כיצד לזהות ולתקן תוכנות זדוניות של VPNFilter כעת (04.25.24)

לא כל התוכנות הזדוניות נוצרות שוות. אחת ההוכחות לכך היא קיומה של תוכנה זדונית VPNFilter , זן חדש של תוכנות זדוניות לנתב בעל תכונות הרסניות. מאפיין מובהק אחד שיש לה הוא שהוא יכול לשרוד אתחול מחדש, בניגוד לרוב האיומים האחרים של Internet of Things (IoT).

תן למאמר זה להנחות אותך בזיהוי התוכנה הזדונית של VPNFil וכן את רשימת היעדים שלה. אנו נלמד אותך מלכתחילה למנוע ממנה להרוס הרס במערכתך.

מה זה VPNFilter תוכנה זדונית? התקני אחסון (NAS). זה נחשב לריאציה מתקדמת של תוכנות זדוניות המתמקדות בעיקר במכשירי רשת מיצרנים שונים.

בתחילה, התוכנה הזדונית זוהתה בהתקני רשת Linksys, NETGEAR, MikroTik ו- TP-Link. זה התגלה גם במכשירי QNAP NAS. נכון להיום, ישנם כ -500,000 זיהומים ב -54 מדינות, המדגימים את טווח ההגעה והנוכחות העצומים שלה.

סיסקו טאלוס, הצוות שחשף את VPNFilter, מספק פוסט בבלוג נרחב על התוכנות הזדוניות והפרטים הטכניים סביבו. על פי המראה שלו, לציוד הרשת של ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti ו- ZTE יש סימני זיהום. נמשך גם לאחר אתחול מחדש של המערכת. הוכחה שהם פגיעים להתקפותיה הם מכשירים המשתמשים באישורי הכניסה המוגדרים כברירת מחדל שלהם, או כאלה עם נקודות תורפה ידועות של אפס יום שעדיין לא היו עדכוני קושחה.

מכשירים הידועים כ- VPNFilter Malware המושפעים מכך.

ידועים כי נתבים ארגוניים ומשרדים קטנים או משרדים ביתיים הם יעד לתוכנה זדונית זו. שימו לב למותגי הנתבים והדגמים הבאים:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • התקני Upvel -דגמים לא ידועים
  • ZTE Devices ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • QNAP אחר מכשירי NAS המריצים תוכנת QTS

מכנה משותף בקרב מרבית המכשירים הממוקדים הוא השימוש בתעודות ברירת מחדל. יש להם גם מעללים ידועים, במיוחד עבור גרסאות ישנות יותר.

מה עושה תוכנות זדוניות של VPNFilter למכשירים נגועים?

VPNFilter פועל בכדי לגרום נזק מתיש למכשירים המושפעים וכן משמש כשיטה לאיסוף נתונים. זה עובד בשלושה שלבים:

שלב 1

זה מסמן התקנה ושמירה על נוכחות מתמשכת במכשיר היעד. התוכנה הזדונית תפנה לשרת פיקוד ובקרה (C & amp; C) על מנת להוריד מודולים נוספים ולהמתין להוראות. בשלב זה, קיימים מספר יתירות מובנות לאיתור שלב 2 C & amp; Cs במקרה שמתרחש שינוי בתשתית בזמן הפעלת האיום. שלב 1 VPNFilter יכול לעמוד בהפעלה מחדש.

שלב 2

זה כולל את המטען העיקרי. למרות שהוא לא מסוגל להתמיד באמצעות אתחול מחדש, יש לו יכולות רבות יותר. הוא מסוגל לאסוף קבצים, לבצע פקודות ולבצע סינון נתונים וניהול מכשירים. בהמשך להשפעותיו ההרסניות, התוכנה הזדונית יכולה "לבנה" את המכשיר ברגע שהוא מקבל פקודה מהתוקפים. זה מבוצע באמצעות החלפת חלק מקושחת ההתקן והאתחול מחדש. המעשים הפליליים הופכים את המכשיר לבלתי שמיש.

