Cách phát hiện phần mềm độc hại VPNFilter trước khi nó phá hủy bộ định tuyến của bạn

Cách phát hiện phần mềm độc hại VPNFilter trước khi nó phá hủy bộ định tuyến của bạn

Phần mềm độc hại trên bộ định tuyến, thiết bị mạng và Internet of Things ngày càng phổ biến. Hầu hết tập trung vào việc lây nhiễm các thiết bị dễ bị tấn công và thêm chúng vào các mạng botnet mạnh mẽ. Bộ định tuyến và các thiết bị Internet of Things (IoT) luôn được cung cấp năng lượng, luôn trực tuyến và chờ hướng dẫn. Vậy thì, thức ăn gia súc botnet hoàn hảo.





Nhưng không phải tất cả các phần mềm độc hại đều giống nhau.



VPNFilter là một mối đe dọa phần mềm độc hại phá hoại đối với bộ định tuyến, thiết bị IoT và thậm chí một số thiết bị lưu trữ gắn mạng (NAS). Làm cách nào để kiểm tra xem có bị nhiễm phần mềm độc hại VPNFilter không? Và làm thế nào bạn có thể làm sạch nó? Chúng ta hãy xem xét kỹ hơn về VPNFilter.





VPNFilter là gì?

VPNFilter là một biến thể phần mềm độc hại theo mô-đun phức tạp, chủ yếu nhắm mục tiêu vào các thiết bị mạng của nhiều nhà sản xuất, cũng như các thiết bị NAS. VPNFilter ban đầu được tìm thấy trên các thiết bị mạng Linksys, MikroTik, NETGEAR và TP-Link, cũng như các thiết bị QNAP NAS, với khoảng 500.000 lượt lây nhiễm ở 54 quốc gia.

Các nhóm phát hiện ra VPNFilter , Cisco Talos, chi tiết cập nhật gần đây về phần mềm độc hại, cho thấy rằng thiết bị mạng của các nhà sản xuất như ASUS, D-Link, Huawei, Ubiquiti, UPVEL và ZTE hiện đang bị nhiễm VPNFilter. Tuy nhiên, tại thời điểm viết bài, không có thiết bị mạng nào của Cisco bị ảnh hưởng.



Phần mềm độc hại này không giống như hầu hết các phần mềm độc hại tập trung vào IoT khác vì nó vẫn tồn tại sau khi hệ thống khởi động lại, gây khó khăn cho việc diệt trừ. Các thiết bị sử dụng thông tin xác thực đăng nhập mặc định của chúng hoặc có lỗ hổng zero-day đã biết mà chưa nhận được bản cập nhật chương trình cơ sở đặc biệt dễ bị tấn công.

chuyển các tập tin từ máy tính này sang máy tính khác

VPNFilter làm gì?

Vì vậy, VPNFilter là một 'nền tảng mô-đun đa giai đoạn' có thể gây ra thiệt hại nghiêm trọng cho các thiết bị. Hơn nữa, nó cũng có thể là một mối đe dọa thu thập dữ liệu. VPNFilter hoạt động theo nhiều giai đoạn.



Giai đoạn 1: VPNFilter Giai đoạn 1 thiết lập phần đầu trên thiết bị, liên hệ với máy chủ chỉ huy và điều khiển (C&C) của nó để tải xuống các mô-đun bổ sung và chờ hướng dẫn. Giai đoạn 1 cũng có nhiều dự phòng sẵn có để xác định vị trí C & C của Giai đoạn 2 trong trường hợp cơ sở hạ tầng thay đổi trong quá trình triển khai. Phần mềm độc hại VPNFilter Giai đoạn 1 cũng có thể sống sót sau khi khởi động lại, khiến nó trở thành một mối đe dọa mạnh mẽ.

Giai đoạn 2: VPNFilter Giai đoạn 2 không tồn tại qua một lần khởi động lại, nhưng nó có nhiều khả năng hơn. Giai đoạn 2 có thể thu thập dữ liệu riêng tư, thực hiện các lệnh và can thiệp vào việc quản lý thiết bị. Ngoài ra, có nhiều phiên bản khác nhau của Giai đoạn 2 trong tự nhiên. Một số phiên bản được trang bị mô-đun phá hoại ghi đè một phân vùng của chương trình cơ sở thiết bị, sau đó khởi động lại để khiến thiết bị không thể sử dụng được (về cơ bản, phần mềm độc hại đóng vai trò định tuyến, IoT hoặc thiết bị NAS).



