Како уочити злонамерни софтвер ВПНФилтер пре него што уништи ваш рутер

Како уочити злонамерни софтвер ВПНФилтер пре него што уништи ваш рутер

Злонамерни софтвер рутера, мрежног уређаја и Интернета ствари све је чешћи. Већина се фокусира на инфицирање рањивих уређаја и њихово додавање у моћне ботове. Рутери и уређаји за Интернет ствари (ИоТ) су увек укључени, увек на мрежи и чекају упутства. Савршена храна за ботнет.





Али нису сви злонамерни програми исти.



ВПНФилтер је деструктивна претња злонамерним софтвером за рутере, ИоТ уређаје, па чак и неке мрежне уређаје за складиштење (НАС). Како проверавате да ли постоји инфекција злонамерним софтвером ВПНФилтер? И како то можете очистити? Погледајмо ближе ВПНФилтер.





Шта је ВПНФилтер?

ВПНФилтер је софистицирана модуларна варијанта злонамерног софтвера која првенствено циља мрежне уређаје широког спектра произвођача, као и НАС уређаје. ВПНФилтер је првобитно пронађен на мрежним уређајима Линксис, МикроТик, НЕТГЕАР и ТП-Линк, као и КНАП НАС уређајима, са око 500.000 инфекција у 54 земље.

Тхе тим који је открио ВПНФилтер , Цисцо Талос, недавно ажурирани детаљи у вези са злонамерним софтвером, што указује на то да мрежна опрема произвођача као што су АСУС, Д-Линк, Хуавеи, Убикуити, УПВЕЛ и ЗТЕ сада показује ВПНФилтер инфекције. Међутим, у време писања овог извештаја то није утицало на мрежне уређаје Цисцо.



Злонамерни софтвер се разликује од већине других злонамерних програма усмерених на ИоТ јер се наставља и након поновног покретања система, што отежава искорењивање. Посебно су рањиви уређаји који користе подразумеване акредитиве за пријављивање или са познатим рањивостима нула дана који нису примили ажурирање фирмвера.

претворите киндле фире у андроид таблет

Шта ради ВПНФилтер?

Дакле, ВПНФилтер је „вишестепена, модуларна платформа“ која може изазвати деструктивна оштећења уређаја. Осим тога, може послужити и као претња прикупљању података. ВПНФилтер ради у неколико фаза.



Фаза 1: ВПНФилтер Стаге 1 успоставља плажу на уређају, контактирајући њен командни и контролни сервер (Ц&Ц) ради преузимања додатних модула и чекања упутстава. Фаза 1 такође има више уграђених редунданса за лоцирање Ц & Ц степена 2 у случају промене инфраструктуре током примене. Злонамерни софтвер Стаге 1 ВПНФилтер такође може да преживи поновно покретање, што га чини снажном претњом.

Фаза 2: ВПНФилтер Стаге 2 не траје при поновном покретању, али долази са ширим спектром могућности. Фаза 2 може прикупљати приватне податке, извршавати команде и ометати управљање уређајем. Такође, постоје различите верзије 2. фазе у дивљини. Неке верзије су опремљене деструктивним модулом који преписује партицију фирмвера уређаја, а затим се поново покреће како би уређај учинио неупотребљивим (малвер у основи поставља рутер, ИоТ или НАС уређај).



Фаза 3: Модули ВПНФилтер Фазе 3 раде као додаци за Фазу 2, проширујући функционалност ВПНФилтера. Један модул делује као њушкач пакета који прикупља долазни саобраћај на уређају и краде акредитиве. Други омогућава злонамерном софтверу 2. фазе да безбедно комуницира помоћу Тор -а. Цисцо Талос је такође пронашао један модул који убацује злонамерни садржај у саобраћај који пролази кроз уређај, што значи да хакер може испоручити додатне експлоатације другим повезаним уређајима путем рутера, ИоТ -а или НАС уређаја.

Осим тога, модули ВПНФилтер „омогућавају крађу акредитива веб страница и праћење Модбус СЦАДА протокола“.

Дељење фотографија Мета

Још једна занимљива (али не и новооткривена) карактеристика злонамерног софтвера ВПНФилтер је његова употреба услуга дељења фотографија на мрежи за проналажење ИП адресе његовог сервера Ц&Ц. Талос анализа је открила да злонамерни софтвер указује на низ Пхотобуцкет УРЛ адреса. Злонамерни софтвер преузима прву слику у галерији са УРЛ адресама и издваја ИП адресу сервера скривену унутар метаподатака слике.

ИП адреса 'је извучена из шест целобројних вредности за ГПС ширину и дужину у ЕКСИФ информацијама.' Ако то не успе, злонамерни софтвер 1. фазе враћа се на уобичајени домен (токновалл.цом --- више о овоме испод) да преузме слику и покуша исти процес.

Циљано њушкање пакета

Ажурирани Талос извештај открио је неке занимљиве увиде у модул њушкања пакета ВПНФилтер. Уместо да само изобличи све, има прилично строг скуп правила која циљају на одређене врсте саобраћаја. Конкретно, саобраћај из индустријских контролних система (СЦАДА) који се повезују помоћу ТП-Линк Р600 ВПН-а, везе са листом унапред дефинисаних ИП адреса (што указује на напредно познавање других мрежа и пожељног саобраћаја), као и пакети података од 150 бајтова или веће.