שלב 3

כמה מודולים ידועים של זה קיימים ומשמשים כתוספים עבור שלב 2. אלה כוללים מריח מנות כדי לרגל אחר תעבורה שמנותבת דרך המכשיר, ומאפשר גניבת אישורי אתר מעקב אחר פרוטוקולי SCADA של Modbus. מודול נוסף מאפשר לשלב 2 לתקשר בצורה מאובטחת באמצעות Tor. בהתבסס על חקירת סיסקו טאלוס, מודול אחד מספק תוכן זדוני לתעבורה שעוברת דרך המכשיר. בדרך זו, תוקפים יכולים להשפיע עוד יותר על המכשירים המחוברים.

ב- 6 ביוני נחשפו שני מודולים שלב 3 נוספים. הראשון נקרא "סלסלר", והוא יכול ליירט את כל התעבורה העוברת דרך המכשיר באמצעות יציאה 80. הוא מאפשר לתוקפים לראות את תעבורת הרשת וליירט אותה כדי לבצע את האדם בהתקפות באמצע. זה יכול, למשל, לשנות בקשות HTTPS לבקשות HTTP, ולשלוח כביכול נתונים מוצפנים בצורה לא בטוחה. השני נקרא "dstr", המשלב פקודת kill לכל מודול שלב 2 חסר תכונה זו. לאחר הביצוע, זה יבטל את כל עקבות התוכנה הזדונית לפני שהיא לבנה את המכשיר.

להלן שבעה מודולים שלב 3 נוספים שנחשפו ב -26 בספטמבר:
  • htpx - זה עובד בדיוק כמו ססלר, הפניית ובדיקת כל תעבורת HTTP העוברת דרך המכשיר הנגוע על מנת לזהות ולהריץ כל הפעלה של Windows. הוא יכול להפעיל קובצי הפעלה מסוג Trojan-ize תוך כדי מעבר בנתבים נגועים, המאפשרים לתוקפים להתקין תוכנות זדוניות במחשבים שונים המחוברים לאותה רשת.
  • ndbr - זה נחשב לכלי SSH רב פונקציות.
  • nm - מודול זה הוא כלי נשק למיפוי רשת לסריקת רשת המשנה המקומית .
  • netfilter - מניעת שירות זה יכולה לחסום גישה לאפליקציות מוצפנות מסוימות.
  • העברת פורט - היא מעבירה תעבורת רשת. לתשתית שנקבעה על ידי תוקפים.
  • socks5proxy - זה מאפשר להקים פרוקסי SOCKS5 בהתקנים פגיעים.
מקורות VPNFilter נחשף

זה תוכנות זדוניות הן ככל הנראה עבודתה של גוף פריצה בחסות המדינה. זיהומים ראשוניים הורגשו בעיקר באוקראינה, וייחסו בקלות את המעשה לקבוצת הפריצה דובי מהודר ולקבוצות הנתמכות על ידי רוסיה.

עם זאת, זה ממחיש את האופי המתוחכם של VPNFilter. זה לא יכול להיות קשור למוצא ברור ולקבוצת פריצות ספציפית, ומישהו עדיין לא צריך להתקדם כדי לתבוע אחריות עליו. נותנים חסות למדינת לאום משערים כיוון ש- SCADA לצד פרוטוקולי מערכת תעשייתיים אחרים כוללים כללים ומיקוד זדוני מקיף.

אם אתה שואל את ה- FBI, VPNFilter הוא פרי מוחו של Fancy Bear. בחודש מאי 2018, הסוכנות תפסה את תחום ה- ToKnowAll.com, שנחשב ככלי רב להתקנה ולפקודה על שלב 2 ו -3 VPNFilter. ההתקף עזר לעצור את התפשטות התוכנה הזדונית, אך הוא לא הצליח להתמודד עם התמונה העיקרית.

