Paano Kilalanin at Ayusin ang VPNFilter Malware Ngayon (04.27.24)

Hindi lahat ng malware ay nilikha pantay. Ang isang patunay dito ay ang pagkakaroon ng VPNFilter malware , isang bagong lahi ng router malware na may mapanirang mga katangian. Ang isang natatanging katangian na mayroon ito ay maaari itong makaligtas sa pag-reboot, hindi katulad ng karamihan sa iba pang mga banta sa Internet of Things (IoT).

Hayaan ang artikulong ito na gabayan ka sa pamamagitan ng pagkilala sa VPNFilter malware pati na rin ang listahan ng mga target. Tuturuan din namin kayo kung paano maiiwasan na magdulot ng kaguluhan sa iyong system sa unang lugar. mga aparato sa pag-iimbak (NAS). Ito ay itinuturing na isang sopistikadong variant ng modular malware na pangunahing target ang mga aparato sa pag-network mula sa iba't ibang mga tagagawa.

Sa una, ang malware ay napansin sa mga Linksys, NETGEAR, MikroTik, at mga TP-Link network device. Natuklasan ito sa mga aparatong QNAP NAS din. Sa ngayon, mayroong humigit-kumulang na 500,000 impeksyon sa 54 na mga bansa, na ipinapakita ang napakalawak na abot at pagkakaroon nito.

Mula sa hitsura nito, ang mga kagamitan sa pag-network mula sa ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti, at ZTE ay may mga palatandaan ng impeksyon.

Hindi tulad ng karamihan sa iba pang malware na naka-target sa IoT, mahirap na alisin ang VPNFilter dahil dito nagpapatuloy kahit na matapos ang isang pag-reboot ng system. Ang nagpapatunay na mahina sa mga pag-atake nito ay ang mga aparato na gumagamit ng kanilang mga default na kredensyal sa pag-login, o ang mga may kilalang mga zero-day na kahinaan na wala pang mga pag-update sa firmware.

Parehong mga negosyante at maliit na tanggapan ng opisina o bahay na opisina ay kilala na isang target ng malware na ito. Itala ang mga sumusunod na tatak at modelo ng router:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Mga Upvel Device -mga hindi kilalang mga modelo
  • ZTE Devices ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Iba pang QNAP Ang mga NAS device na nagpapatakbo ng QTS software

Ang isang karaniwang denominator sa karamihan ng mga naka-target na aparato ay ang kanilang paggamit ng mga default na kredensyal. Alam din nila ang mga pagsasamantala, lalo na para sa mga mas lumang bersyon.

Ano ang Ginagawa ng VPNFilter Malware sa Mga Infected na Device? Gumagana ito sa tatlong yugto: Minamarkahan nito ang pag-install at pagpapanatili ng isang paulit-ulit na pagkakaroon sa isang target na aparato. Makikipag-ugnay ang malware sa isang server ng command at control (C & amp; C) upang mag-download ng mga karagdagang module at maghintay ng mga tagubilin. Sa yugtong ito, maraming mga built-in na kalabisan upang hanapin ang Mga Stage 2 C & amp; Cs sakaling magkaroon ng pagbabago sa imprastraktura habang inilalagay ang banta. Stage 1 VPNNa makatiis ang filter sa isang pag-reboot.

Stage 2

Nagtatampok ito ng pangunahing kargamento. Bagaman hindi ito maaaring magpatuloy sa pamamagitan ng isang pag-reboot, mayroon itong maraming mga kakayahan. Nagagawa nitong mangolekta ng mga file, magpatupad ng mga utos, at magsagawa ng data exfiltration at pamamahala ng aparato. Pagpapatuloy sa mga mapanirang epekto nito, maaaring "brick" ng malware ang aparato sa sandaling makatanggap ito ng isang utos mula sa mga umaatake. Isinasagawa ito sa pamamagitan ng pag-o-overtake ng isang bahagi ng firmware ng aparato at kasunod na pag-reboot. Ginagawa ng mga kriminal na kilos na hindi magamit ang aparato.

