Kaip pastebėti „VPNFilter“ kenkėjišką programą, kol ji nesunaikina jūsų maršrutizatoriaus

Kaip pastebėti „VPNFilter“ kenkėjišką programą, kol ji nesunaikina jūsų maršrutizatoriaus

Vis dažniau pasitaiko maršrutizatoriaus, tinklo įrenginio ir daiktų interneto kenkėjiška programa. Dauguma sutelkia dėmesį į pažeidžiamų įrenginių užkrėtimą ir įtraukimą į galingus robotų tinklus. Maršrutizatoriai ir daiktų interneto (IoT) įrenginiai visada įjungti, visada prisijungę ir laukia nurodymų. Puikus robotų tinklo pašaras.





Tačiau ne visos kenkėjiškos programos yra vienodos.



„VPNFilter“ yra destruktyvi kenkėjiškų programų grėsmė maršrutizatoriams, daiktų interneto įrenginiams ir net kai kuriems prie tinklo prijungtiems saugojimo (NAS) įrenginiams. Kaip patikrinti, ar nėra „VPNFilter“ kenkėjiškų programų? Ir kaip jūs galite jį išvalyti? Pažvelkime atidžiau į „VPNFilter“.





Kas yra VPNFilter?

„VPNFilter“ yra sudėtingas modulinis kenkėjiškų programų variantas, visų pirma skirtas įvairių gamintojų tinklo įrenginiams, taip pat NAS įrenginiams. „VPNFilter“ iš pradžių buvo rastas „Linksys“, „MikroTik“, „NETGEAR“ ir „TP-Link“ tinklo įrenginiuose, taip pat „QNAP NAS“ įrenginiuose, apytikriai 500 000 infekcijų 54 šalyse.

The komanda, kuri atskleidė „VPNFilter“ , „Cisco Talos“, neseniai atnaujinta informacija apie kenkėjiškas programas, nurodydamas, kad tokių gamintojų kaip ASUS, D-Link, Huawei, Ubiquiti, UPVEL ir ZTE tinklo įranga dabar rodo VPNFilter infekcijas. Tačiau rašymo metu tai neturi įtakos jokiems „Cisco“ tinklo įrenginiams.



Kenkėjiška programa skiriasi nuo daugumos kitų į internetą orientuotų kenkėjiškų programų, nes ji išlieka po sistemos perkrovimo, todėl ją sunku išnaikinti. Įrenginiai, naudojantys numatytuosius prisijungimo duomenis arba žinomus nulinės dienos pažeidžiamumus, negavę programinės įrangos naujinių, yra ypač pažeidžiami.

palyginkite 2 failus užrašų knygelėje ++

Ką veikia „VPNFilter“?

Taigi, „VPNFilter“ yra „daugiapakopė, modulinė platforma“, kuri gali sugadinti įrenginius. Be to, tai taip pat gali būti duomenų rinkimo grėsmė. „VPNFilter“ veikia keliais etapais.



1 etapas: „VPNFilter Stage 1“ įrenginyje sukuria paplūdimio galvutę, susisiekdama su jo komandų ir valdymo serveriu (C&C), kad atsisiųstų papildomų modulių ir lauktų nurodymų. 1 etape taip pat yra daug įmontuotų atleidimų, kad būtų galima rasti 2 ir C pakopas, jei infrastruktūra pasikeis diegimo metu. 1 pakopos „VPNFilter“ kenkėjiška programa taip pat gali išgyventi iš naujo, todėl tai yra rimta grėsmė.

2 etapas: „VPNFilter 2“ etapas neišnyksta perkraunant, tačiau jis turi daugiau galimybių. 2 etapas gali rinkti privačius duomenis, vykdyti komandas ir trukdyti valdyti įrenginį. Be to, gamtoje yra įvairių 2 etapo versijų. Kai kuriose versijose yra naikinamasis modulis, kuris perrašo įrenginio programinės įrangos skaidinį, o po to perkrauna, kad įrenginys taptų netinkamas naudoti (kenkėjiška programa iš esmės blokuoja maršrutizatorių, IoT ar NAS įrenginį).