בהודעתה ב -25 במאי, ה- FBI מגיש בקשה דחופה למשתמשים לאתחל מחדש את נתבי ה- Wi-Fi שלהם בבית כדי לעצור מתקפה זדונית גדולה המבוססת על זרים. באותה תקופה, הסוכנות איתרה את עברייני הסייבר הזרים על פגיעה בנתבי Wi-Fi משרדים קטנים וביתיים - יחד עם מכשירי רשת אחרים - במאה אלף. אני?

החדשות הטובות הן שהנתב שלך לא צפוי לטפל בתוכנות זדוניות מזיקות אם בדקת את רשימת הנתבים של VPNFilter שסיפקנו לעיל. אבל זה תמיד הכי טוב לטעות בצד הזהירות. סימנטק, למשל, מפעילה את בדיקת ה- VPNFilter כדי שתוכל לבדוק אם אתה מושפע או לא. זה לוקח רק כמה שניות להריץ את ההמחאה.

עכשיו, העניין. מה אם אתה נגוע בפועל? בצע את השלבים הבאים:
  • אפס את הנתב שלך. לאחר מכן, הפעל את בדיקת ה- VPNFilter פעם נוספת.
  • אפס את הנתב שלך להגדרות היצרן.
  • שקול להשבית כל הגדרות ניהול מרחוק במכשיר שלך.
  • הורד את הקושחה המעודכנת ביותר עבור הנתב שלך. השלם התקנת קושחה נקייה, באופן אידיאלי מבלי שהנתב ייצור חיבור מקוון בזמן התהליך.
  • השלם סריקת מערכת מלאה במחשב שלך או במכשיר שהתחבר לנתב הנגוע. אל תשכח להשתמש בכלי אופטימיזציה למחשבים אישיים לעבודה בשילוב עם סורק התוכנות הזדוניות המהימנות שלך.
  • אבטח את החיבורים שלך. הגן על עצמך באמצעות VPN איכותי בתשלום עם רקורד פרטיות ואבטחה מקוונת ביותר.
  • הרגל לשנות את אישורי הכניסה המוגדרים כברירת מחדל של הנתב שלך, כמו גם מכשירי IoT או NAS אחרים. .
  • התקן חומת אש ומוגדרת כראוי כדי לשמור על הדברים הרעים מחוץ לרשת שלך.
  • אבטח את המכשירים שלך באמצעות סיסמאות חזקות וייחודיות.
  • אפשר הצפנה. .

אם הנתב שלך עשוי להיות מושפע, זה יכול להיות רעיון לבדוק באתר היצרן מידע כלשהו וצעדים חדשים לנקוט כדי להגן על המכשירים שלך. זהו צעד מיידי לנקוט, מכיוון שכל המידע שלך עובר דרך הנתב שלך. כאשר נתב נמצא בסכנה, פרטיות ואבטחת המכשירים שלך עומדים על כף המאזניים.

סיכום

התוכנה הזדונית של VPNFilter עשויה להיות אחד האיומים החזקים ביותר והבלתי ניתנים להריסה לפגוע בנתבים ארגוניים ומשרדים ביתיים קטנים לאחרונה הִיסטוֹרִיָה. תחילה זוהה במכשירי רשת Linksys, NETGEAR, MikroTik ו- TP-Link ומכשירי QNAP NAS. תוכל למצוא את רשימת הנתבים המושפעים למעלה.

לא ניתן להתעלם מ- VPNFilter לאחר ייזום של כ -500,000 זיהומים ב -54 מדינות. זה עובד בשלושה שלבים והופך את הנתבים לבלתי תפקוד, אוסף מידע שעובר דרך הנתבים ואפילו חוסם את תעבורת הרשת. איתור וניתוח פעילות הרשת שלה נותרים התחייבות קשה.

במאמר זה, התווינו דרכים לעזור להתגונן מפני תוכנות זדוניות והצעדים שאתה יכול לנקוט אם הנתב שלך נפגע. ההשלכות הן קשות, לכן לעולם אל תשב למשימה החשובה של בדיקת המכשירים שלך.

סרטון יוטיוב: כיצד לזהות ולתקן תוכנות זדוניות של VPNFilter כעת

04, 2024