Вредоносное ПО на маршрутизаторах, сетевых устройствах и в Интернете вещей становится все более распространенным. Большинство из них заражают уязвимые устройства и принадлежат к очень мощным ботнетам. Маршрутизаторы и устройства Интернета вещей (IoT) всегда подключены к сети, всегда подключены к сети и ждут инструкций. И ботнеты используют это для атаки на эти устройства.
Но не все вредоносные программы ( вредоносные программы ) одинаковы.
VPNFilter — это разрушительное вредоносное ПО, которое атакует маршрутизаторы, устройства IoT и даже некоторые устройства сетевого хранения данных (NAS). Как определить, заражены ли ваши устройства вредоносным ПО VPNFilter? И как его можно удалить? Давайте подробнее рассмотрим VPNFilter в следующей статье.
Что такое вредоносное ПО VPNFilter? Как его удалить?
VPNFilter — это сложный модульный вариант вредоносного ПО, который в первую очередь нацелен на сетевые устройства различных производителей, а также на устройства NAS. Первоначально VPNFilter был обнаружен на сетевых устройствах Linksys , MikroTik, NETGEAR и TP-Link , а также на устройствах QNAP NAS, при этом было зарегистрировано около 500 000 заражений в 54 странах.
Команда обнаружения VPNFilter, Cisco Talos, недавно обновила подробности, связанные с этим вредоносным ПО, показав, что сетевые устройства таких производителей, как ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE, в настоящее время демонстрируют признаки заражения VPNFilter. Однако на момент написания статьи ни одно сетевое устройство Cisco не пострадало.
Это вредоносное ПО отличается от большинства других вредоносных программ, ориентированных на Интернет вещей, поскольку оно сохраняется после перезагрузки системы, что затрудняет его удаление. Особенно уязвимы устройства, которые используют свои учетные данные для входа по умолчанию или имеют уязвимости нулевого дня (неизвестные уязвимости компьютерного программного обеспечения), которые не обновляются регулярно .
VPNFilter — это «многомодульный кроссплатформенный фильтр», способный повредить и уничтожить устройства. Более того, он также может стать тревожной угрозой, собирая пользовательские данные. VPNFilter работает в несколько этапов.
Этап 1 : VPNFilter на этапе 1 устанавливает посадочную площадку на устройстве, связывается с сервером управления и контроля (C&C) для загрузки дополнительных модулей и ожидает инструкций. Фаза 1 также имеет несколько встроенных средств на случай непредвиденных обстоятельств для позиционирования C&C фазы 2 на случай изменений инфраструктуры во время реализации. Вредоносное ПО стадии 1 VPNFilter также может пережить перезагрузку, что делает его очень опасной угрозой.
Этап 2 : VPNFilter на этапе 2 не сохраняется после перезагрузки, но на этом этапе у него много возможностей. Фаза 2 может собирать персональные данные, выполнять команды и вмешиваться в управление устройствами. Кроме того, на практике существуют разные варианты фазы 2. Некоторые версии оснащены деструктивным модулем, который перезаписывает раздел прошивки устройства , а затем перезагружается, чтобы сделать устройство непригодным для использования (по сути, отключение вредоносного ПО). Настройка маршрутизатора, устройств IoT или NAS ).
Этап 3. Модули VPNFilter на этапе 3 действуют как плагины на этапе 2, расширяя функциональность VPNFilter. Модуль, выполняющий функцию перехватчика пакетов , собирающий входящий трафик на устройстве и похищающий учетные данные для входа. Другой тип позволяет вредоносному ПО второй стадии безопасно взаимодействовать с помощью Tor . Cisco Talos также обнаружила модуль, который внедрял вредоносный контент в трафик, проходящий через устройство. Это означает, что хакеры могут дополнительно использовать другие подключенные устройства через маршрутизаторы, устройства IoT или NAS.
Кроме того, модули VPNFilter «позволяют кражу учетных данных веб-сайтов и мониторинг протоколов Modbus SCADA».
Еще одна интересная (но не обнаруженная недавно) особенность вредоносного ПО VPNFilter — использование онлайн-сервисов обмена фотографиями для поиска IP-адреса своего командного сервера. Анализ Talos показал, что вредоносное ПО указывает на ряд URL-адресов Photobucket. Вредоносная программа загружает первое изображение в справочной галерее URL-адресов и извлекает IP-адрес сервера , скрытый в метаданных изображения.
