Sådan finder du VPNFilter-malware, inden det ødelægger din router

Reklame

Router, netværksenhed og Internet of Things malware er stadig mere almindeligt. De fleste fokuserer på at inficere sårbare enheder og føje dem til kraftfulde botnet. Routere og Internet of Things (IoT) enheder er altid tændt, altid online og venter på instruktioner. Derefter perfekt botnetfoder.

Men ikke alle malware er den samme.

VPNFilter er en destruktiv malware-trussel mod routere, IoT-enheder og endda nogle netværksbaserede lagerenheder (NAS). Hvordan tjekker du for en VPNFilter malware-infektion? Og hvordan kan du rydde op i det? Lad os se nærmere på VPNFilter.

Hvad er VPNFilter?

VPNFilter er en sofistikeret modulær malware-variant, der primært er rettet mod netværksenheder fra en lang række producenter såvel som NAS-enheder. VPNFilter blev oprindeligt fundet på Linksys, MikroTik, NETGEAR og TP-Link netværksenheder samt QNAP NAS-enheder med omkring 500.000 infektioner i 54 lande.

Det hold, der afslørede VPNFilter, Cisco Talos, for nylig opdaterede detaljer vedrørende malware, hvilket indikerer, at netværksudstyr fra producenter som ASUS, D-Link, Huawei, Ubiquiti, UPVEL og ZTE nu viser VPNFilter-infektioner. Imidlertid påvirkes ikke Cisco-netværksenheder i skrivende stund.

Malware er i modsætning til de fleste andre IoT-fokuserede malware, fordi den fortsætter efter en systemstart, hvilket gør det vanskeligt at udrydde. Enheder, der bruger deres standard login-legitimationsoplysninger eller med kendte nul-dages sårbarheder, der ikke har modtaget firmwareopdateringer, er især sårbare.

Hvad gør VPNFilter?

Så VPNFilter er en “flertrins, modulær platform” der kan forårsage ødelæggende skader på enheder. Desuden kan det også tjene som en dataindsamlingstrussel. VPNFilter fungerer i flere faser.

Scene 1: VPNFilter Stage 1 opretter et strandhoved på enheden ved at kontakte dens kommando- og kontrolserver (C&C) for at downloade yderligere moduler og afvente instruktioner. Fase 1 har også flere indbyggede afskedigelser til at lokalisere fase 2 C & C'er i tilfælde af infrastrukturændring under installationen. Stage 1 VPNFilter-malware er også i stand til at overleve en genstart, hvilket gør det til en robust trussel.

Fase 2: VPNFilter Stage 2 vedvarer ikke gennem en genstart, men den leveres med en bredere vifte af muligheder. Fase 2 kan indsamle private data, udføre kommandoer og forstyrre enhedsstyring. Der er også forskellige versioner af trin 2 i naturen. Nogle versioner er udstyret med et destruktivt modul, der overskriver en partition af enhedens firmware, genstarter derefter igen for at gøre enheden ubrugelig (malware mister routeren, IoT eller NAS-enheden, i bund og grund).

Trin 3: VPNFilter Stage 3-moduler fungerer som plugins til fase 2, hvilket udvider funktionaliteten af ​​VPNFilter. Et modul fungerer som en pakkesniffer, der indsamler indgående trafik på enheden og stjæler legitimationsoplysninger. En anden tillader Stage 2-malware at kommunikere sikkert ved hjælp af Tor. Cisco Talos fandt også et modul, der indsprøjter skadeligt indhold i trafik, der passerer gennem enheden, hvilket betyder, at hackeren kan levere yderligere udnyttelse til andre tilsluttede enheder gennem en router, IoT eller NAS apparat.

Derudover muliggør VPNFilter-moduler "tyveri af webstedets legitimationsoplysninger og overvågning af Modbus SCADA-protokoller."

Photo Sharing Meta

En anden interessant (men ikke nyligt opdaget) funktion ved VPNFilter-malware er dens anvendelse af onlinedelingstjenester for fotos til at finde IP-adressen på sin C&C-server. Talos-analysen fandt, at malware peger på en række Photobucket-URL'er. Malware henter første billede i galleriet URL-referencerne og udtrækker en server-IP-adresse, der er skjult i billedet metadata.

IP-adressen "er trukket ud fra seks heltalværdier for GPS-breddegrad og -længde i EXIF-informationen." Hvis dette mislykkes, Stage 1 malware falder tilbage til et almindeligt domæne (toknowall.com — mere om dette nedenfor) for at downloade billedet og prøve det samme behandle.

Målrettet pakkesniffing

Den opdaterede Talos-rapport afslørede nogle interessante indblik i VPNFilter-pakkesniffemodulet. I stedet for bare at hove alt sammen, har det et ret strengt sæt regler, der er målrettet mod bestemte typer trafik. Specifikt, trafik fra industrielle kontrolsystemer (SCADA), der opretter forbindelse via TP-Link R600 VPN'er, forbindelser til en liste over foruddefinerede IP-adresser (angiver en avanceret viden om andre netværk og ønskelig trafik) samt datapakker på 150 byte eller større.