Giai đoạn 3: Mô-đun VPNFilter Giai đoạn 3 hoạt động giống như các plugin cho Giai đoạn 2, mở rộng chức năng của VPNFilter. Một mô-đun hoạt động như một trình dò ​​tìm gói dữ liệu thu thập lưu lượng truy cập đến trên thiết bị và đánh cắp thông tin đăng nhập. Một phần mềm khác cho phép phần mềm độc hại Giai đoạn 2 giao tiếp an toàn bằng Tor. Cisco Talos cũng tìm thấy một mô-đun đưa nội dung độc hại vào lưu lượng truy cập qua thiết bị, có nghĩa là tin tặc có thể khai thác thêm các thiết bị được kết nối khác thông qua bộ định tuyến, IoT hoặc thiết bị NAS.

Ngoài ra, các mô-đun VPNFilter 'cho phép đánh cắp thông tin xác thực trang web và giám sát các giao thức Modbus SCADA.'

Meta chia sẻ ảnh

Một tính năng thú vị khác (nhưng không mới được phát hiện) của phần mềm độc hại VPNFilter là nó sử dụng các dịch vụ chia sẻ ảnh trực tuyến để tìm địa chỉ IP của máy chủ C&C của nó. Phân tích của Talos cho thấy phần mềm độc hại trỏ đến một loạt URL của Photobucket. Phần mềm độc hại tải xuống hình ảnh đầu tiên trong thư viện mà URL tham chiếu và trích xuất địa chỉ IP máy chủ ẩn trong siêu dữ liệu hình ảnh.

Địa chỉ IP 'được trích xuất từ ​​sáu giá trị số nguyên cho vĩ độ và kinh độ GPS trong thông tin EXIF.' Nếu không thành công, phần mềm độc hại Giai đoạn 1 sẽ quay trở lại miền thông thường (toknowall.com --- thông tin thêm về điều này bên dưới) để tải xuống hình ảnh và thử quá trình tương tự.

Nhắm mục tiêu gói tin

Báo cáo cập nhật của Talos đã tiết lộ một số thông tin chi tiết thú vị về mô-đun dò tìm gói VPNFilter. Thay vì chỉ di chuyển mọi thứ lên, nó có một bộ quy tắc khá nghiêm ngặt nhằm mục tiêu các loại lưu lượng truy cập cụ thể. Cụ thể, lưu lượng truy cập từ các hệ thống điều khiển công nghiệp (SCADA) kết nối bằng TP-Link R600 VPN, kết nối với danh sách địa chỉ IP được xác định trước (cho biết kiến ​​thức nâng cao về các mạng khác và lưu lượng mong muốn), cũng như các gói dữ liệu 150 byte hoặc lớn hơn.

Craig William, lãnh đạo công nghệ cấp cao và giám đốc tiếp cận toàn cầu tại Talos, nói với Ars , 'Họ đang tìm kiếm những thứ rất cụ thể. Họ không cố gắng thu thập nhiều lưu lượng truy cập nhất có thể. Họ theo đuổi một số thứ rất nhỏ như thông tin xác thực và mật khẩu. Chúng tôi không có nhiều thông tin về điều đó ngoài việc nó có vẻ được nhắm mục tiêu và cực kỳ tinh vi. Chúng tôi vẫn đang cố gắng tìm hiểu xem họ đang sử dụng nó cho ai. '

VPNFilter đến từ đâu?

VPNFilter được cho là công việc của một nhóm hack do nhà nước bảo trợ. Rằng sự gia tăng lây nhiễm VPNFilter ban đầu chủ yếu được cảm nhận trên khắp Ukraine, những ngón tay ban đầu chỉ vào dấu vân tay do Nga hậu thuẫn và nhóm hack Fancy Bear.

Tuy nhiên, đó là mức độ tinh vi của phần mềm độc hại, không có nguồn gốc rõ ràng và không có nhóm hack, quốc gia hay quốc gia nào khác, đã tiến hành xác nhận quyền sở hữu phần mềm độc hại. Với các quy tắc chi tiết về phần mềm độc hại và nhắm mục tiêu của SCADA và các giao thức hệ thống công nghiệp khác, có vẻ như rất có thể một tác nhân quốc gia-nhà nước.

Bất kể tôi nghĩ gì, FBI tin rằng VPNFilter là một sáng tạo của Fancy Bear. Vào tháng 5 năm 2018, FBI chiếm giữ một miền --- ToKnowAll.com --- được cho là đã được sử dụng để cài đặt và ra lệnh cho phần mềm độc hại VPNFilter Giai đoạn 2 và Giai đoạn 3. Việc chiếm giữ miền chắc chắn đã giúp ngăn chặn sự lây lan ngay lập tức của VPNFilter, nhưng không cắt đứt động mạch chính; SBU của Ukraine đã triệt hạ một cuộc tấn công VPNFilter vào một nhà máy xử lý hóa chất vào tháng 7 năm 2018.

làm thế nào để thực hiện các hiệu ứng trên imessage

VPNFilter cũng mang những điểm tương đồng với phần mềm độc hại BlackEnergy, một loại Trojan APT được sử dụng để chống lại một loạt các mục tiêu Ukraine. Một lần nữa, trong khi điều này vẫn chưa có bằng chứng đầy đủ, việc nhắm mục tiêu có hệ thống vào Ukraine chủ yếu bắt nguồn từ các nhóm hack có quan hệ với Nga.

