Kuinka tunnistaa ja korjata VPNFilter-haittaohjelma nyt (04.27.24)

Kaikkia haittaohjelmia ei luoda tasa-arvoisesti. Yksi todiste tästä on VPNFilter-haittaohjelmien olemassaolo, uudenlainen reitittimen haittaohjelma, jolla on tuhoisia ominaisuuksia. Yksi sen erityispiirteistä on se, että se voi selviytyä uudelleenkäynnistyksestä, toisin kuin useimmat muut esineiden internetin (IoT) uhat.

Anna tämän artikkelin opastaa tunnistamaan VPNFilter-haittaohjelmat ja sen kohdeluettelo. Opetamme myös, miten voit estää sitä tuhoamasta järjestelmääsi.

Mikä on VPNFilter-haittaohjelma?

Ajattele VPNFilteriä tuhoisana haittaohjelmana, joka uhkaa reitittimiä, IoT-laitteita ja jopa verkkoon liitettyjä tallennuslaitteet (NAS). Sitä pidetään kehittyneenä modulaarisena haittaohjelmaversiona, joka kohdistuu pääasiassa eri valmistajien verkkolaitteisiin.

Aluksi haittaohjelma havaittiin Linksys-, NETGEAR-, MikroTik- ja TP-Link-verkkolaitteissa. Se löydettiin myös QNAP NAS -laitteista. Tähän mennessä 54 maassa on noin 500 000 infektiota, mikä osoittaa sen valtavan ulottuvuuden ja läsnäolon.

Cisco Talos, VPNFilterin paljastanut tiimi, tarjoaa laajan blogiviestin sen ympärillä olevista haittaohjelmista ja teknisistä yksityiskohdista. Ulkonäöltään ASUS: n, D-Linkin, Huawei: n, UPVEL: n, Ubiqiuitin ja ZTE: n verkkolaitteilla on merkkejä tartunnasta.

Toisin kuin useimmat muut IoT-kohteisiin haittaohjelmat, VPNFilter on vaikea poistaa, koska se jatkuu myös järjestelmän uudelleenkäynnistyksen jälkeen. Hyökkäyksille alttiiksi osoittautuvat laitteet, jotka käyttävät oletusarvoisia kirjautumistunnuksiaan, tai laitteet, joilla on tunnettuja nollapäivän haavoittuvuuksia ja joilla ei ole vielä ollut laiteohjelmistopäivityksiä.

Laitteet, joihin VPNFilter-haittaohjelma tiedetään vaikuttavan

Sekä yritys- että pienen toimiston tai kotitoimiston reitittimet tiedetään olevan tämän haittaohjelman kohde. Ota huomioon seuraavat reitittimen tuotemerkit ja mallit:

Asus RT-AC66U
Asus RT-N10
Asus RT-N10E
Asus RT-N10U
Asus RT-N56U
Asus RT-N66U
D-Link DES-1210-08P
D-Link DIR-300
D-Link DIR-300A
D-Link DSR-250N
D-Link DSR-500N
D-Link DSR-1000
D-Link DSR-1000N
Linksys E1200
Linksys E2500
Linksys E3000
Linksys E3200
Linksys E4200
Linksys RV082
Huawei HG8245
Linksys WRVS4400N
Netgear DG834
Netgear DGN1000
Netgear DGN2200
Netgear DGN3500
Netgear FVS318N
Netgear MBRN3000
Netgear R6400
Netgear R7000
Netgear R8000
Netgear WNR1000
Netgear WNR2000
Netgear WNR2200
Netgear WNR4000
Netgear WNDR3700
Netgear WNDR4000
Netgear WNDR4300
Netgear WNDR4300-TN
Netgear UTM50
MikroTik CCR1009
MikroTik CCR1016
MikroTik CCR1036
MikroTik CCR1072
MikroTik CRS109
MikroTik CRS112
MikroTik CRS125
MikroTik RB411
MikroTik RB450
MikroTik RB750
MikroTik RB911
MikroTik RB921
MikroTik RB941
MikroTik RB951
MikroTik RB952
MikroTik RB960
MikroTik RB962
MikroTik RB1100
MikroTik RB1200
MikroTik RB2011
MikroTik RB3011
MikroTik RB ura
MikroTik RB Omnitik
MikroTik STX5
TP-Link R600VPN
TP-Link TL-WR741ND
TP-Link TL-WR841N
Ubiquiti NSM2
Ubiquiti PBE M5
Upvel Devices -tunnetut mallit
ZTE-laitteet ZXHN H108N
QNAP TS251
QNAP TS439 Pro
Muu QNAP QAS-ohjelmistoa käyttävät NAS-laitteet

