säkerhet

Hur Spot VPNFilter Malware innan det förstör din Router

Hur Spot VPNFilter Malware innan det förstör din Router / säkerhet

Router, nätverksenhet och Internet av saker som skadlig kod är allt vanligare. Mest fokuserar på att infektera utsatta enheter och lägga dem till kraftfulla botnät. Routrar och Internet-saker (IoT) -enheter är alltid uppkopplade, alltid online och väntar på instruktioner. Perfekt botnetfoder, då.

Men inte all skadlig kod är densamma.

VPNFilter är ett destruktivt malwarehot mot routrar, IoT-enheter och till och med några nätverksbundna lagringsenheter (NAS). Hur letar du efter en VPNFilter malwareinfektion? Och hur kan du rensa upp det? Låt oss titta närmare på VPNFilter.

Vad är VPNFilter?

VPNFilter är en sofistikerad modulär malwarevariant som främst är inriktad på nätverksenheter från ett stort antal tillverkare, såväl som NAS-enheter. VPNFilter hittades ursprungligen på Linksys, MikroTik, NETGEAR och TP-Link nätverksenheter, liksom QNAP NAS-enheter, med cirka 500 000 infektioner i 54 länder.

Teamet som avslöjade VPNFilter, Cisco Talos, uppdaterade nyligen information om malware, vilket visar att nätverksutrustning från tillverkare som ASUS, D-Link, Huawei, Ubiquiti, UPVEL och ZTE nu visar VPNFilter-infektioner. Men vid skrivningstillfället påverkas inga Cisco-nätverksenheter.

Malware är till skillnad från de flesta andra IoT-fokuserade skadliga program, eftersom det kvarstår efter ett system omstart, vilket gör det svårt att utrota. Enheter som använder sina standardinloggningsuppgifter eller med kända nolldagars sårbarheter som inte har fått uppdateringar av fast programvara är särskilt sårbara.

Vad gör VPNFilter?

Så, VPNFilter är en “flerstegs, modulär plattform” som kan orsaka förstörande skador på enheter. Dessutom kan det också fungera som ett datainsamlingshot. VPNFilter fungerar i flera steg.

Steg 1: VPNFilter Stage 1 etablerar en beachhead på enheten, kontakta sin kommando- och kontrollserver (C & C) för att ladda ner ytterligare moduler och vänta på instruktioner. Steg 1 har också flera inbyggda uppsägningar för att hitta steg 2 C & C i händelse av förändring av infrastrukturen under implementeringen. Steg 1 VPNFilter malware kan också överleva en omstart, vilket gör det till ett robust hot.

Steg 2: VPNFilter Stage 2 fortsätter inte genom en omstart, men det kommer med ett bredare utbud av funktioner. Steg 2 kan samla privata data, utföra kommandon och störa enhetshantering. Det finns också olika versioner av Steg 2 i naturen. Vissa versioner är utrustade med en destruktiv modul som skriver över en partition av enhetens firmware och startar om för att göra enheten oanvändbar (malware-tegelstenarna router, IoT eller NAS-enheten, i grunden).

Steg 3: VPNFilter Stage 3-moduler fungerar som plugins för steg 2, vilket utökar VPNFilters funktionalitet. En modul fungerar som en paketsniffer som samlar inkommande trafik på enheten och stjäl referenser. En annan tillåter att malware av steg 2 kommunicerar säkert med Tor. Cisco Talos fann också en modul som injicerar skadligt innehåll i trafiken som passerar enheten, vilket innebär att hackaren kan leverera ytterligare utnyttjande till andra anslutna enheter via en router, IoT eller NAS-enhet.

Dessutom VPNFilter moduler “tillåta stöld av webbplatsuppgifter och övervakning av Modbus SCADA-protokoll.”

Fotodelning Meta

En annan intressant (men inte nyupptäckt) funktion av VPNFilter malware är dess användning av online fotodelningstjänster för att hitta IP-adressen till dess C & C-server. Talosanalysen visade att malware pekar på en serie av Photobucket-webbadresser. Malware nedladdningar den första bilden i galleriet URL-adressen refererar till och extraherar en server-IP-adress dold inom bildmetadata.

IP-adressen “extraheras från sex heltalvärden för GPS latitud och longitud i EXIF-informationen.” Om det misslyckas faller malware 1 till en vanlig domän (toknowall.com-mer här nedan) för att ladda ner bilden och försöka samma process.

Targeted Packet Sniffing

Den uppdaterade Talos-rapporten avslöjade några intressanta insikter i VPNFilter-paketets sniffningsmodul. Snarare än att bara hoppa över allt, har det en ganska strikt uppsättning regler som riktar sig mot specifika typer av trafik. Speciellt trafik från industriella kontrollsystem (SCADA) som ansluter med TP-Link R600 VPN, anslutningar till en lista med fördefinierade IP-adresser (vilket indikerar avancerad kunskap om andra nätverk och önskad trafik) samt datapaket med 150 byte eller större.

