Как обнаружить вредоносное ПО VPNFilter до того, как оно уничтожит маршрутизатор

Вредоносное ПО на маршрутизаторах, сетевых устройствах и в Интернете вещей становится все более распространенным. Большинство из них заражают уязвимые устройства и принадлежат к очень мощным ботнетам. Маршрутизаторы и устройства Интернета вещей (IoT) всегда подключены к сети, всегда подключены к сети и ждут инструкций. И ботнеты используют это для атаки на эти устройства.

Но не все вредоносные программы ( вредоносные программы ) одинаковы.

VPNFilter — это разрушительное вредоносное ПО, которое атакует маршрутизаторы, устройства IoT и даже некоторые устройства сетевого хранения данных (NAS). Как определить, заражены ли ваши устройства вредоносным ПО VPNFilter? И как его можно удалить? Давайте подробнее рассмотрим VPNFilter в следующей статье.

Что такое вредоносное ПО VPNFilter? Как его удалить?

• Что такое VPNфильтр?
• Что может VPNFilter?
  • Извлечь IP-адрес сервера
  • Целенаправленный перехват пакетов
• Откуда взялся VPNFilter?
• Как узнать, заражено ли ваше устройство VPNFilter?
• Если вы заражены VPNFilter, что делать?
• Как избежать повторного заражения вредоносным ПО VPNFilter?
  • Обновить прошивку роутера
  • Сменить пароль роутера
  • Обновите антивирусное программное обеспечение
  • Следите за новыми программами!
  • Не нажимайте на всплывающую рекламу!

Что такое VPNфильтр?

VPNFilter — это сложный модульный вариант вредоносного ПО, который в первую очередь нацелен на сетевые устройства различных производителей, а также на устройства NAS. Первоначально VPNFilter был обнаружен на сетевых устройствах Linksys , MikroTik, NETGEAR и TP-Link , а также на устройствах QNAP NAS, при этом было зарегистрировано около 500 000 заражений в 54 странах.

Команда обнаружения VPNFilter, Cisco Talos, недавно обновила подробности, связанные с этим вредоносным ПО, показав, что сетевые устройства таких производителей, как ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE, в настоящее время демонстрируют признаки заражения VPNFilter. Однако на момент написания статьи ни одно сетевое устройство Cisco не пострадало.

Это вредоносное ПО отличается от большинства других вредоносных программ, ориентированных на Интернет вещей, поскольку оно сохраняется после перезагрузки системы, что затрудняет его удаление. Особенно уязвимы устройства, которые используют свои учетные данные для входа по умолчанию или имеют уязвимости нулевого дня (неизвестные уязвимости компьютерного программного обеспечения), которые не обновляются регулярно .

Что может VPNFilter?

VPNFilter — это «многомодульный кроссплатформенный фильтр», способный повредить и уничтожить устройства. Более того, он также может стать тревожной угрозой, собирая пользовательские данные. VPNFilter работает в несколько этапов.

Этап 1 : VPNFilter на этапе 1 устанавливает посадочную площадку на устройстве, связывается с сервером управления и контроля (C&C) для загрузки дополнительных модулей и ожидает инструкций. Фаза 1 также имеет несколько встроенных средств на случай непредвиденных обстоятельств для позиционирования C&C фазы 2 на случай изменений инфраструктуры во время реализации. Вредоносное ПО стадии 1 VPNFilter также может пережить перезагрузку, что делает его очень опасной угрозой.

Этап 2 : VPNFilter на этапе 2 не сохраняется после перезагрузки, но на этом этапе у него много возможностей. Фаза 2 может собирать персональные данные, выполнять команды и вмешиваться в управление устройствами. Кроме того, на практике существуют разные варианты фазы 2. Некоторые версии оснащены деструктивным модулем, который перезаписывает раздел прошивки устройства , а затем перезагружается, чтобы сделать устройство непригодным для использования (по сути, отключение вредоносного ПО). Настройка маршрутизатора, устройств IoT или NAS ).