Useimpien kohdennettujen laitteiden yhteinen nimittäjä on niiden oletusarvoisten tunnistetietojen käyttö. Heillä on myös tunnettuja hyödyntämistoimia, etenkin vanhemmille versioille.

Mitä VPNFilter-haittaohjelma tekee tartunnan saaneille laitteille?

VPNFilter toimii aiheuttamalla heikentäviä vahinkoja vahingoittuneille laitteille sekä toimiessaan tiedonkeruutapana. Se toimii kolmessa vaiheessa:

Vaihe 1

Tämä merkitsee asennusta ja jatkuvan läsnäolon ylläpitämistä kohdelaitteessa. Haittaohjelma ottaa yhteyttä komento- ja ohjauspalvelimeen (C & amp; C) lisämoduulien lataamiseksi ja ohjeiden odottamiseksi. Tässä vaiheessa on useita sisäänrakennettuja irtisanomisia vaiheen 2 C ja Cs paikantamiseksi, jos infrastruktuurin muutos tapahtuu uhkaa käytettäessä. Vaihe 1 VPNFilter kestää uudelleenkäynnistyksen.

Vaihe 2

Tässä on tärkein hyötykuorma. Vaikka se ei kykene jatkamaan uudelleenkäynnistystä, sillä on enemmän ominaisuuksia. Se pystyy keräämään tiedostoja, suorittamaan komentoja ja suorittamaan tietojen suodattamisen ja laitteiden hallinnan. Jatkamalla sen tuhoisia vaikutuksia haittaohjelma voi "tiilistä" laitetta saatuaan komennon hyökkääjiltä. Tämä suoritetaan korvaamalla laitteen laiteohjelmiston osa ja käynnistämällä se uudelleen. Rikokset tekevät laitteen käyttökelvottomaksi.

Vaihe 3

Tästä on olemassa useita tunnettuja moduuleja, jotka toimivat vaiheen 2 laajennuksina. Ne käsittävät pakettien nuuskijaa vakoilemaan laitteen kautta kulkevaa liikennettä, mikä mahdollistaa verkkosivustojen tunnistetietovarkaudet Modbus SCADA -protokollien seuranta. Toinen moduuli antaa vaiheen 2 turvallisen yhteyden Torin kautta. Cisco Talos -tutkimuksen perusteella yksi moduuli tarjoaa haitallista sisältöä laitteen läpi kulkevalle liikenteelle. Näin hyökkääjät voivat edelleen vaikuttaa yhdistettyihin laitteisiin.

6. kesäkuuta kaksi muuta Stage 3 -moduulia paljastettiin. Ensimmäistä kutsutaan "ssleriksi", ja se voi siepata kaiken laitteen läpi kulkevan liikenteen portin 80 kautta. Sen avulla hyökkääjät voivat tarkastella verkkoliikennettä ja siepata sen suorittaakseen ihmisen keskimmäisissä hyökkäyksissä. Se voi esimerkiksi muuttaa HTTPS-pyynnöt HTTP-pyyntöihin lähettämällä oletetusti salattuja tietoja epävarmasti. Toinen on nimeltään "dstr", joka sisältää kill-komennon mihin tahansa Stage 2 -moduuliin, josta puuttuu tämä ominaisuus. Suoritettuaan se poistaa kaikki haittaohjelman jäljet ennen kuin se laittaa laitteen.