Yugto 3

Maraming mga kilalang modyul na ito ng umiiral at kumikilos bilang mga plugin para sa Yugto 2. Ito ay binubuo ng isang packet sniffer upang maniktik sa trapiko na na-redirect sa pamamagitan ng aparato, na nagpapagana sa pagnanakaw ng kredensyal ng website at pagsubaybay ng mga protokol ng Modbus SCADA. Hinahayaan ng isa pang modyul ang Stage 2 na ligtas na makipag-usap sa pamamagitan ng Tor. Batay sa pagsisiyasat sa Cisco Talos, ang isang module ay nagbibigay ng nakakasamang nilalaman sa trapiko na dumadaan sa aparato. Sa ganitong paraan, ang mga umaatake ay maaaring higit na makaapekto sa mga nakakonektang aparato.

Noong Hunyo 6, dalawang iba pang mga module ng Stage 3 ang nakalantad. Ang una ay tinatawag na "ssler," at maaari nitong maharang ang lahat ng trapiko na dumadaan sa aparato gamit ang port 80. Pinapayagan nitong tingnan ng mga sumasalakay ang trapiko sa web at maharang ito upang maipatupad ang tao sa mga gitnang pag-atake. Maaari, halimbawa, baguhin ang mga kahilingan sa HTTPS sa mga HTTP, na nagpapadala ng diumano'y naka-encrypt na data nang hindi ligtas. Ang pangalawa ay tinawag na "dstr," na nagsasama ng isang command na pumatay sa anumang module ng Stage 2 na kulang sa tampok na ito. Kapag naisakatuparan, tatanggalin nito ang lahat ng mga bakas ng malware bago ito brick ang aparato.

Narito ang pitong higit pang mga module ng Stage 3 na isiniwalat noong Setyembre 26:
  • htpx - Gumagana ito tulad din ng ssler, pag-redirect at pag-inspeksyon sa lahat ng trapiko ng HTTP na dumadaan sa apektadong aparato upang makilala at mai-log ang anumang maipapatupad ng Windows. Maaari nitong maipatupad ang Trojan-ize habang dumadaan sa mga nahawaang router, na hinahayaan na mag-install ng malware ang mga nagsasalakay sa iba't ibang mga makina na konektado sa parehong network.
  • ndbr - Ito ay itinuturing na isang multi-function na SSH tool.
  • nm - Ang module na ito ay isang sandata ng pagmamapa ng network para sa pag-scan ng lokal na subnet .
  • netfilter - Ang pagtanggi sa utility ng serbisyo na ito ay maaaring hadlangan ang pag-access sa ilang mga naka-encrypt na app.
  • portforwarding - Ipinapasa nito ang trapiko sa network sa mga imprastrakturang tinutukoy ng mga umaatake.
  • socks5proxy - Nagbibigay-daan ito sa isang SOCKS5 proxy na maitatag sa mga mahina na aparato. Ang malware ay malamang na gawa ng isang entity ng pag-hack na nai-sponsor ng estado. Pangunahin na impeksyon ay pangunahing nadama sa Ukraine, na madaling maiugnay ang kilos sa pangkat ng pag-hack na Fancy Bear at mga pangkat na sinusuportahan ng Russia.

    Gayunpaman, ito ay naglalarawan ng sopistikadong likas na katangian ng VPNFilter. Hindi ito maiuugnay sa isang malinaw na pinagmulan at isang tukoy na pangkat ng pag-hack, at may isang tao pa na susulong upang iangkin ang responsibilidad para dito. Ang isang sponsor na pambansang estado ay pinag-isipan dahil ang SCADA kasama ng iba pang mga pang-industriya na protokol ng system ay may komprehensibong mga patakaran at pag-target sa malware. Bumalik noong Mayo 2018, kinuha ng ahensya ang domain ng ToKnowAll.com, naisip na magiging instrumento sa pag-install at pag-utos sa Stage 2 at 3 VPNFilter. Nakatulong ang pag-agaw na mapahinto ang pagkalat ng malware, ngunit nabigo itong maabot ang pangunahing img.