3 etapas: VPNFilter 3 etapo moduliai veikia kaip 2 etapo papildiniai, išplečiantys VPNFilter funkcionalumą. Vienas modulis veikia kaip paketas, kuris renka įeinantį srautą į įrenginį ir vagia kredencialus. Kitas leidžia 2 etapo kenkėjiškoms programoms saugiai bendrauti naudojant „Tor“. „Cisco Talos“ taip pat rado vieną modulį, kuris į prietaisą įeinantį srautą įleidžia kenkėjiško turinio, o tai reiškia, kad įsilaužėlis gali perduoti tolesnius išnaudojimus kitiems prijungtiems įrenginiams per maršrutizatorių, interneto ar NAS įrenginį.

Be to, „VPNFilter“ moduliai „leidžia pavogti svetainės kredencialus ir stebėti„ Modbus SCADA “protokolus“.

Nuotraukų bendrinimo meta

Kita įdomi (bet ne naujai atrasta) „VPNFilter“ kenkėjiškų programų savybė yra internetinių nuotraukų bendrinimo paslaugų naudojimas siekiant rasti jos C&C serverio IP adresą. „Talos“ analizė parodė, kad kenkėjiška programa nurodo „Photobucket“ URL seriją. Kenkėjiška programa atsisiunčia pirmąjį galerijos vaizdą į URL nuorodas ir išskiria serverio IP adresą, paslėptą vaizdo metaduomenyse.

IP adresas „išgaunamas iš šešių sveikųjų skaičių, nurodant GPS platumą ir ilgumą EXIF ​​informacijoje“. Jei nepavyksta, 1 etapo kenkėjiška programa grįžta į įprastą domeną (toknowall.com --- daugiau apie tai žemiau), kad atsisiųstų vaizdą ir bandytų tą patį procesą.

Tikslinis paketų uostymas

Atnaujinta „Talos“ ataskaita atskleidė keletą įdomių įžvalgų apie VPNFilter paketų uostymo modulį. Vietoj to, kad viską apkabintumėte, ji turi gana griežtą taisyklių rinkinį, skirtą konkrečioms eismo rūšims. Konkrečiai, srautas iš pramoninių valdymo sistemų (SCADA), jungiančių naudojant TP-Link R600 VPN, jungtys prie iš anksto nustatytų IP adresų sąrašo (nurodantis pažangias kitų tinklų žinias ir pageidaujamą srautą), taip pat 150 baitų duomenų paketai ar didesnis.

Craigas Williamas, vyresnysis technologijų lyderis ir „Talos“ pasaulinio informavimo vadovas, pasakojo Arsas „Jie ieško labai konkrečių dalykų. Jie nesistengia surinkti tiek srauto, kiek gali. Jie ieško tam tikrų labai mažų dalykų, tokių kaip įgaliojimai ir slaptažodžiai. Mes neturime daug žinių, išskyrus tai, kas atrodo neįtikėtinai tikslinga ir neįtikėtinai sudėtinga. Mes vis dar bandome išsiaiškinti, kam jie tai panaudojo “.

Iš kur atsirado „VPNFilter“?

Manoma, kad „VPNFilter“ yra valstybės remiamos įsilaužėlių grupės darbas. Kad pradinis „VPNFilter“ infekcijos antplūdis daugiausia buvo jaučiamas visoje Ukrainoje, pirmieji pirštai parodė į Rusijos remiamus pirštų atspaudus ir įsilaužėlių grupę „Fancy Bear“.

Tačiau toks kenkėjiškų programų sudėtingumas nėra aiškus, ir jokia įsilaužėlių grupė, nacionalinė valstybė ar kita, nepasiruošė reikalauti kenkėjiškos programos. Atsižvelgiant į išsamias kenkėjiškų programų taisykles ir taikymą pagal SCADA bei kitus pramonės sistemos protokolus, nacionalinės valstybės veikėjas atrodo labiausiai tikėtinas.

Nepaisant to, ką aš galvoju, FTB mano, kad „VPNFilter“ yra išgalvotas lokys. 2018 metų gegužę FTB konfiskavo domeną --- ToKnowAll.com --- manoma, kad ji buvo naudojama 2 ir 3 pakopų VPNFilter kenkėjiškoms programoms įdiegti ir komanduoti. Domeno užgrobimas neabejotinai padėjo sustabdyti tiesioginį VPNFilter plitimą, tačiau nesulaužė pagrindinės arterijos; 2018 m. liepos mėn. Ukrainos SBU panaikino „VPNFilter“ ataką prieš cheminio perdirbimo gamyklą.

kaip gauti daugiau RAM nešiojamajame kompiuteryje

„VPNFilter“ taip pat turi panašumų su „BlackEnergy“ kenkėjiška programa-APT Trojos arklys, naudojamas prieš įvairius Ukrainos taikinius. Vėlgi, nors tai toli gražu nėra išsamūs įrodymai, sisteminis taikymas į Ukrainą daugiausia kyla iš įsilaužėlių grupuočių, turinčių ryšių su Rusija.

