Как обнаружить вредоносное ПО с помощью VPNFilter до того, как оно уничтожит ваш маршрутизатор

Как обнаружить вредоносное ПО с помощью VPNFilter до того, как оно уничтожит ваш маршрутизатор

Вредоносные программы для маршрутизаторов, сетевых устройств и Интернета вещей становятся все более распространенными. Большинство из них сосредоточены на заражении уязвимых устройств и добавлении их в мощные ботнеты. Маршрутизаторы и устройства Интернета вещей (IoT) всегда включены, всегда в сети и ждут инструкций. Тогда идеальный корм для ботнета.





Но не все вредоносные программы одинаковы.



VPNFilter - это разрушительная вредоносная угроза для маршрутизаторов, устройств IoT и даже некоторых устройств сетевого хранения (NAS). Как проверить, не заражено ли VPNFilter вредоносным ПО? А как можно его почистить? Давайте подробнее рассмотрим VPNFilter.





Что такое VPNFilter?

VPNFilter - это сложный модульный вариант вредоносного ПО, который в первую очередь нацелен на сетевые устройства от широкого круга производителей, а также на устройства NAS. Первоначально VPNFilter был обнаружен на сетевых устройствах Linksys, MikroTik, NETGEAR и TP-Link, а также на NAS-устройствах QNAP, с примерно 500 000 заражений в 54 странах.

В команда, которая обнаружила VPNFilter , Cisco Talos, недавно обновленные детали относительно вредоносного ПО, что указывает на то, что сетевое оборудование таких производителей, как ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE, теперь демонстрирует заражение VPNFilter. Однако на момент написания не затрагивались никакие сетевые устройства Cisco.



Вредоносная программа отличается от большинства других вредоносных программ, ориентированных на IoT, поскольку она сохраняется после перезагрузки системы, что затрудняет ее искоренение. Особенно уязвимы устройства, использующие свои учетные данные по умолчанию или с известными уязвимостями нулевого дня, которые не получили обновления прошивки.

как найти историю дома

Что делает VPNFilter?

Итак, VPNFilter - это «многоступенчатая модульная платформа», которая может нанести серьезный ущерб устройствам. Кроме того, он также может служить угрозой для сбора данных. VPNFilter работает в несколько этапов.



Этап 1: VPNFilter Stage 1 устанавливает плацдарм на устройстве, связываясь с его сервером управления и контроля (C&C) для загрузки дополнительных модулей и ожидания инструкций. Этап 1 также имеет несколько встроенных резервов для обнаружения командных серверов Этапа 2 в случае изменения инфраструктуры во время развертывания. Вредоносная программа Stage 1 VPNFilter также способна пережить перезагрузку, что делает ее надежной угрозой.

2 этап: VPNFilter Stage 2 не сохраняется после перезагрузки, но имеет более широкий спектр возможностей. Этап 2 может собирать личные данные, выполнять команды и мешать управлению устройством. Кроме того, в дикой природе существуют разные версии Stage 2. Некоторые версии оснащены деструктивным модулем, который перезаписывает раздел микропрограммы устройства, а затем перезагружается, чтобы сделать устройство непригодным для использования (в основном вредоносная программа блокирует маршрутизатор, IoT или устройство NAS).



3 этап: Модули VPNFilter Stage 3 работают как плагины для Stage 2, расширяя функциональные возможности VPNFilter. Один модуль действует как анализатор пакетов, который собирает входящий трафик на устройстве и крадет учетные данные. Другой позволяет вредоносному ПО Stage 2 безопасно обмениваться данными с помощью Tor. Cisco Talos также обнаружила один модуль, который внедряет вредоносный контент в трафик, проходящий через устройство, что означает, что хакер может доставлять дополнительные эксплойты на другие подключенные устройства через маршрутизатор, IoT или устройство NAS.

Кроме того, модули VPNFilter «позволяют кражу учетных данных веб-сайтов и мониторинг протоколов Modbus SCADA».

Мета обмена фотографиями

Еще одна интересная (но не недавно обнаруженная) особенность вредоносного ПО VPNFilter - это использование онлайн-сервисов обмена фотографиями для определения IP-адреса своего C&C сервера. Анализ Talos показал, что вредоносная программа указывает на серию URL-адресов Photobucket. Вредоносная программа загружает первое изображение в галерее, на которое ссылается URL-адрес, и извлекает IP-адрес сервера, скрытый в метаданных изображения.

IP-адрес «извлекается из шести целочисленных значений широты и долготы GPS в информации EXIF». Если это не удается, вредоносная программа этапа 1 возвращается к обычному домену (toknowall.com - подробнее об этом ниже), чтобы загрузить образ и попытаться выполнить тот же процесс.

Целенаправленный анализ пакетов

Обновленный отчет Talos раскрыл некоторые интересные идеи о модуле сниффинга пакетов VPNFilter. Вместо того, чтобы просто перебирать все, он имеет довольно строгий набор правил, ориентированных на определенные типы трафика. В частности, трафик от промышленных систем управления (SCADA), которые подключаются с использованием виртуальных частных сетей TP-Link R600, подключения к списку заранее определенных IP-адресов (указывающих на расширенное знание других сетей и желаемый трафик), а также пакеты данных размером 150 байт. или больше.

