Как определить и исправить вредоносное ПО VPNFilter прямо сейчас (03.28.24)

Не все вредоносные программы одинаковы. Одним из доказательств этого является наличие вредоносного ПО VPNFilter , нового вида вредоносного ПО для маршрутизаторов, обладающего деструктивными свойствами. Одна отличительная особенность этого метода заключается в том, что он может выдерживать перезагрузку, в отличие от большинства других угроз Интернета вещей (IoT).

Эта статья поможет вам определить вредоносное ПО VPNFilter, а также список его целей. Мы также научим вас, как в первую очередь предотвратить нанесение ущерба вашей системе.

Что такое вредоносное ПО VPNFilter?

Думайте о VPNFilter как о разрушительном вредоносном ПО, которое угрожает маршрутизаторам, устройствам Интернета вещей и даже сетевым устройства хранения (NAS). Он считается сложным модульным вариантом вредоносного ПО, предназначенным в основном для сетевых устройств разных производителей.

Изначально вредоносная программа была обнаружена на сетевых устройствах Linksys, NETGEAR, MikroTik и TP-Link. Он также был обнаружен в NAS-устройствах QNAP. На сегодняшний день зарегистрировано около 500 000 заражений в 54 странах, что свидетельствует о его широком охвате и присутствии.

Cisco Talos, команда, открывшая VPNFilter, опубликовала обширный пост в блоге о вредоносном ПО и технических подробностях, связанных с ним. Судя по всему, сетевое оборудование от ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti и ZTE имеет признаки заражения.

В отличие от большинства других вредоносных программ, нацеленных на Интернет вещей, VPNFilter трудно устранить, поскольку он сохраняется даже после перезагрузки системы. Уязвимыми для его атак являются устройства, использующие свои учетные данные по умолчанию, или устройства с известными уязвимостями нулевого дня, для которых еще не было обновлений прошивки.

Устройства, на которые повлияло вредоносное ПО VPNFilter.

Известно, что целью этого вредоносного ПО являются маршрутизаторы как для предприятий, так и для небольших или домашних офисов. Обратите внимание на следующие марки и модели маршрутизаторов:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Upvel Devices - неизвестные модели
  • Устройства ZTE ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Другие QNAP Устройства NAS с программным обеспечением QTS

Общим знаменателем для большинства целевых устройств является использование учетных данных по умолчанию. У них также есть известные эксплойты, особенно для старых версий.

Что вредоносное ПО VPNFilter делает с зараженными устройствами?

VPNFilter наносит серьезный ущерб пораженным устройствам, а также служит методом сбора данных. Он работает в три этапа:

Этап 1

Отмечает установку и постоянное присутствие на целевом устройстве. Вредоносная программа свяжется с сервером управления и контроля (C&C), чтобы загрузить дополнительные модули и дождаться инструкций. На этом этапе существует несколько встроенных резервных средств для определения местоположения C & amp; C на этапе 2 на случай, если во время развертывания угрозы произойдет изменение инфраструктуры. Stage 1 VPNFilter выдерживает перезагрузку.

Stage 2

Это основная полезная нагрузка. Хотя он не может сохраняться после перезагрузки, у него есть больше возможностей. Он может собирать файлы, выполнять команды, осуществлять кражу данных и управление устройствами. Продолжая свой разрушительный эффект, вредоносная программа может «заблокировать» устройство после получения команды от злоумышленников. Это выполняется путем перезаписи части прошивки устройства и последующей перезагрузки. Преступные действия делают устройство непригодным для использования.

Этап 3

Существует несколько известных модулей, которые действуют как плагины для этапа 2. Они включают анализатор пакетов для отслеживания трафика, проходящего через устройство, что позволяет кражу учетных данных веб-сайта и отслеживание протоколов Modbus SCADA. Другой модуль позволяет Stage 2 безопасно обмениваться данными через Tor. Согласно исследованию Cisco Talos, один модуль предоставляет вредоносный контент для трафика, проходящего через устройство. Таким образом злоумышленники могут дополнительно повлиять на подключенные устройства.

6 июня были выставлены еще два модуля Этапа 3. Первый называется «ssler», и он может перехватывать весь трафик, проходящий через устройство, используя порт 80. Он позволяет злоумышленникам просматривать веб-трафик и перехватывать его для выполнения атак человека в середине. Он может, например, изменить запросы HTTPS на запросы HTTP, отправляя якобы зашифрованные данные небезопасно. Второй называется «dstr», который включает команду kill для любого модуля Stage 2, в котором отсутствует эта функция. После запуска он удалит все следы вредоносной программы, прежде чем она заблокирует устройство.