Цраиг Виллиам, виши технолошки лидер и глобални менаџер у Талосу, рекао је Арсу , 'Они траже врло специфичне ствари. Не покушавају да прикупе што већи промет. Они траже одређене мале ствари, попут акредитива и лозинки. Немамо много података о томе осим што делује невероватно циљано и невероватно софистицирано. Још покушавамо открити на коме су то користили. '

Одакле је дошао ВПНФилтер?

Сматра се да је ВПНФилтер дело хакерске групе коју спонзорише држава. Да се ​​почетни скок инфекције ВПНФилтером претежно осетио широм Украјине, први прсти су указивали на отиске прстију које подржава Русија и хакерску групу Фанци Беар.

Међутим, таква је софистицираност злонамерног софтвера да нема јасну генезу и да ниједна хакерска група, национална држава или на неки други начин, није искорачила да тврди малвер. С обзиром на детаљна правила о злонамерном софтверу и циљање СЦАДА-е и других протокола индустријског система, чини се да је актер националне државе највероватнији.

Без обзира на то шта мислим, ФБИ верује да је ВПНФилтер креација Фанци Беар -а. У мају 2018, ФБИ одузео домен --- ТоКновАлл.цом --- за које се сматрало да су кориштени за инсталирање и управљање злонамјерним софтвером 2. фазе и 3. фазе ВПНФилтера. Одузимање домена је свакако помогло у заустављању тренутног ширења ВПНФилтера, али није пресекло главну артерију; украјинска СБУ је, у једном случају, у јулу 2018.

Виндовс 10 приказује обавештења, али их нема

ВПНФилтер такође има сличности са злонамерним софтвером БлацкЕнерги, АПТ тројанцем који се користи против широког спектра украјинских циљева. Опет, иако је ово далеко од потпуних доказа, системско циљање Украјине претежно потиче од хакерских група са руским везама.

Да ли сам заражен ВПНФилтером?

Велике су шансе да ваш рутер не садржи злонамерни софтвер ВПНФилтер. Али увек је боље бити сигуран него жалити:

  1. Проверите ову листу за ваш рутер. Ако нисте на листи, све је у реду.
  2. Можете се упутити на веб локацију Симантец ВПНФилтер Цхецк. Означите поље за услове и одредбе, а затим притисните Покрените ВПНФилтер Цхецк дугме у средини. Тест се завршава у року од неколико секунди.

Заражен сам ВПНФилтером: шта да радим?

Ако Симантец ВПНФилтер Цхецк потврди да је ваш рутер заражен, имате јасан поступак.

  1. Ресетујте рутер, а затим поново покрените ВПНФилтер Цхецк.
  2. Вратите рутер на фабричка подешавања.
  3. Преузмите најновији фирмвер за свој рутер и довршите чисту инсталацију фирмвера, по могућности без усмеравања повезивања на мрежи током процеса.

Поред тога, потребно је да комплетно скенирате систем на сваком уређају повезаном са зараженим рутером.

Увек треба да промените подразумеване акредитиве за пријављивање вашег рутера, као и било ког ИоТ или НАС уређаја (ИоТ уређаји не олакшавају овај задатак) ако је то уопште могуће. Такође, иако постоје докази да ВПНФилтер може избећи неке заштитне зидове, након што је инсталиран и правилно конфигурисан помоћи ће да се многе друге гадне ствари држе изван ваше мреже.

Пазите на злонамјерни софтвер усмјеривача!

Злонамерни софтвер рутера све је чешћи. ИоТ злонамерни софтвер и рањивости су свуда, а с бројем уређаја који долазе на мрежу само ће се погоршати. Ваш рутер је жаришна тачка за податке у вашем дому. Ипак, не добија ни приближно толико сигурносне пажње као други уређаји.

Једноставно речено, ваш рутер није сигуран како мислите.

Објави Објави Твеет Емаил Водич за почетнике у анимирању говора

Анимирање говора може бити изазов. Ако сте спремни за почетак додавања дијалога у ваш пројекат, ми ћемо вам разбити процес.

Прочитајте следеће Повезане теме
  • Сигурност
  • Роутер
  • Безбедност на мрежи
  • Интернет Ствари
  • Злонамерних програма
О аутору Гавин Пхиллипс(Објављено 945 чланака)

Гавин је млађи уредник за Виндовс и Екплаинед Тецхнологи, редовни сарадник Реалли Усефул Подцаст -а и редовни рецензент производа. Он има БА (Хонс) савремено писање са дигиталном уметничком праксом опљачканом са брда Девона, као и више од деценије професионалног искуства у писању. Ужива у великим количинама чаја, друштвених игара и фудбала.

могу ли бесплатно надоградити са виндовс кп на виндовс 7?
Више од Гавина Пхиллипса

Претплатите се на наш билтен

Придружите се нашем билтену за техничке савете, критике, бесплатне е -књиге и ексклузивне понуде!

Кликните овде да бисте се претплатили