Роутер, сетевое устройство и вредоносные программы Интернета вещей становятся все более распространенными. Большинство фокусируется на заражении уязвимых устройств и добавлении их в мощные бот-сети. Маршрутизаторы и устройства Интернета вещей (IoT) всегда включены, всегда подключены к сети и ждут инструкций. Тогда идеальный корм для ботнетов.
Но не все вредоносные программы одинаковы.
VPNFilter представляет собой разрушительную вредоносную угрозу для маршрутизаторов, устройств IoT и даже некоторых сетевых устройств хранения (NAS). Как вы проверяете наличие вредоносного ПО VPNFilter? И как ты можешь это убрать? Давайте внимательнее посмотрим на VPNFilter.
Что такое VPNFilter?
VPNFilter — это сложный модульный вариант вредоносного ПО, который в первую очередь предназначен для сетевых устройств широкого круга производителей, а также устройств NAS. Изначально VPNFilter был обнаружен на сетевых устройствах Linksys, MikroTik, NETGEAR и TP-Link, а также на устройствах QNAP NAS, с 500 000 заражений в 54 странах.
Команда, которая обнаружила VPNFilter , Cisco Talos, недавно обновила сведения о вредоносном ПО, указав, что сетевое оборудование от таких производителей, как ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE, теперь показывает заражение VPNFilter. Однако на момент написания статьи сетевые устройства Cisco не были затронуты.
Вредоносное ПО отличается от большинства других IoT-ориентированных вредоносных программ, поскольку оно сохраняется после перезагрузки системы, что затрудняет его уничтожение. Устройства, использующие свои учетные данные по умолчанию или известные уязвимости нулевого дня, которые не получили обновлений встроенного программного обеспечения, особенно уязвимы.
Что делает VPNFilter?
Итак, VPNFilter — это «многоступенчатая модульная платформа», которая может нанести разрушительный ущерб устройствам . Кроме того, это также может служить угрозой сбора данных. VPNFilter работает в несколько этапов.
Этап 1: этап VPNFilter 1 устанавливает плацдарм на устройстве, связываясь с его сервером управления и контроля (C & C) для загрузки дополнительных модулей и ожидания инструкций. Стадия 1 также имеет несколько встроенных избыточностей для обнаружения C & C Стадии 2 в случае изменения инфраструктуры во время развертывания. Вредоносная программа Stage 1 VPNFilter также способна пережить перезагрузку, что делает ее серьезной угрозой.
Стадия 2: VPNFilter Стадия 2 не сохраняется после перезагрузки, но она имеет более широкий диапазон возможностей. Этап 2 может собирать личные данные, выполнять команды и вмешиваться в управление устройством. Кроме того, есть разные версии Стадии 2 в дикой природе. Некоторые версии оснащены деструктивным модулем, который перезаписывает раздел прошивки устройства, а затем перезагружается, чтобы сделать устройство непригодным для использования (вредоносная программа блокирует маршрутизатор, IoT или устройство NAS, в основном).
Этап 3: VPNFilter Модули Stage 3 работают как плагины для Stage 2, расширяя функциональные возможности VPNFilter. Один модуль действует как анализатор пакетов, который собирает входящий трафик на устройстве и похищает учетные данные. Другое позволяет вредоносной программе Stage 2 безопасно общаться с помощью Tor. Cisco Talos также обнаружил один модуль, который внедряет вредоносный контент в трафик, проходящий через устройство, что означает, что хакер может доставлять другие эксплойты на другие подключенные устройства через маршрутизатор, IoT или устройство NAS.
Кроме того, модули VPNFilter «допускают кражу учетных данных веб-сайта и мониторинг протоколов SCADA Modbus».
Мета обмена фотографиями
Еще одна интересная (но не недавно обнаруженная) особенность вредоносного ПО VPNFilter — использование онлайн-служб обмена фотографиями для определения IP-адреса своего C & C-сервера. Анализ Talos обнаружил, что вредоносная программа указывает на серию URL-адресов Photobucket. Вредоносная программа загружает первое изображение в галерее, на которое ссылается URL, и извлекает IP-адрес сервера, скрытый в метаданных изображения.
IP-адрес «извлекается из шести целочисленных значений широты и долготы GPS в информации EXIF». Если это не удается, вредоносная программа этапа 1 возвращается к обычному домену (toknowall.com — подробнее об этом ниже), чтобы загрузить изображение и попробуйте тот же процесс.
