malware na makipag-usap nang ligtas gamit ang Tor. Natagpuan din ng Cisco Talos ang isang module na nagtuturo ng nakakahamak na nilalaman sa trapiko na dumadaan sa aparato, nangangahulugang ang hacker ay maaaring maghatid ng karagdagang pagsasamantala sa iba pang mga konektadong aparato sa pamamagitan ng isang router, IoT, o NAS device.

Bilang karagdagan, pinapayagan ng mga module ng VPNFilter ang pagnanakaw ng mga kredensyal sa website at ang pagsubaybay sa mga protokol ng Modbus SCADA. '

Pagbabahagi ng Larawan Meta

Ang isa pang kawili-wili (ngunit hindi bagong tuklas) na tampok ng VPNFilter malware ay ang paggamit nito ng mga serbisyo sa pagbabahagi ng online na larawan upang hanapin ang IP address ng C&C server nito. Natuklasan ng pagtatasa ng Talos na ang malware ay tumuturo sa isang serye ng mga Photobucket URL. Ina-download ng malware ang unang imahe sa gallery ang mga sanggunian ng URL at kumukuha ng isang server ng IP address na nakatago sa loob ng metadata ng imahe.

Ang IP address 'ay nakuha mula sa anim na halaga ng integer para sa latitude at longitude ng GPS sa impormasyon na EXIF.' Kung nabigo iyon, ang malware ng Stage 1 ay babalik sa isang regular na domain (toknowall.com --- higit pa sa ibaba) upang mai-download ang imahe at subukan ang parehong proseso.

Naka-target na Pag-sniff ng Packet

Ang na-update na ulat ng Talos ay nagsiwalat ng ilang mga kagiliw-giliw na pananaw sa module ng VPNFilter packet sniffing. Sa halip na i-hoover lang ang lahat, mayroon itong isang medyo mahigpit na hanay ng mga patakaran na nagta-target sa mga tukoy na uri ng trapiko. Partikular, ang trapiko mula sa mga industrial control system (SCADA) na kumokonekta gamit ang TP-Link R600 VPNs, mga koneksyon sa isang listahan ng paunang natukoy na mga IP address (na nagpapahiwatig ng isang advanced na kaalaman ng iba pang mga network at kanais-nais na trapiko), pati na rin ang mga packet ng data na 150 bytes o mas malaki.

Si Craig William, pinuno ng teknolohiya ng senior, at global outreach manager sa Talos, sinabi kay Ars , 'Naghahanap sila ng mga tiyak na bagay. Hindi nila sinusubukan na magtipon ng mas maraming trapiko hangga't makakaya nila. Hinahabol nila ang ilang mga napakaliit na bagay tulad ng mga kredensyal at password. Wala kaming maraming intel sa iba maliban sa tila hindi kapani-paniwalang naka-target at hindi kapani-paniwalang sopistikado. Sinusubukan pa rin naming malaman kung kanino nila ginagamit iyon. '

Saan nagmula ang VPNFilter?

Ang VPNFilter ay naisip na gawa ng isang pangkat ng pag-hack na nai-sponsor ng estado. Na ang paunang VPN Ang pagsabog ng impeksyon ng filter ay nakararami ng naramdaman sa buong Ukraine, ang mga paunang daliri ay itinuro sa mga naka-back-back na Russian na mga fingerprint at ang hacking group, Fancy Bear.

Gayunpaman, tulad ng pagiging sopistikado ng malware walang malinaw na genesis at walang pangkat ng pag-hack, bansa ng estado o kung hindi man, ang humakbang upang maangkin ang malware. Dahil sa detalyadong mga panuntunan sa malware at pag-target sa SCADA at iba pang mga pang-industriya na system na protokol, tila isang malamang na ang isang artista sa isang bansa.

Anuman ang iniisip ko, naniniwala ang FBI na VPNFilter ay isang nilikha ng Fancy Bear. Noong Mayo 2018, ang FBI kinuha ang isang domain --- ToKnowAll.com --- naisip na ginamit upang i-install at utusan ang Stage 2 at Stage 3 VPNFilter malware. Tiyak na nakatulong ang pag-agaw ng domain na itigil ang agarang pagkalat ng VPNFilter, ngunit hindi pinutol ang pangunahing arterya; ang Ukrainian SBU ay kumuha ng isang VPNFilter na atake sa isang planta ng pagproseso ng kemikal noong Hulyo 2018, para sa isa.

pagkakaiba sa pagitan ng mga opentype at truetype na font

Naghahatid din ang VPNFilter ng pagkakatulad sa BlackEnergy malware, isang APT Trojan na ginagamit laban sa malawak na hanay ng mga target sa Ukraine. Muli, habang ito ay malayo sa kumpletong ebidensya, ang sistematikong pag-target sa Ukraine ang higit na nagmumula sa mga pangkat sa pag-hack na may mga kurbatang Russia.