Вот еще семь модулей этапа 3, обнаруженных 26 сентября:
  • htpx - работает точно так же, как ssler, перенаправляет и проверяет весь HTTP-трафик, проходящий через зараженное устройство, чтобы идентифицировать и регистрировать любые исполняемые файлы Windows. Он может создавать троянские программы для исполняемых файлов при прохождении через зараженные маршрутизаторы, что позволяет злоумышленникам устанавливать вредоносное ПО на различные машины, подключенные к одной сети.
  • ndbr - считается многофункциональным инструментом SSH.
  • nm - Этот модуль представляет собой сетевое картографическое оружие для сканирования локальной подсети. .
  • netfilter - эта утилита отказа в обслуживании может блокировать доступ к некоторым зашифрованным приложениям.
  • перенаправление портов - перенаправляет сетевой трафик в инфраструктуру, определенную злоумышленниками.
  • socks5proxy - позволяет установить прокси-сервер SOCKS5 на уязвимых устройствах.
Выявлено происхождение VPNFilter

Это вредоносное ПО, вероятно, является результатом работы хакерской организации, спонсируемой государством. Первоначальное заражение в первую очередь ощущалось в Украине, что легко объяснить хакерской группой Fancy Bear и поддерживаемыми Россией группами.

Это, однако, иллюстрирует сложную природу VPNFilter. Это не может быть связано с явным происхождением и конкретной хакерской группой, и кто-то еще не сделал шаг вперед, чтобы взять на себя ответственность за это. Предполагается, что спонсор будет национальным государством, поскольку SCADA наряду с другими протоколами промышленных систем имеет исчерпывающие правила для вредоносных программ и нацеливание.

Однако, если вы спросите ФБР, VPNFilter - это детище Fancy Bear. Еще в мае 2018 года агентство захватило домен ToKnowAll.com, который, как считается, сыграл важную роль в установке и управлении этапами 2 и 3 VPNFilter. Захват помог остановить распространение вредоносной программы, но не смог устранить основной файл img.

В своем сообщении от 25 мая ФБР срочно просит пользователей перезагрузить свои домашние маршрутизаторы Wi-Fi, чтобы остановить крупную зарубежную атаку вредоносного ПО. В то время агентство выявило иностранных киберпреступников, взломавших небольшие офисные и домашние маршрутизаторы Wi-Fi - вместе с другими сетевыми устройствами - на сотни тысяч.

Я просто обычный пользователь - что означает атака VPNFilter для Я?

Хорошая новость заключается в том, что ваш маршрутизатор вряд ли будет укрывать назойливую вредоносную программу, если вы проверили список маршрутизаторов VPNFilter, который мы предоставили выше. Но всегда лучше проявлять осторожность. Symantec, например, запускает проверку VPNFilter, чтобы вы могли проверить, пострадали вы или нет. Проверка займет всего несколько секунд.

Вот в чем дело. Что, если вы действительно инфицированы? Выполните следующие действия:
  • Сбросьте настройки маршрутизатора. Затем снова запустите проверку VPNFilter.
  • Сбросьте настройки маршрутизатора до заводских.
  • Рассмотрите возможность отключения любых настроек удаленного управления на вашем устройстве.
  • Загрузите самую последнюю версию прошивки для вашего маршрутизатора. Завершите установку чистой микропрограммы, в идеале без подключения маршрутизатора к сети во время процесса.
  • Выполните полное сканирование системы на вашем компьютере или устройстве, которое было подключено к зараженному маршрутизатору. Не забудьте использовать надежный инструмент оптимизации ПК для работы вместе с надежным сканером вредоносных программ.
  • Защитите свои соединения. Защитите себя с помощью высококачественной платной VPN с репутацией первоклассной конфиденциальности и безопасности в Интернете.
  • Возьмите за привычку менять учетные данные для входа по умолчанию на вашем маршрутизаторе, а также на других устройствах IoT или NAS .
  • Установите и правильно сконфигурируйте брандмауэр, чтобы не допустить попадания вредоносных программ в вашу сеть.
  • Защитите свои устройства надежными уникальными паролями.
  • Включите шифрование .

Если это потенциально может повлиять на ваш маршрутизатор, рекомендуется проверить на веб-сайте производителя новую информацию и меры, которые необходимо предпринять для защиты ваших устройств. Это незамедлительный шаг, поскольку вся ваша информация проходит через маршрутизатор. Когда маршрутизатор взломан, на карту поставлены конфиденциальность и безопасность ваших устройств.

Резюме

Вредоносное ПО VPNFilter может также быть одной из самых сильных и неразрушимых угроз для корпоративных и небольших офисов или домашних маршрутизаторов в последнее время история. Первоначально он был обнаружен на сетевых устройствах Linksys, NETGEAR, MikroTik и TP-Link, а также на устройствах QNAP NAS. Вы можете найти список затронутых маршрутизаторов выше.

VPNFilter нельзя игнорировать после инициации около 500 000 заражений в 54 странах. Он работает в три этапа и выводит маршрутизаторы из строя, собирает информацию, которая проходит через маршрутизаторы, и даже блокирует сетевой трафик. Обнаружение, а также анализ его сетевой активности остается сложной задачей.

В этой статье мы описали способы защиты от вредоносного ПО и шаги, которые можно предпринять, если ваш маршрутизатор был взломан. Последствия ужасны, поэтому вам никогда не следует откладывать важную задачу по проверке своих устройств.


YouTube видео: Как определить и исправить вредоносное ПО VPNFilter прямо сейчас

03, 2024