Craig William, senior teknologileder og global outreach manager hos Talos, fortalte Ars, ”De leder efter meget specifikke ting. De prøver ikke at samle så meget trafik, som de kan. De følger efter meget små ting som legitimationsoplysninger og adgangskoder. Vi har ikke meget intel til det andet end det virker utroligt målrettet og utroligt sofistikeret. Vi forsøger stadig at finde ud af, hvem de brugte det til. ”

Hvor kom VPNFilter fra?

VPNFilter menes at være arbejdet i en statssponseret hackinggruppe. At den oprindelige stigning i VPNFilter-infektionen overvejende føltes i hele Ukraine, pegede indledende fingre på russisk-støttede fingeraftryk og hacking-gruppen, Fancy Bear.

Imidlertid er dette sofistikeret af malware, der er ingen klar genesis, og ingen hackinggruppe, nationalstat eller på anden måde har trådt frem for at hævde malware. I betragtning af de detaljerede malware-regler og målretning af SCADA og andre industrielle systemprotokoller synes en nationalstatsaktør mest sandsynligt.

Uanset hvad jeg tror, ​​mener FBI, at VPNFilter er en Fancy Bear-skabelse. I maj 2018, FBI greb et domæne—ToKnowAll.com — det blev antaget at have været brugt til at installere og kommandere Stage 2 og Stage 3 VPNFilter malware. Domænes beslaglæggelse hjalp bestemt med at stoppe den øjeblikkelige spredning af VPNFilter, men gjorde ikke hoved arterien afskåret; den ukrainske SBU tog ned et VPNFilter-angreb på et kemisk forarbejdningsanlæg i juli 2018 for en.

VPNFilter bærer også ligheder med BlackEnergy malware, en APT-trojan, der bruges mod en lang række ukrainske mål. Igen, selvom dette langt fra er fuldstændig bevismateriale, stammer den systemiske målretning mod Ukraine overvejende fra hackinggrupper med russiske bånd.

Er jeg inficeret med VPNFilter?

Chancerne er, at din router ikke har VPNFilter malware. Men det er altid bedre at være sikker end undskyld:

1. Tjek denne liste til din router. Hvis du ikke er på listen, er alt i orden.
2. Du kan gå til Symantec VPNFilter-kontrolwebsted. Marker afkrydsningsfeltet og klik derefter på Kør VPNFilter Check knap i midten. Testen afsluttes inden for få sekunder.

Jeg er inficeret med VPNFilter: Hvad gør jeg?

Hvis Symantec VPNFilter Check bekræfter, at din router er inficeret, har du et klart handlingsforløb.

1. Nulstil din router, og kør derefter VPNFilter Check igen.
2. Nulstil din router til fabriksindstillinger.
3. Download den nyeste firmware til din router, og udfør en ren firmwareinstallation, helst uden at routeren opretter en online forbindelse under processen.

Derudover skal du gennemføre komplette systemscanninger på hver enhed, der er tilsluttet den inficerede router.

Du skal altid ændre standard-loginoplysningerne på din router såvel som alle IoT- eller NAS-enheder (IoT-enheder gør ikke denne opgave let Hvorfor tingenes internet er det største sikkerhed mareridtEn dag kommer du hjem fra arbejde for at opdage, at dit sky-aktiverede sikkerhedssystem til hjemmet er blevet brudt. Hvordan kunne dette ske? Med Internet of Things (IoT) kunne du finde ud af den hårde måde. Læs mere ) hvis det overhovedet er muligt. Selvom der er bevis for, at VPNFilter kan undgå nogle firewalls, med en installeret og korrekt konfigureret 7 enkle tip til at sikre din router og dit Wi-Fi-netværk på få minutterSnuffer og tæpper nogen på din Wi-Fi-trafik og stjæler dine adgangskoder og kreditkortnumre? Vil du endda vide, om der var nogen? Sandsynligvis ikke, så sikre dit trådløse netværk med disse 7 enkle trin. Læs mere vil hjælpe med at holde en masse andre grimme ting ud af dit netværk.

Pas på router Malware!

Router malware er stadig mere almindeligt. IoT-malware og sårbarheder er overalt, og med antallet af enheder, der kommer online, vil det kun blive værre. Din router er omdrejningspunktet for data i dit hjem. Alligevel får den ikke næsten lige så stor sikkerhed opmærksomhed som andre enheder.

Kort fortalt, din router er ikke sikker, som du tror 10 måder din router ikke er så sikker som du trorHer er 10 måder, din router kan udnyttes af hackere og drive-by trådløse kaprere. Læs mere .