Этап 3. Модули VPNFilter на этапе 3 действуют как плагины на этапе 2, расширяя функциональность VPNFilter. Модуль, выполняющий функцию перехватчика пакетов , собирающий входящий трафик на устройстве и похищающий учетные данные для входа. Другой тип позволяет вредоносному ПО второй стадии безопасно взаимодействовать с помощью Tor . Cisco Talos также обнаружила модуль, который внедрял вредоносный контент в трафик, проходящий через устройство. Это означает, что хакеры могут дополнительно использовать другие подключенные устройства через маршрутизаторы, устройства IoT или NAS.

Кроме того, модули VPNFilter «позволяют кражу учетных данных веб-сайтов и мониторинг протоколов Modbus SCADA».

Извлечь IP-адрес сервера

Еще одна интересная (но не обнаруженная недавно) особенность вредоносного ПО VPNFilter — использование онлайн-сервисов обмена фотографиями для поиска IP-адреса своего командного сервера. Анализ Talos показал, что вредоносное ПО указывает на ряд URL-адресов Photobucket. Вредоносная программа загружает первое изображение в справочной галерее URL-адресов и извлекает IP-адрес сервера , скрытый в метаданных изображения.

IP-адрес «извлекается из 6 целочисленных значений широты и долготы GPS в информации EXIF ». Если это не удастся, вредоносное ПО первой стадии вернется в свой обычный домен (toknowall.com — подробнее об этом ниже), чтобы загрузить образ и попытаться выполнить тот же процесс.

Целенаправленный перехват пакетов

Отчет об обновлении Talos содержит некоторые интересные подробности о модуле перехвата пакетов VPNFilter. Вместо того, чтобы вмешиваться во все, он имеет строгий набор правил, ориентированных на определенные типы трафика. В частности, трафик от промышленной системы управления (SCADA) с помощью TP-Link R600 VPN подключается к заранее заданному списку IP-адресов (что указывает на расширенные знания о сетях) и желаемому трафику, а также пакеты данных размером 150 байт или больше.

«VPNFilter ищет очень конкретные вещи», — сказал Ars Крейг Уильям, старший технологический руководитель и менеджер по глобальному охвату Talos. Они не пытаются собрать как можно больше трафика. Они пытаются получить только очень мелкие вещи, такие как данные для входа и пароли. У нас не так много информации об этом, кроме того, что мы знаем, что это очень целенаправленный и чрезвычайно сложный процесс. Мы все еще пытаемся выяснить, к кому они применяют этот метод».

Откуда взялся VPNFilter?

Считается, что VPNFilter — это работа спонсируемой государством хакерской группы. Заражение VPNFilter было первоначально обнаружено в Украине, и многие источники полагают, что это работа поддерживаемой Россией хакерской группы Fancy Bear.

Однако ни одна страна или хакерская группа не взяла на себя ответственность за это вредоносное ПО. Учитывая подробные и целевые правила вредоносного ПО для SCADA и других протоколов промышленных систем, теория о том, что программное обеспечение поддерживается национальным государством, кажется наиболее вероятной.

Однако ФБР считает, что VPNFilter — продукт Fancy Bear. В мае 2018 года ФБР конфисковало домен ToKnowAll.com, который, предположительно, использовался для установки и управления вредоносным ПО VPNFilter этапов 2 и 3. Захват этого домена был вполне вероятен. Это, конечно, помогло остановить немедленное распространение VPNFilter, но это не решил проблему полностью. Служба безопасности Украины (СБУ) предотвратила атаку VPNFilter на химический завод в июле 2018 года.

VPNFilter также имеет сходство с вредоносным ПО BlackEnergy, APT- трояном , используемым против ряда целей в Украине. Опять же, хотя точных доказательств нет, атаки на украинские системы в основном исходят от хакерских групп, имеющих тесные связи с Россией.

Как узнать, заражено ли ваше устройство VPNFilter?

Скорее всего, ваш маршрутизатор не заражен вредоносным ПО VPNFilter. Но все же лучше убедиться в безопасности вашего устройства:

Проверьте свой маршрутизатор по ссылке: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. Если вашего устройства нет в списке, все в порядке.

Вы можете посетить тестовую страницу Symantec VPNFilter: http://www.symantec.com/filtercheck/. Установите флажок «Условия использования», затем нажмите кнопку «Запустить проверку VPNFilter» посередине. Тест завершится через несколько секунд.

Если вы заражены VPNFilter, что делать?