IP-адрес «извлекается из 6 целочисленных значений широты и долготы GPS в информации EXIF ». Если это не удастся, вредоносное ПО первой стадии вернется в свой обычный домен (toknowall.com — подробнее об этом ниже), чтобы загрузить образ и попытаться выполнить тот же процесс.
Отчет об обновлении Talos содержит некоторые интересные подробности о модуле перехвата пакетов VPNFilter. Вместо того, чтобы вмешиваться во все, он имеет строгий набор правил, ориентированных на определенные типы трафика. В частности, трафик от промышленной системы управления (SCADA) с помощью TP-Link R600 VPN подключается к заранее заданному списку IP-адресов (что указывает на расширенные знания о сетях) и желаемому трафику, а также пакеты данных размером 150 байт или больше.
«VPNFilter ищет очень конкретные вещи», — сказал Ars Крейг Уильям, старший технологический руководитель и менеджер по глобальному охвату Talos. Они не пытаются собрать как можно больше трафика. Они пытаются получить только очень мелкие вещи, такие как данные для входа и пароли. У нас не так много информации об этом, кроме того, что мы знаем, что это очень целенаправленный и чрезвычайно сложный процесс. Мы все еще пытаемся выяснить, к кому они применяют этот метод».
Считается, что VPNFilter — это работа спонсируемой государством хакерской группы. Заражение VPNFilter было первоначально обнаружено в Украине, и многие источники полагают, что это работа поддерживаемой Россией хакерской группы Fancy Bear.
Однако ни одна страна или хакерская группа не взяла на себя ответственность за это вредоносное ПО. Учитывая подробные и целевые правила вредоносного ПО для SCADA и других протоколов промышленных систем, теория о том, что программное обеспечение поддерживается национальным государством, кажется наиболее вероятной.
Однако ФБР считает, что VPNFilter — продукт Fancy Bear. В мае 2018 года ФБР конфисковало домен ToKnowAll.com, который, предположительно, использовался для установки и управления вредоносным ПО VPNFilter этапов 2 и 3. Захват этого домена был вполне вероятен. Это, конечно, помогло остановить немедленное распространение VPNFilter, но это не решил проблему полностью. Служба безопасности Украины (СБУ) предотвратила атаку VPNFilter на химический завод в июле 2018 года.
VPNFilter также имеет сходство с вредоносным ПО BlackEnergy, APT- трояном , используемым против ряда целей в Украине. Опять же, хотя точных доказательств нет, атаки на украинские системы в основном исходят от хакерских групп, имеющих тесные связи с Россией.
Скорее всего, ваш маршрутизатор не заражен вредоносным ПО VPNFilter. Но все же лучше убедиться в безопасности вашего устройства:
Проверьте свой маршрутизатор по ссылке: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. Если вашего устройства нет в списке, все в порядке.
Вы можете посетить тестовую страницу Symantec VPNFilter: http://www.symantec.com/filtercheck/. Установите флажок «Условия использования», затем нажмите кнопку «Запустить проверку VPNFilter» посередине. Тест завершится через несколько секунд.
Если Symantec VPNFilter Check подтвердит, что ваш маршрутизатор заражен VPNFilter, вам необходимо предпринять следующие действия.
Кроме того, вам необходимо выполнить полное сканирование системы на каждом устройстве, подключенном к зараженному маршрутизатору VPNFilter.
Самый эффективный способ удалить вредоносное ПО VPNFilter — использовать антивирусное программное обеспечение , а также приложение для удаления вредоносного ПО. Оба инструмента могут обнаружить этот вирус до того, как он фактически заразит ваш компьютер и маршрутизатор.
Антивирусному программному обеспечению может потребоваться несколько часов для завершения процесса, в зависимости от скорости вашего компьютера, но оно также предоставляет вам лучшие методы удаления вредоносных файлов.
Также стоит установить инструмент для удаления вредоносных программ, который обнаруживает вредоносные программы, такие как VPNFilter, и уничтожает их, прежде чем они вызовут какие-либо проблемы.
Как и антивирусное программное обеспечение, процесс сканирования вредоносных программ может занять много часов в зависимости от размера жесткого диска вашего компьютера, а также его скорости.
Как и другие вирусы, вам также необходимо удалить вредоносное ПО VPNFilter с вашего маршрутизатора. Для этого необходимо сбросить роутер к заводским настройкам.