Ar esu užsikrėtęs VPNFilter?

Tikėtina, kad jūsų maršrutizatoriuje nėra „VPNFilter“ kenkėjiškų programų. Bet visada geriau būti saugiam nei gailėtis:

  1. Patikrinkite šį sąrašą jūsų maršrutizatoriui. Jei jūsų nėra sąraše, viskas gerai.
  2. Galite eiti į „Symantec VPNFilter Check“ svetainę. Pažymėkite taisyklių ir sąlygų laukelį, tada paspauskite Paleiskite „VPNFilter Check“ mygtukas viduryje. Bandymas baigiamas per kelias sekundes.

Esu užsikrėtęs VPNFilter: ką man daryti?

Jei „Symantec VPNFilter Check“ patvirtina, kad jūsų maršrutizatorius yra užkrėstas, turite aiškią veiksmų kryptį.

  1. Iš naujo nustatykite maršrutizatorių, tada vėl paleiskite „VPNFilter Check“.
  2. Iš naujo nustatykite maršrutizatoriaus gamyklinius nustatymus.
  3. Atsisiųskite naujausią savo maršrutizatoriaus programinę -aparatinę įrangą ir visiškai įdiekite programinę -aparatinę įrangą, pageidautina, kad maršrutizatorius neprisijungtų prie interneto.

Be to, turite atlikti visus sistemos nuskaitymus kiekviename įrenginyje, prijungtame prie užkrėsto maršrutizatoriaus.

Jei įmanoma, visada turėtumėte pakeisti numatytuosius savo maršrutizatoriaus prisijungimo duomenis, taip pat bet kokius IoT ar NAS įrenginius (daiktų interneto įrenginiai šios užduoties nelengvina). Be to, nors yra įrodymų, kad „VPNFilter“ gali išvengti kai kurių užkardų, turėti vieną įdiegtą ir tinkamai sukonfigūruotą padės išvengti daugelio kitų nemalonių dalykų jūsų tinkle.

Saugokitės maršrutizatoriaus kenkėjiškų programų!

Maršrutizatoriaus kenkėjiška programa tampa vis dažnesnė. „IoT“ kenkėjiškų programų ir pažeidžiamumų yra visur, o internete prisijungusių įrenginių skaičius tik blogės. Jūsų maršrutizatorius yra jūsų namų duomenų centras. Tačiau jis nesulaukia beveik tiek saugumo dėmesio kaip kiti įrenginiai.

Paprasčiau tariant, jūsų maršrutizatorius nėra saugus, kaip manote.

Dalintis Dalintis „Tweet“ Paštu Kalbos animacijos vadovas pradedantiesiems

Kalbos animacija gali būti iššūkis. Jei būsite pasirengę pradėti dialogą prie savo projekto, mes suskaidysime procesą už jus.

Skaityti toliau Susijusios temos
  • Saugumas
  • Maršrutizatorius
  • Sauga internete
  • Daiktų internetas
  • Kenkėjiška programa
Apie autorių Gavinas Phillipsas(Paskelbti 945 straipsniai)

Gavinas yra „Windows“ ir „Technology Explained“ jaunesnysis redaktorius, nuolatinis „Tikrai naudingos podcast“ dalyvis ir nuolatinis produktų apžvalgininkas. Jis turi šiuolaikinio rašymo bakalauro laipsnį (Hons) ir skaitmeninio meno praktiką, išplėštą iš Devono kalvų, taip pat turi daugiau nei dešimtmetį profesinės rašymo patirties. Jis mėgsta daugybę arbatos, stalo žaidimų ir futbolo.

kaip sujungti dvi „Excel“ skaičiuokles?
Daugiau iš Gavino Phillipso

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!

Norėdami užsiprenumeruoti, spustelėkite čia