Крейг Уильям, старший технологический руководитель и менеджер по работе с клиентами в Talos, сказал Арс «Они ищут очень конкретные вещи. Они не пытаются собрать как можно больше трафика. Им нужны очень мелкие вещи, такие как учетные данные и пароли. У нас не так много информации по этому поводу, кроме того, что она кажется невероятно целенаправленной и невероятно сложной. Мы все еще пытаемся выяснить, на кого они это использовали ».

Откуда появился VPNFilter?

Предполагается, что VPNFilter - это работа хакерской группы, спонсируемой государством. Первоначальный всплеск заражения VPNFilter ощущался преимущественно по всей Украине, первые пальцы указывали на поддерживаемые Россией отпечатки пальцев и хакерскую группу Fancy Bear.

Однако такова сложность вредоносного ПО, что нет четкого происхождения, и ни одна хакерская группа, национальная или какая-либо другая, не выступила вперед, чтобы заявить права на вредоносное ПО. Учитывая подробные правила для вредоносных программ и нацеливание на SCADA и другие протоколы промышленных систем, субъект на национальном уровне кажется наиболее вероятным.

Независимо от того, что я думаю, ФБР считает, что VPNFilter создан Fancy Bear. В мае 2018 года ФБР захватил домен --- ToKnowAll.com --- который, как предполагалось, использовался для установки и управления вредоносными программами Stage 2 и Stage 3 VPNFilter. Захват домена, безусловно, помог остановить немедленное распространение VPNFilter, но не перерезал главную артерию; Например, украинская СБУ отразила атаку VPNFilter на химический завод в июле 2018 года.

стоит ли волшебная клавиатура

VPNFilter также имеет сходство с вредоносным ПО BlackEnergy, APT-трояном, используемым против широкого круга украинских целей. Опять же, хотя это далеко не полное доказательство, системные нападения на Украину в основном исходят от хакерских групп, связанных с Россией.

Я заразился VPNFilter?

Скорее всего, ваш маршрутизатор не укрывает вредоносное ПО VPNFilter. Но всегда лучше перестраховаться, чем сожалеть:

  1. Проверить этот список для вашего роутера. Если вас нет в списке, все в порядке.
  2. Вы можете перейти на сайт Symantec VPNFilter Check. Установите флажок 'Условия использования', затем нажмите Запустите проверку VPNFilter кнопка посередине. Тест завершается за секунды.

Я заражен VPNFilter: что мне делать?

Если проверка Symantec VPNFilter подтверждает, что ваш маршрутизатор заражен, у вас есть четкий план действий.

  1. Сбросьте настройки маршрутизатора, затем снова запустите проверку VPNFilter.
  2. Сбросьте настройки роутера до заводских.
  3. Загрузите последнюю версию микропрограммы для вашего маршрутизатора и выполните чистую установку микропрограммы, желательно без подключения маршрутизатора к сети во время процесса.

Кроме того, вам необходимо выполнить полное сканирование системы на каждом устройстве, подключенном к зараженному маршрутизатору.

Вы всегда должны изменять учетные данные по умолчанию для вашего маршрутизатора, а также любых устройств IoT или NAS (устройства IoT не облегчают эту задачу), если это вообще возможно. Кроме того, хотя есть свидетельства того, что VPNFilter может обходить некоторые брандмауэры, иметь один установленный и правильно настроенный поможет уберечь вас от множества других неприятных вещей.

Остерегайтесь вредоносного ПО маршрутизатора!

Вредоносные программы для маршрутизаторов становятся все более распространенными. Вредоносные программы и уязвимости Интернета вещей есть повсюду, и с увеличением количества устройств, подключенных к сети, будет только хуже. Ваш роутер - это центр передачи данных в вашем доме. Тем не менее, ему не уделяется столько внимания с точки зрения безопасности, как другим устройствам.

Проще говоря, ваш маршрутизатор не так безопасен, как вы думаете.

Делиться Делиться Твитнуть Эл. адрес Руководство по анимации речи для новичков

Оживить речь может быть непросто. Если вы готовы начать добавлять диалог в свой проект, мы разберем этот процесс за вас.

Читать далее Похожие темы
  • Безопасность
  • Маршрутизатор
  • Интернет-безопасность
  • Интернет вещей
  • Вредоносное ПО
Об авторе Гэвин Филлипс(Опубликовано 945 статей)

Гэвин - младший редактор отдела Windows and Technology Explained, постоянный участник Really Useful Podcast и регулярный обозреватель продуктов. У него есть степень бакалавра (с отличием) в области современного письма с использованием методов цифрового искусства, разграбленных на холмах Девона, а также более десяти лет профессионального писательского опыта. Он любит много пить чая, настольные игры и футбол.

насколько горячим может быть компьютер
Ещё от Gavin Phillips

Подписывайтесь на нашу новостную рассылку

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Нажмите здесь, чтобы подписаться