Craig William, senior teknologisk ledare och global uppdragschef på Talos, berättade för Ars, “De letar efter mycket specifika saker. De försöker inte samla så mycket trafik som möjligt. De är efter vissa väldigt små saker som legitimationsuppgifter och lösenord. Vi har inte mycket intel på det andra än det verkar otroligt målinriktat och oerhört sofistikerat. Vi försöker fortfarande ta reda på vem de använde det på.”

Var kom VPNFilter från?

VPNFilter är tänkt att vara ett arbete med en statssponserad hackinggrupp. Att den initiala VPNFilter infektionsstörningen främst kändes över hela Ukraina pekade initialfingrar på ryska backade fingeravtryck och hackinggruppen Fancy Bear.

Men sådan är sofistikationen av malware det finns ingen tydlig genesis och ingen hacking grupp, nationellt eller på annat sätt har gått fram för att hävda malware. Med tanke på de detaljerade skadliga programvarorna och inriktningen på SCADA och andra industriella systemprotokoll verkar en nationell aktör troligen troligen.

Oavsett vad jag tycker, tror FBI att VPNFilter är en Fancy Bear-skapelse. I maj 2018 fattade FBI en domän-ToKnowAll.com-som trodde att den hade använts för att installera och kommandot steg 2 och steg 3 VPNFilter malware. Domänbeslaget bidrog definitivt till att stoppa omedelbar spridning av VPNFilter, men skiljde inte huvudartären; Den ukrainska SBU tog ned en VPNFilter-attack på en kemisk bearbetningsanläggning i juli 2018, för en.

VPNFilter har också likheter med BlackEnergy malware, en APT Trojan som används mot ett brett spektrum av ukrainska mål. Återigen, medan detta är långt ifrån fullständigt bevis, kommer den systemiska inriktningen av Ukraina främst från hackinggrupper med ryska band.

Är jag infekterad med VPNFilter?

Chansen är att din router inte hyser VPNFilter malware. Men det är alltid bättre att vara säker än förlåt:

  1. Kontrollera den här listan för din router. Om du inte är på listan är allt bra.
  2. Du kan gå till Symantec VPNFilter Check-webbplatsen. Kolla villkoren och klicka sedan på Kör VPNFilter Check knapp i mitten. Testet avslutas inom några sekunder.

Jag är infekterad med VPNFilter: Vad gör jag?

Om Symantec VPNFilter Check bekräftar att din router är infekterad har du en klar åtgärd.

  1. Återställ routern och kör sedan VPNFilter-kontrollen igen.
  2. Återställ routern till fabriksinställningarna.
  3. Ladda ner den senaste firmwareen för din router och slutföra en ren firmwareinstallation, helst utan att routern gör en online-anslutning under processen.

Vidare måste du slutföra fullständiga systemskanningar på varje enhet som är ansluten till den infekterade routern.

Du bör alltid ändra routerns standardinloggningsuppgifter, liksom alla IoT- eller NAS-enheter (IoT-enheter gör inte den här uppgiften lätt Varför Internet-saken är den största säkerhetsmardrömmen Varför Internet-saken är den största säkerhetsmardrömmen En dag kommer du hem från jobbet för att upptäcka att ditt molnaktiverade hemsäkerhetssystem har brutits. Hur kan det hända? Med Internet of Things (IoT) kan du ta reda på den svåra vägen. Läs mer) om möjligt . Även om det finns bevis för att VPNFilter kan undvika vissa brandväggar, ha en installerad och korrekt konfigurerad 7 enkla tips för att säkra din router och Wi-Fi-nätverk i minuter 7 enkla tips för att säkra din router och Wi-Fi-nätverk i minuter Är någon sniffing och avlyssnar på din Wi-Fi-trafik, stjäl dina lösenord och kreditkortsnummer? Skulle du ens veta om någon var? Förmodligen inte, så säkra ditt trådlösa nätverk med dessa 7 enkla steg. Läs mer hjälper till att hålla många andra otäcka saker ur ditt nätverk.

Se upp för routerns skadlig kod!

Routers malware är allt vanligare. IoT skadlig kod och sårbarheter är överallt, och med antalet enheter som kommer online blir det bara värre. Din router är kontaktpunkten för data i ditt hem. Ändå får den inte nästan lika mycket säkerhetsuppmärksamhet som andra enheter.

Enkelt uttryckt är din router inte säker eftersom du tror att 10 vägar din router inte är så säkra som du tror 10 sätt din router är inte så säker som du tror Här är 10 sätt som din router kan utnyttjas av hackare och drivrutiner av trådlösa kapare. Läs mer .

Utforska mer om: Dina Internet, Malware, Online Security, Router.