Tässä on seitsemän muuta 3. vaiheen moduulia, jotka paljastettiin 26. syyskuuta:

htpx - Se toimii Aivan kuten ssler, ohjaa ja tarkistaa kaiken tartunnan saaneen laitteen läpi kulkevan HTTP-liikenteen Windows-suoritustiedostojen tunnistamiseksi ja kirjaamiseksi. Se voi Troijan-ize-suoritettavia tiedostoja käydä läpi tartunnan saaneita reitittimiä, mikä antaa hyökkääjille mahdollisuuden asentaa haittaohjelmia useisiin samaan verkkoon liitettyihin koneisiin.
ndbr - Tätä pidetään monitoimisena SSH-työkaluna.
nm - Tämä moduuli on verkon kartoitusase paikallisen aliverkon skannaamiseen. .
netfilter - Tämä palveluneston apuohjelma voi estää joidenkin salattujen sovellusten pääsyn.
portforwarding - Se välittää verkkoliikenteen hyökkääjien määrittelemään infrastruktuuriin.
socks5proxy - SOCKS5-välityspalvelimen voi luoda haavoittuville laitteille.

VPNFilterin alkuperä paljastettu

Tämä haittaohjelma on todennäköisesti valtion tukeman hakkerointiyksikön työtä. Alkuperäiset infektiot tuntuivat ensisijaisesti Ukrainassa, mikä johtui helposti hakkerointiryhmästä Fancy Bear ja Venäjän tukemista ryhmistä.

Tämä havainnollistaa kuitenkin VPNFilterin hienostunutta luonnetta. Sitä ei voida yhdistää selvään alkuperään ja tiettyyn hakkerointiryhmään, ja jonkun on vielä astuttava eteenpäin vastuun ottamiseksi siitä. Kansalaisvaltioiden sponsoreita spekuloidaan, koska SCADA: lla ja muilla teollisuusjärjestelmien protokollilla on kattavat haittaohjelmasäännöt ja kohdistaminen.

Jos kuitenkin kysytään FBI: ltä, VPNFilter on Fancy Bearin aivotiede. Toukokuussa 2018 virasto takavarikoi ToKnowAll.com-verkkotunnuksen, jonka uskottiin olevan tärkeä vaihe 2 ja 3 VPNFilterin asennuksessa ja komentamisessa. Takavarikko auttoi pysäyttämään haittaohjelmien leviämisen, mutta se ei onnistunut käsittelemään pääkuvaa.

FBI ilmoitti 25. toukokuuta antamassaan ilmoituksessa käyttäjille kiireellisen pyynnön käynnistää Wi-Fi-reitittimet uudelleen kotona lopettaakseen suuren ulkomaisen haittaohjelmahyökkäyksen. Tuolloin virasto havaitsi ulkomaiset verkkorikolliset vahingoittamasta pieniä toimisto- ja kodin Wi-Fi-reitittimiä - yhdessä muiden verkkolaitteiden kanssa - sadalla tuhannella.

Olen vain tavallinen käyttäjä - mitä VPNFilter Attack tarkoittaa Minä?

Hyvä uutinen on, että reitittimessäsi ei todennäköisesti ole haittaohjelmia, jos tarkistat yllä antamamme VPNFilter-reitittöluettelon. Mutta on aina parasta erehtyä varovaisuuden puolella. Symantec suorittaa VPNFilter Check -sovelluksen, jotta voit testata, vaikuttako sinuun vai ei. Tarkistuksen suorittaminen kestää vain muutaman sekunnin.