Для аппаратного сброса маршрутизатора необходимо выполнить сброс настроек маршрутизатора с нуля, включая создание нового пароля администратора и настройку беспроводной сети для всех устройств. Чтобы сделать это правильно, потребуется некоторое время.
Вам всегда следует менять учетные данные по умолчанию для вашего маршрутизатора, а также для любых устройств IoT или NAS (выполнение этой задачи на устройствах IoT непросто), если это возможно. Кроме того, хотя есть свидетельства того, что VPNFilter может обходить некоторые брандмауэры , правильная установка и настройка брандмауэра все равно поможет защитить вашу сеть от многих других неприятностей.
Самый эффективный способ удалить вредоносное ПО VPNFilter — использовать антивирусное программное обеспечение.
Существует несколько ключевых способов снизить риск повторного заражения VPNFilter (или любым другим вирусом), включая конкретные советы, относящиеся непосредственно к VPNFilter.
Обновленный маршрутизатор защищен от вредоносного ПО VPNFilter, а также от других угроз безопасности. Всегда не забывайте обновлять его как можно скорее.
Не используйте пароль по умолчанию, установленный производителем маршрутизатора. Создавайте свои собственные пароли, которые будут более надежными и с меньшей вероятностью будут атакованы злоумышленниками.
Постоянно обновляйте антивирусные и антивирусные программы. Регулярно выпускаются новые определения вирусов, которые информируют ваш компьютер о новых угрозах вирусов и вредоносных программ, которые следует искать.
Важно четко знать источник скачанных вами программ и приложений. Менее авторитетные сайты имеют множество ненужных вам надстроек, например VPNFilter.
Если во время просмотра веб-сайта появляется баннер, не нажимайте на него. Обычно самый безопасный способ — посетить другой веб-сайт, а не сайт, наполненный всплывающей рекламой.
Вредоносное ПО на маршрутизаторах становится все более популярным. Вредоносные программы и уязвимости Интернета вещей есть повсюду, и с постоянно растущим числом устройств, подключенных к Интернету, ситуация будет только ухудшаться. Маршрутизатор является центром передачи данных в вашем доме. Однако ему не уделяется столько внимания безопасности, как другим устройствам. Проще говоря, маршрутизаторы не так безопасны, как вы думаете.
Узнать больше:
Вы видите уведомление об активации Windows 10 в правом углу экрана? В этой статье вы узнаете, как удалить уведомление о запросе на авторские права в Windows 10.
Недавно Microsoft выпустила последнее накопительное обновление для пользователей ПК с Windows 10 под названием Build 14393.222. Это обновление, выпущенное для Windows 10, в основном исправляет ошибки на основе отзывов пользователей и повышает производительность операционной системы.
Есть ли в вашей локальной сети компьютеры, которым требуется внешний доступ? Использование хоста-бастиона в качестве привратника для вашей сети может быть хорошим решением.
Если вы предпочитаете использовать старую классическую клавиатуру, например IBM Model M, на которой нет физической клавиши Windows, есть простой способ добавить ее, позаимствовав клавишу, которую вы не часто используете.
Иногда вам может потребоваться удалить все старые журналы событий сразу. В этом руководстве Quantrimang.com покажет вам 3 способа быстрого удаления всех журналов событий в средстве просмотра событий Windows 10.
Во многих предыдущих статьях мы упоминали, что сохранять анонимность в Интернете чрезвычайно важно. Частная информация утекает каждый год, что делает безопасность в Интернете все более необходимой. По этой же причине нам следует использовать виртуальные IP-адреса. Ниже мы узнаем о методах создания поддельных IP-адресов!
WindowTop — это инструмент, который позволяет затемнять все окна приложений и программ, запущенных на компьютерах с Windows 10. Или вы можете использовать интерфейс с темным фоном в Windows.
Языковая панель в Windows 8 — это миниатюрная языковая панель инструментов, предназначенная для автоматического отображения на экране рабочего стола. Однако многие люди хотят скрыть эту языковую панель на панели задач.
Беспроводное подключение сегодня является необходимостью, и поэтому безопасность беспроводной сети необходима для обеспечения безопасности вашей внутренней сети.
Увеличение скорости Интернета имеет важное значение для оптимизации сетевого подключения. Вы можете получить оптимальные впечатления от развлечений и работы, используя компьютеры, телевизоры с возможностью подключения к Интернету, игровые приставки и т. д.