Целевой пакет нюхает
Обновленный отчет Talos выявил некоторые интересные идеи о модуле сниффинга пакетов VPNFilter. Вместо того, чтобы просто пылесосить все, у него есть довольно строгий набор правил, предназначенных для определенных типов трафика. В частности, трафик от промышленных систем управления (SCADA), которые соединяются с использованием VPN TP-Link R600, соединения со списком предварительно определенных IP-адресов (что указывает на расширенные знания о других сетях и желаемый трафик), а также пакеты данных по 150 байт. или больше
Крейг Уильям, старший технологический лидер и глобальный менеджер по связям с общественностью в Talos, сказал Арсу : «Они ищут очень конкретные вещи. Они не пытаются собрать как можно больше трафика. Они после некоторых очень маленьких вещей, таких как учетные данные и пароли. У нас не так много информации, кроме того, что это кажется невероятно целенаправленным и невероятно сложным. Мы все еще пытаемся выяснить, на ком они это использовали ».
Откуда взялся VPNFilter?
VPNFilter считается работой хакерской группы, спонсируемой государством . То, что первоначальный всплеск заражения VPNFilter ощущался преимущественно по всей Украине, первые пальцы указывали на отпечатки пальцев, поддерживаемые русскими, и хакерскую группу Fancy Bear.
Тем не менее, такова сложность вредоносного программного обеспечения, нет четкого генезиса, и ни одна хакерская группа, национальное государство или иное, не выступила с заявлением о наличии вредоносного ПО. Принимая во внимание подробные правила для вредоносных программ и таргетирование SCADA и других протоколов промышленных систем, субъект от национального государства, скорее всего, действительно.
Независимо от того, что я думаю, ФБР считает VPNFilter творением Fancy Bear. В мае 2018 года ФБР захватило домен — ToknowAll.com, который, как считается, использовался для установки и управления вредоносными программами VPNFilter на уровне 2 и этапе 3. Захват домена, безусловно, помог остановить немедленное распространение VPNFilter, но не разорвал основную артерию; Украинская СБУ приняла удар VPNFilter на химическом заводе в июле 2018, например.
VPNFilter также имеет сходство с вредоносной программой BlackEnergy, APT-трояном, который используется против широкого спектра украинских целей. Опять же, хотя это далеко не полное свидетельство, системное нацеливание на Украину в основном происходит от хакерских групп с российскими связями.
Я заражен VPNFilter?
Скорее всего, ваш маршрутизатор не содержит вредоносного ПО VPNFilter. Но всегда лучше быть в безопасности, чем потом сожалеть
- Проверьте этот список для вашего роутера. Если вас нет в списке, все в порядке.
- Вы можете перейти на сайт Symantec VPNFilter Check . Установите флажок «Условия и положения», затем нажмите кнопку « Выполнить проверку VPNFilter» в середине. Тест завершается в течение нескольких секунд.
Я заражен VPNFilter: что мне делать?
Если Symantec VPNFilter Check подтверждает, что ваш маршрутизатор заражен, у вас есть четкий порядок действий.
- Перезагрузите маршрутизатор, затем снова запустите проверку VPNFilter.
- Сброс вашего роутера до заводских настроек.
- Загрузите последнюю версию микропрограммы для своего маршрутизатора и выполните чистую установку микропрограммы, желательно, чтобы маршрутизатор не подключался к Интернету во время процесса.
В дополнение к этому вам необходимо выполнить полное сканирование системы на каждом устройстве, подключенном к зараженному маршрутизатору.
Вы должны всегда изменять учетные данные по умолчанию для своего маршрутизатора, а также любых устройств IoT или NAS (устройства IoT не облегчают эту задачу. , Кроме того, хотя есть свидетельства того, что VPNFilter может обойти некоторые брандмауэры, имея один установленный и правильно настроенный поможет избежать множества других неприятных вещей в вашей сети.
Остерегайтесь вредоносных программ маршрутизатора!
Вредоносное ПО для роутеров становится все более распространенным. Вредоносные программы и уязвимости IoT повсюду, а количество подключаемых устройств будет только ухудшаться. Ваш маршрутизатор является центром данных в вашем доме. Тем не менее, он не получает почти такого же внимания к безопасности, как другие устройства.
Проще говоря, ваш маршрутизатор не защищен, как вы думаете которыми ваш маршрутизатор не так безопасен, как вы думаете которыми ваш маршрутизатор не так безопасен, как вы думаете