Kaip nustatyti ir išspręsti „VPNFilter“ kenkėjišką programą dabar (04.18.24)

Ne visos kenkėjiškos programos sukurtos vienodai. Vienas iš to įrodymų yra VPNFilter kenkėjiškos programos - naujos rūšies maršrutizatorių kenkėjiškų programų, turinčių žalingų savybių, egzistavimas. Viena išskirtinių savybių yra tai, kad ji gali išgyventi iš naujo, priešingai nei dauguma kitų daiktų interneto (IoT) grėsmių.

Leiskite šiame straipsnyje nurodyti, kaip atpažinti kenkėjišką programą „VPNFilter“ ir jos taikinių sąrašą. Mes taip pat išmokysime, kaip pirmiausia užkirsti kelią jūsų sistemos niokojimui.

Kas yra „VPNFilter“ kenkėjiška programa?

Pagalvokite apie „VPNFilter“ kaip apie žalingą kenkėjišką programą, kuri kelia grėsmę maršrutizatoriams, daiktų interneto įrenginiams ir netgi prie tinklo prijungtoms programoms. saugojimo (NAS) įrenginiai. Tai laikoma sudėtingu moduliniu kenkėjiškų programų variantu, kuris daugiausia skirtas skirtingų gamintojų tinklo įrenginiams.

Iš pradžių kenkėjiška programa buvo aptikta „Linksys“, „NETGEAR“, „MikroTik“ ir „TP-Link“ tinklo įrenginiuose. Tai buvo atrasta ir QNAP NAS įrenginiuose. Iki šiol 54 šalyse yra apie 500 000 infekcijų, parodančių didžiulį jos pasiekiamumą ir buvimą.

„Cisco Talos“, komanda, atskleidusi „VPNFilter“, pateikia platų tinklaraščio įrašą apie kenkėjiškas programas ir aplink esančią techninę informaciją. Iš pažiūros, ASUS, „D-Link“, „Huawei“, UPVEL, „Ubiqiuiti“ ir ZTE tinklo įranga turi infekcijos požymių.

Skirtingai nuo daugumos kitų IoT kenkėjiškų programų, „VPNFilter“ sunku pašalinti, nes ji išlieka net po sistemos perkrovimo. Įrenginiai, kurie naudojasi numatytaisiais prisijungimo duomenimis, arba tie, kurie turi žinomų nulinės dienos pažeidžiamumų, kurie dar neturi programinės aparatinės įrangos atnaujinimų.

Įrenginiai, kuriuos veikia „VPNFilter“ kenkėjiškos programos.

Žinoma, kad ši kenkėjiška programa yra tiek įmonės, tiek mažų biurų ar namų biuro maršrutizatoriai. Atkreipkite dėmesį į šiuos maršrutizatorių prekės ženklus ir modelius:

  • „Asus RT-AC66U“
  • „Asus RT-N10“
  • „Asus RT-N10E“
  • „Asus RT-N10U“
  • „Asus RT-N56U“
  • „Asus RT-N66U“
  • „D-Link DES-1210-08P“
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • „D-Link DSR-1000“
  • „D-Link DSR-1000N“
  • „Linksys E1200“
  • „Linksys E2500“
  • „Linksys E3000“
  • „Linksys E3200“
  • „Linksys E4200“
  • „Linksys RV082“
  • „Huawei HG8245“
  • „Linksys WRVS4400N“
  • „Netgear DG834“
  • „Netgear DGN1000“
  • „Netgear DGN2200“
  • „Netgear DGN3500“
  • „Netgear FVS318N“
  • „Netgear MBRN3000“
  • „Netgear R6400“
  • „Netgear R7000“
  • „Netgear R8000“
  • „Netgear WNR1000“
  • „Netgear WNR2000“
  • „Netgear WNR2200“
  • „Netgear WNR4000“
  • „Netgear WNDR3700“
  • „Netgear WNDR4000“
  • „Netgear WNDR4300“
  • „Netgear WNDR4300-TN“
  • „Netgear UTM50“
  • „MikroTik CCR1009“
  • „MikroTik CCR1016“
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • „MikroTik RB952“
  • „MikroTik RB960“
  • „MikroTik RB962“
  • „MikroTik RB1100“
  • „MikroTik RB1200“
  • „MikroTik RB2011“
  • „MikroTik RB3011“
  • „MikroTik RB Groove“
  • „MikroTik RB Omnitik“
  • „MikroTik STX5“
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • „Ubiquiti NSM2“
  • „Ubiquiti PBE M5“
  • „Upvel Devices“ nežinomi modeliai
  • „ZTE“ įrenginiai ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • kiti QNAP NAS įrenginiai, kuriuose veikia QTS programinė įranga

Bendras daugelio tikslinių įrenginių vardiklis yra numatytųjų kredencialų naudojimas. Jie taip pat turi žinomų išnaudojimų, ypač senesnėms versijoms.