Tässä on asia. Entä jos olet todella saanut tartunnan? Tutki näitä vaiheita:

Nollaa reititin. Suorita sitten VPNFilter Check uudelleen.
Palauta reitittimen tehdasasetukset.
Harkitse laitteesi kaikkien etähallinta-asetusten poistamista käytöstä.
Lataa reitittimesi uusin laiteohjelmisto. Suorita puhdas laiteohjelmiston asennus, mieluiten ilman, että reititin muodostaa verkkoyhteyttä prosessin ollessa käynnissä.
Suorita täydellinen järjestelmän tarkistus tietokoneella tai laitteella, joka on liitetty tartunnan saaneen reitittimeen. Älä unohda käyttää luotettavaa PC-optimointityökalua työskennellessäsi luotettavan haittaohjelmien skannerin kanssa.
Suojaa yhteydet. Suojaudu korkealuokkaisella maksullisella VPN: llä, jolla on huippuluokan online-tietosuoja ja tietoturva.
Ota tapana vaihtaa reitittimesi sekä muiden IoT- tai NAS-laitteiden oletusarvoiset kirjautumistiedot .
Pyydä palomuuria asentamaan ja määrittämään oikein pitämään huonot asiat verkosta.
Suojaa laitteesi vahvoilla, yksilöllisillä salasanoilla.
Ota salaus käyttöön .

Jos reitittimesi vaikuttaa mahdollisesti, voi olla hyvä tarkistaa valmistajan verkkosivustolta uusia tietoja ja toimenpiteitä laitteidesi suojaamiseksi. Tämä on välitön askel, koska kaikki tietosi kulkevat reitittimen kautta. Kun reititin vaarantuu, laitteidesi yksityisyys ja turvallisuus ovat vaakalaudalla.

Yhteenveto

VPNFilter-haittaohjelma voi olla yhtä voimakkaimmista ja tuhoutumattomimmista uhista, joka osuu yritys- ja pientoimisto- tai kotireitittimiin viime aikoina. historia. Se havaittiin alun perin Linksys-, NETGEAR-, MikroTik- ja TP-Link-verkkolaitteissa ja QNAP NAS -laitteissa. Löydät luettelon ongelmista reitittimistä yllä.

VPNFilter-ohjelmaa ei voida ohittaa aloitettuaan noin 500 000 infektiota 54 maassa. Se toimii kolmessa vaiheessa ja tekee reitittimistä toimintakyvyttömiä, kerää reitittimien läpi kulkevaa tietoa ja jopa estää verkkoliikenteen. Verkkotoiminnan havaitseminen ja analysointi on edelleen vaikea tehtävä.

Tässä artikkelissa hahmoteltiin tapoja suojautua haittaohjelmilta ja vaiheet, joita voit tehdä, jos reitittimesi on vaarantunut. Seuraukset ovat ankarat, joten sinun ei pitäisi koskaan istua tärkeässä tehtävässä tarkistaa laitteesi.

YouTube-video: Kuinka tunnistaa ja korjata VPNFilter-haittaohjelma nyt

04, 2024

Kuinka tunnistaa ja korjata VPNFilter-haittaohjelma nyt (04.27.24)

YouTube-video: Kuinka tunnistaa ja korjata VPNFilter-haittaohjelma nyt

Artikkelit

3 tapaa korjata WoW-Quest-alue, joka ei näy minimikartassa

Kuinka parantaa pelin suorituskykyä Androidissa

5 tapaa korjata Razer Synapse Not Change Color

Suosituimmat sovellukset, jotka auttavat sinua löytämään tuntemattoman soittajan

Ristiriita ei tunnista League of Legends: 3 tapaa korjata

Viimeisimmät artikkelit

Suosituimmat Android-sovellukset IT-aloittelijoille

3 tapaa korjata portaali Stromgardeen, joka ei toimi WoW

Dominos vs. baarimikko WoW: Mikä ero

Miksi Iron Golem ei kutu Minecraftissa

Minecraft jumissa lastausmaastossa: 4 tapaa korjata