Tôi có bị nhiễm VPNFilter không?

Rất có thể, bộ định tuyến của bạn không chứa phần mềm độc hại VPNFilter. Nhưng luôn tốt hơn là được an toàn hơn là xin lỗi:

  1. Kiểm tra danh sách này cho bộ định tuyến của bạn. Nếu bạn không có trong danh sách, mọi thứ vẫn ổn.
  2. Bạn có thể truy cập trang Symantec VPNFilter Check. Chọn hộp điều khoản và điều kiện, sau đó nhấn vào Chạy kiểm tra VPNFilter ở giữa. Kiểm tra hoàn thành trong vòng vài giây.

Tôi bị nhiễm VPNFilter: Tôi phải làm gì?

Nếu Symantec VPNFilter Check xác nhận rằng bộ định tuyến của bạn bị nhiễm virus, bạn có một hành động rõ ràng.

  1. Đặt lại bộ định tuyến của bạn, sau đó chạy lại Kiểm tra bộ lọc VPN.
  2. Đặt lại bộ định tuyến của bạn về cài đặt gốc.
  3. Tải xuống chương trình cơ sở mới nhất cho bộ định tuyến của bạn và hoàn tất quá trình cài đặt chương trình cơ sở sạch, tốt nhất là không cần bộ định tuyến kết nối trực tuyến trong quá trình này.

Ngoài ra, bạn cần phải hoàn tất quá trình quét toàn bộ hệ thống trên từng thiết bị được kết nối với bộ định tuyến bị nhiễm.

Bạn phải luôn thay đổi thông tin đăng nhập mặc định của bộ định tuyến, cũng như bất kỳ thiết bị IoT hoặc NAS nào (thiết bị IoT không thực hiện nhiệm vụ này dễ dàng) nếu có thể. Ngoài ra, mặc dù có bằng chứng cho thấy VPNFilter có thể trốn tránh một số tường lửa, có một cài đặt và cấu hình đúng cách sẽ giúp loại bỏ nhiều nội dung khó chịu khác ra khỏi mạng của bạn.

Đề phòng phần mềm độc hại cho bộ định tuyến!

Phần mềm độc hại của bộ định tuyến ngày càng phổ biến. Phần mềm độc hại và lỗ hổng bảo mật IoT ở khắp mọi nơi và với số lượng thiết bị trực tuyến, sẽ chỉ trở nên tồi tệ hơn. Bộ định tuyến của bạn là đầu mối cho dữ liệu trong nhà của bạn. Tuy nhiên, nó không nhận được nhiều sự chú ý về bảo mật như các thiết bị khác.

Nói một cách đơn giản, bộ định tuyến của bạn không an toàn như bạn nghĩ.

Đăng lại Đăng lại tiếng riu ríu E-mail Hướng dẫn cho người mới bắt đầu để tạo hoạt ảnh cho bài phát biểu

Hoạt hình có thể là một thách thức. Nếu bạn đã sẵn sàng bắt đầu thêm đối thoại vào dự án của mình, chúng tôi sẽ chia nhỏ quy trình cho bạn.

Đọc tiếp Chủ đề liên quan
  • Bảo vệ
  • Bộ định tuyến
  • Bảo mật trực tuyến
  • Internet of Things
  • Phần mềm độc hại
Giới thiệu về tác giả Gavin Phillips(Đã xuất bản 945 bài báo)

Gavin là Junior Editor cho Windows and Technology Explained, người đóng góp thường xuyên cho Podcast Thực sự Hữu ích và là người đánh giá sản phẩm thường xuyên. Anh ấy có bằng Cử nhân (Hons) Viết đương đại với Thực hành nghệ thuật kỹ thuật số bị cướp đoạt từ những ngọn đồi của Devon, cũng như hơn một thập kỷ kinh nghiệm viết văn chuyên nghiệp. Anh ấy thích uống nhiều trà, trò chơi trên bàn và bóng đá.

làm thế nào để ghi lại màn hình của bạn với obs
Xem thêm từ Gavin Phillips

Theo dõi bản tin của chúng tôi

Tham gia bản tin của chúng tôi để biết các mẹo công nghệ, đánh giá, sách điện tử miễn phí và các ưu đãi độc quyền!

Bấm vào đây để đăng ký