Nahawa ba Ako Sa VPNFilter?

Malamang, ang iyong router ay hindi nagtataglay ng VPNFilter malware. Ngunit palaging mas mahusay na maging ligtas kaysa sa paumanhin:

  1. Suriin ang listahang ito para sa iyong router. Kung wala ka sa listahan, okay ang lahat.
  2. Maaari kang magtungo sa site ng Symantec VPNFilter Check. Lagyan ng tsek ang kahon ng mga tuntunin at kundisyon, pagkatapos ay pindutin ang Patakbuhin ang VPNFilter Check pindutan sa gitna. Nakumpleto ang pagsubok sa loob ng mga segundo.

Nahahawa Ako Sa VPNFilter: Ano ang Gawin Ko?

Kung kinumpirma ng Symantec VPNFilter Check na nahawahan ang iyong router, mayroon kang isang malinaw na kurso ng pagkilos.

  1. I-reset ang iyong router, pagkatapos ay patakbuhin muli ang VPNFilter Check.
  2. I-reset ang iyong router sa mga setting ng pabrika.
  3. I-download ang pinakabagong firmware para sa iyong router, at kumpletuhin ang isang malinis na pag-install ng firmware, mas mabuti nang hindi gumagawa ang router ng isang koneksyon sa online habang proseso.

Dagdag dito, kailangan mong kumpletuhin ang buong pag-scan ng system sa bawat aparato na konektado sa nahawaang router.

Dapat mong palaging palitan ang mga default na kredensyal sa pag-login ng iyong router, pati na rin ang anumang mga aparato ng IoT o NAS (ang mga aparato ng IoT ay hindi ginagawang madali ang gawaing ito) kung posible. Gayundin, habang may katibayan na ang VPNFilter ay maaaring makaiwas sa ilang mga firewall, pagkakaroon ng isang naka-install at maayos na na-configure ay makakatulong na mapanatili ang maraming iba pang mga hindi magandang bagay mula sa iyong network.

Abangan ang Router Malware!

Ang router malware ay lalong nagiging karaniwan. Ang IoT malware at mga kahinaan ay saanman, at sa bilang ng mga aparato na darating sa online, magiging mas malala pa. Ang iyong router ay ang focal point para sa data sa iyong tahanan. Gayunpaman hindi ito nakakatanggap ng halos kasing pansin ng seguridad tulad ng iba pang mga aparato.

Sa madaling salita, ang iyong router ay hindi ligtas tulad ng iniisip mo.

Magbahagi Magbahagi Mag-tweet Email Isang Gabay ng Baguhan sa Animating Speech

Ang animating pagsasalita ay maaaring maging isang hamon. Kung handa ka nang magsimulang magdagdag ng diyalogo sa iyong proyekto, sisirain namin ang proseso para sa iyo.

Basahin Susunod Mga Kaugnay na Paksa
  • Seguridad
  • Router
  • Online Security
  • Internet ng Mga Bagay
  • Malware
Tungkol sa May-akda Gavin Phillips(945 Mga Artikulo Na-publish)

Si Gavin ay ang Junior Editor para sa Windows at Technology na Ipinaliwanag, isang regular na nag-aambag sa Tunay na Kapaki-pakinabang na Podcast, at isang regular na tagasuri ng produkto. Siya ay mayroong isang BA (Hons) Contemporary Writing na may Mga Digital Art na Kasanayan na nakawan mula sa mga burol ng Devon, pati na rin ng higit sa isang dekada ng propesyonal na karanasan sa pagsulat. Masisiyahan siya sa maraming halaga ng tsaa, mga board game, at football.

kung paano pagsamahin ang dalawang mga account sa facebook
Higit pa Mula sa Gavin Phillips

Mag-subscribe sa aming newsletter

Sumali sa aming newsletter para sa mga tip sa tech, pagsusuri, libreng ebook, at eksklusibong deal!

Mag-click dito upang mag-subscribe