Ką daro kenkėjiška programa „VPNFilter“ užkrėstiems įrenginiams?

„VPNFilter“ veikia, kad padarytų silpną žalą paveiktiems įrenginiams ir būtų duomenų rinkimo metodas. Tai veikia trimis etapais:

1 etapas

Tai žymi įdiegimą ir nuolatinį buvimą tiksliniame įrenginyje. Kenkėjiška programa susisieks su komandų ir valdymo (C & amp; C) serveriu, norėdama atsisiųsti papildomų modulių ir laukti instrukcijų. Šiame etape yra daugybė įmontuotų atleidimų, norint nustatyti 2 C ir Cs etapus, jei infrastruktūra pasikeis, kol grėsmė bus diegiama. 1 etapas „VPNFilter“ gali atlaikyti perkrovimą.

2 etapas

Tai turi pagrindinę naudingąją apkrovą. Nors jis negali išlikti perkraunant, jis turi daugiau galimybių. Jis sugeba rinkti failus, vykdyti komandas, atlikti duomenų filtravimą ir įrenginių valdymą. Tęsdama žalingą poveikį, kenkėjiška programa gali „sumūryti“ įrenginį, kai gauna komandą iš užpuolikų. Tai vykdoma perrašant dalį įrenginio programinės aparatinės įrangos ir vėliau perkraunant. Nusikalstamos veikos daro prietaisą netinkamą naudoti.

3 etapas

Yra keli žinomi šio moduliai ir veikia kaip 2 etapo papildiniai. Tai apima paketų kvapų užpylimą, kad būtų galima šnipinėti srautą, nukreipiamą per įrenginį, leidžiantį pavogti svetainės kredencialus „Modbus SCADA“ protokolų sekimas. Kitas modulis leidžia 2 etapui saugiai bendrauti per „Tor“. Remiantis „Cisco Talos“ tyrimu, vienas modulis pateikia kenkėjišką turinį srautui, einančiam per įrenginį. Tokiu būdu užpuolikai gali dar labiau paveikti prijungtus įrenginius.

Birželio 6 d. buvo parodyti dar du 3 etapo moduliai. Pirmasis yra vadinamas „ssler“, ir jis gali perimti visą srautą, einantį per įrenginį, naudodamas 80 prievadą. Tai leidžia užpuolikams peržiūrėti žiniatinklio srautą ir perimti jį, kad įvykdytų žmogų per vidurio atakas. Pavyzdžiui, jis gali pakeisti HTTPS užklausas į HTTP, nesaugiai siunčiant tariamai šifruotus duomenis. Antrasis vadinamas „dstr“, kuris įtraukia komandą „kill“ į bet kurį 2 etapo modulį, kuriam trūksta šios funkcijos. Vykdžius, bus pašalinti visi kenkėjiškos programos pėdsakai, kol ji neprijungs įrenginio.

Štai dar septyni 3 etapo moduliai, atskleisti rugsėjo 26 d .:
  • htpx - tai veikia kaip ir ssler, peradresuodamas ir tikrindamas visą HTTP srautą, einantį per užkrėstą įrenginį, kad būtų galima nustatyti ir užregistruoti visus „Windows“ vykdomuosius failus. Tai gali „Trojan-ize“ vykdomieji failai, einant per užkrėstus maršrutizatorius, leidžiančius užpuolikams įdiegti kenkėjiškas programas įvairiose mašinose, prijungtose prie to paties tinklo.
  • ndbr - tai laikoma daugiafunkciu SSH įrankiu.
  • nm - šis modulis yra tinklo žemėlapio ginklas vietiniam potinkliui nuskaityti. .
  • netfilter - šis paslaugų atsisakymo įrankis gali užblokuoti prieigą prie kai kurių užšifruotų programų.
  • portforwarding - persiunčia tinklo srautą. į užpuolikų nustatytą infrastruktūrą.
  • socks5proxy - tai leidžia sukurti SOCKS5 tarpinį serverį pažeidžiamuose įrenginiuose.
Atskleista „VPNFilter“ kilmė

Tai kenkėjiškos programos greičiausiai yra valstybės remto įsilaužimo subjekto darbas. Pirminės infekcijos pirmiausia buvo juntamos Ukrainoje, nesunkiai tai buvo nulemta įsilaužimų grupei „Fancy Bear“ ir Rusijos remiamoms grupėms.

Tačiau tai parodo sudėtingą „VPNFilter“ pobūdį. Tai negali būti siejama su aiškia kilme ir konkrečia įsilaužimų grupe, ir kažkas dar turi žengti pirmyn, kad prisiimtų atsakomybę už tai. Nacionalinės valstybės rėmėjas yra spėliojamas, nes SCADA kartu su kitais pramoninės sistemos protokolais turi išsamias kenkėjiškų programų taisykles ir taikymą.