    Sa anunsyo nitong Mayo 25, naglabas ang FBI ng isang kagyat na kahilingan para sa mga gumagamit na i-reboot ang kanilang mga router sa Wi-Fi sa bahay upang matigil ang isang malaking pag-atake sa malware na nakabatay sa dayuhan. Sa oras na iyon, tinukoy ng ahensya ang mga banyagang cybercriminal para sa pagkompromiso sa maliit na mga router ng Wi-Fi sa opisina at bahay - kasama ang iba pang mga aparato sa network - ng daang libo. Ako?

    Ang magandang balita ay ang iyong router ay malamang na hindi magtaglay ng nakakapinsalang malware kung tiningnan mo ang listahan ng VPNFilter router na ibinigay namin sa itaas. Ngunit palaging pinakamahusay na nagkakamali sa pag-iingat. Ang Symantec, para sa isa, ay nagpapatakbo ng VPNFilter Check upang masubukan mo kung apektado ka o hindi. Tumatagal lamang ng ilang segundo upang mapatakbo ang tseke.

    Ngayon, narito ang bagay. Paano kung talagang nahawahan ka? Galugarin ang mga hakbang na ito:
    • I-reset ang iyong router. Susunod, patakbuhin muli ang VPNFilter Check muli.
    • I-reset ang iyong router sa mga setting ng pabrika nito.
    • Isaalang-alang ang pag-disable ng anumang mga setting ng remote na pamamahala sa iyong aparato.
    • I-download ang pinakabagong firmware para sa iyong router. Kumpletuhin ang isang malinis na pag-install ng firmware, perpektong walang router na gumagawa ng isang koneksyon sa online habang isinasagawa ang proseso.
    • Kumpletuhin ang isang buong pag-scan ng system sa iyong computer o aparato na nakakonekta sa nahawaang router. Huwag kalimutang gumamit ng isang maaasahang tool sa pag-optimize ng PC upang gumana kasabay ng iyong pinagkakatiwalaang malware scanner.
    • I-secure ang iyong mga koneksyon. Protektahan ang iyong sarili ng isang de-kalidad na bayad na VPN na may track record ng topnotch online na privacy at seguridad.
    • Ugaliing baguhin ang mga default na kredensyal sa pag-login ng iyong router, pati na rin ang iba pang mga IoT o NAS device .
    • Mag-install ng isang firewall at maayos na na-configure upang mapanatili ang mga hindi magagandang bagay sa iyong network.
    • I-secure ang iyong mga aparato gamit ang malakas, natatanging mga password.
    • Paganahin ang pag-encrypt .

    Kung ang iyong router ay maaaring maapektuhan, maaaring magandang ideya na suriin sa website ng gumawa para sa anumang bagong impormasyon at mga hakbang na gagawin upang maprotektahan ang iyong mga aparato. Ito ay isang agarang hakbang na gagawin, dahil ang lahat ng iyong impormasyon ay dumadaan sa iyong router. Kapag ang isang router ay nakompromiso, ang privacy at seguridad ng iyong aparato ay nakataya.

    Buod

    Ang VPNFilter malware ay maaari ding maging isa sa pinakamalakas at pinaka-hindi masisira na banta na tumama sa negosyo at maliit na tanggapan o mga router sa bahay kamakailan lamang kasaysayan Una itong nakita sa mga Linksys, NETGEAR, MikroTik, at mga TP-Link network device at mga QNAP NAS device. Maaari mong matagpuan ang listahan ng mga apektadong router sa itaas.

    Gumagana ito sa tatlong yugto at ginagawang hindi maipatakbo ang mga router, nangongolekta ng impormasyong dumadaan sa mga router, at kahit na hinaharangan ang trapiko sa network. Ang pagtuklas pati na rin ang pag-aralan ang aktibidad ng network ay nananatiling isang mahirap na gawain.

    Sa artikulong ito, binabalangkas namin ang mga paraan upang makatulong na maipagtanggol ang iyong sarili mula sa malware at mga hakbang na maaari mong gawin kung nakompromiso ang iyong router. Ang mga kahihinatnan ay kahila-hilakbot, kaya't hindi ka dapat umupo sa mahalagang gawain ng pag-check sa iyong mga aparato.

    Youtube Video.: Paano Kilalanin at Ayusin ang VPNFilter Malware Ngayon

    04, 2024