Если Symantec VPNFilter Check подтвердит, что ваш маршрутизатор заражен VPNFilter, вам необходимо предпринять следующие действия.

• Выполните перезагрузку маршрутизатора, а затем снова запустите VPNFilter Check.
• Сбросьте роутер к заводским настройкам.
• Загрузите последнюю версию прошивки для маршрутизатора и завершите «чистую» установку прошивки, желательно без подключения маршрутизатора к Интернету во время процесса.

Кроме того, вам необходимо выполнить полное сканирование системы на каждом устройстве, подключенном к зараженному маршрутизатору VPNFilter.

Самый эффективный способ удалить вредоносное ПО VPNFilter — использовать антивирусное программное обеспечение , а также приложение для удаления вредоносного ПО. Оба инструмента могут обнаружить этот вирус до того, как он фактически заразит ваш компьютер и маршрутизатор.

Антивирусному программному обеспечению может потребоваться несколько часов для завершения процесса, в зависимости от скорости вашего компьютера, но оно также предоставляет вам лучшие методы удаления вредоносных файлов.

Также стоит установить инструмент для удаления вредоносных программ, который обнаруживает вредоносные программы, такие как VPNFilter, и уничтожает их, прежде чем они вызовут какие-либо проблемы.

Как и антивирусное программное обеспечение, процесс сканирования вредоносных программ может занять много часов в зависимости от размера жесткого диска вашего компьютера, а также его скорости.

Как и другие вирусы, вам также необходимо удалить вредоносное ПО VPNFilter с вашего маршрутизатора. Для этого необходимо сбросить роутер к заводским настройкам.

Для аппаратного сброса маршрутизатора необходимо выполнить сброс настроек маршрутизатора с нуля, включая создание нового пароля администратора и настройку беспроводной сети для всех устройств. Чтобы сделать это правильно, потребуется некоторое время.

Вам всегда следует менять учетные данные по умолчанию для вашего маршрутизатора, а также для любых устройств IoT или NAS (выполнение этой задачи на устройствах IoT непросто), если это возможно. Кроме того, хотя есть свидетельства того, что VPNFilter может обходить некоторые брандмауэры , правильная установка и настройка брандмауэра все равно поможет защитить вашу сеть от многих других неприятностей.

Самый эффективный способ удалить вредоносное ПО VPNFilter — использовать антивирусное программное обеспечение.

Как избежать повторного заражения вредоносным ПО VPNFilter?

Существует несколько ключевых способов снизить риск повторного заражения VPNFilter (или любым другим вирусом), включая конкретные советы, относящиеся непосредственно к VPNFilter.

Обновить прошивку роутера

Обновленный маршрутизатор защищен от вредоносного ПО VPNFilter, а также от других угроз безопасности. Всегда не забывайте обновлять его как можно скорее.

Сменить пароль роутера

Не используйте пароль по умолчанию, установленный производителем маршрутизатора. Создавайте свои собственные пароли, которые будут более надежными и с меньшей вероятностью будут атакованы злоумышленниками.

Обновите антивирусное программное обеспечение

Постоянно обновляйте антивирусные и антивирусные программы. Регулярно выпускаются новые определения вирусов, которые информируют ваш компьютер о новых угрозах вирусов и вредоносных программ, которые следует искать.

Следите за новыми программами!

Важно четко знать источник скачанных вами программ и приложений. Менее авторитетные сайты имеют множество ненужных вам надстроек, например VPNFilter.

Не нажимайте на всплывающую рекламу!

Если во время просмотра веб-сайта появляется баннер, не нажимайте на него. Обычно самый безопасный способ — посетить другой веб-сайт, а не сайт, наполненный всплывающей рекламой.

Вредоносное ПО на маршрутизаторах становится все более популярным. Вредоносные программы и уязвимости Интернета вещей есть повсюду, и с постоянно растущим числом устройств, подключенных к Интернету, ситуация будет только ухудшаться. Маршрутизатор является центром передачи данных в вашем доме. Однако ему не уделяется столько внимания безопасности, как другим устройствам. Проще говоря, маршрутизаторы не так безопасны, как вы думаете.

Узнать больше:

• Действия по удалению вредоносного ПО 9o0gle. ком
• Как распознать зараженный вирусом компьютер по 10 характерным признакам