Jei vis dėlto turėtumėte paklausti FTB, „VPNFilter“ yra „Fancy Bear“ idėja. 2018 m. Gegužės mėn. Agentūra konfiskavo domeną ToKnowAll.com, kuris, kaip manoma, buvo naudingas diegiant ir valdant 2 ir 3 etapų „VPNFilter“. Konfiskavimas padėjo sustabdyti kenkėjiškų programų plitimą, tačiau nepavyko išspręsti pagrindinio vaizdo.

Gegužės 25 d. FTB pateikia skubų prašymą vartotojams iš naujo paleisti „Wi-Fi“ maršrutizatorius namuose, kad sustabdytų didelę užsienyje vykdomą kenkėjiškų programų ataką. Tuo metu agentūra nurodė užsienio kibernetinius nusikaltėlius, kurie šimtu tūkstančių pažeidė mažus biuro ir namų „Wi-Fi“ maršrutizatorius kartu su kitais tinklo įrenginiais.

Aš esu paprastas vartotojas - ką reiškia „VPNFilter Attack“ Aš?

Geros naujienos yra tai, kad jūsų maršrutizatorius greičiausiai neturės kenkėjiškos kenkėjiškos programos, jei patikrinsite aukščiau pateiktą „VPNFilter“ maršrutizatorių sąrašą. Bet visada geriausia klysti atsargumo požiūriu. „Symantec“, pavyzdžiui, vykdo „VPNFilter Check“, kad galėtumėte patikrinti, ar jus tai paveikė, ar ne. Tikrinti reikia tik kelių sekundžių.

Dabar štai kas. Ką daryti, jei iš tikrųjų esate užkrėstas? Naršykite šiuos veiksmus:
  • Iš naujo nustatykite maršrutizatorių. Tada dar kartą paleiskite „VPNFilter Check“.
  • Atstatykite maršrutizatoriaus gamyklinius nustatymus.
  • Apsvarstykite galimybę išjungti bet kokius nuotolinio valdymo nustatymus savo įrenginyje.
  • Atsisiųskite naujausią maršrutizatoriaus programinę-aparatinę įrangą. Atlikite švarią programinės aparatinės įrangos diegimą, geriausia, kai maršrutizatorius neprisijungia prie interneto, kol vyksta procesas.
  • Užbaikite visą sistemos nuskaitymą kompiuteryje ar įrenginyje, kuris buvo prijungtas prie užkrėsto maršrutizatoriaus. Nepamirškite naudoti patikimo kompiuterio optimizavimo įrankio, kad galėtumėte dirbti kartu su patikimu kenkėjiškų programų skaitytuvu.
  • Saugokite ryšius. Apsaugokite save naudodamiesi aukštos kokybės mokamu VPT, turėdami geriausius internetinio privatumo ir saugumo įrašus.
  • Įpraskite pakeisti numatytuosius maršrutizatoriaus prisijungimo duomenis, taip pat kitus IoT ar NAS įrenginius. .
  • Įdiekite ir tinkamai sukonfigūruokite užkardą, kad blogi dalykai nepatektų į jūsų tinklą.
  • Apsaugokite savo įrenginius naudodami tvirtus, unikalius slaptažodžius.
  • Įgalinkite šifravimą. .

Jei tai gali paveikti jūsų maršrutizatorių, gali būti naudinga pasitikrinti gamintojo svetainėje naujos informacijos ir veiksmus, kurių reikia imtis norint apsaugoti įrenginius. Tai yra greitas žingsnis, nes visa jūsų informacija eina per maršrutizatorių. Pažeidus maršrutizatorių, kyla pavojus jūsų įrenginių privatumui ir saugumui.

Santrauka

„VPNFilter“ kenkėjiška programa taip pat gali būti viena iš stipriausių ir nesunaikinamų grėsmių pastaruoju metu paveikti įmonės ir mažų biurų ar namų maršrutizatorius istorija. Iš pradžių jis buvo aptiktas „Linksys“, „NETGEAR“, „MikroTik“ ir „TP-Link“ tinklo įrenginiuose bei „QNAP NAS“ įrenginiuose. Paveiktų maršrutizatorių sąrašą galite rasti aukščiau.

VPNFilter negalima ignoruoti pradėjus maždaug 500 000 infekcijų 54 šalyse. Jis veikia trimis etapais ir padaro maršrutizatorius neveikiančiais, renka per maršrutizatorius einančią informaciją ir net blokuoja tinklo srautą. Aptikti ir išanalizuoti tinklo veiklą išlieka nelengva.

Šiame straipsnyje mes apibūdinome būdus, kaip apsisaugoti nuo kenkėjiškų programų, ir veiksmus, kuriuos galite atlikti, jei jūsų maršrutizatorius pažeistas. Pasekmės yra sunkios, todėl niekada neturėtumėte atlikti svarbios užduoties - patikrinti savo įrenginius.

"YouTube" vaizdo įrašas: Kaip nustatyti ir išspręsti „VPNFilter“ kenkėjišką programą dabar

04, 2024