Hoe u VPN-malware kunt herkennen voordat deze uw router vernietigt

Advertentie

Router, netwerkapparaat en Internet of Things-malware komen steeds vaker voor. De meeste richten zich op het infecteren van kwetsbare apparaten en deze toe te voegen aan krachtige botnets. Routers en Internet of Things (IoT) -apparaten zijn altijd ingeschakeld, altijd online en wachten op instructies. Perfect botnetvoer dan.

Maar niet alle malware is hetzelfde.

VPNFilter is een destructieve malwarebedreiging voor routers, IoT-apparaten en zelfs sommige op het netwerk aangesloten opslag (NAS) -apparaten. Hoe controleert u op een VPNFilter-malware-infectie? En hoe kun je het opruimen? Laten we VPNFilter eens nader bekijken.

Wat is VPNFilter?

VPNFilter is een geavanceerde modulaire malwarevariant die voornamelijk is gericht op netwerkapparaten van een groot aantal fabrikanten, evenals NAS-apparaten. VPNFilter werd aanvankelijk gevonden op Linksys-, MikroTik-, NETGEAR- en TP-Link-netwerkapparaten, evenals QNAP NAS-apparaten, met ongeveer 500.000 infecties in 54 landen.

De team dat VPNFilter heeft ontdekt

, Cisco Talos, recent bijgewerkte details wat betreft de malware, wat aangeeft dat netwerkapparatuur van fabrikanten zoals ASUS, D-Link, Huawei, Ubiquiti, UPVEL en ZTE nu VPNFilter-infecties vertonen. Op het moment van schrijven zijn er echter geen Cisco-netwerkapparaten getroffen.

De malware is anders dan de meeste andere op IoT gerichte malware, omdat deze blijft bestaan ​​nadat het systeem opnieuw is opgestart, waardoor het moeilijk is om te verwijderen. Apparaten die hun standaard inloggegevens gebruiken of met bekende zero-day kwetsbaarheden die geen firmware-updates hebben ontvangen, zijn bijzonder kwetsbaar.

Wat doet VPNFilter?

VPNFilter is dus een "meertraps, modulair platform" dat kan destructieve schade aan apparaten veroorzaken. Bovendien kan het ook dienen als bedreiging voor het verzamelen van gegevens. VPNFilter werkt in verschillende fasen.

Fase 1: VPNFilter Stage 1 vormt een strandhoofd op het apparaat en neemt contact op met de commando- en controleserver (C&C) om aanvullende modules te downloaden en instructies af te wachten. Fase 1 heeft ook meerdere ingebouwde redundanties om Fase 2 C & C's te lokaliseren in het geval van infrastructuurwijziging tijdens de implementatie. De Stage 1 VPNFilter-malware kan ook een herstart overleven, waardoor het een robuuste bedreiging is.

Stage 2: VPNFilter Stage 2 blijft niet bestaan ​​door opnieuw op te starten, maar het heeft wel een breder scala aan mogelijkheden. Fase 2 kan privégegevens verzamelen, opdrachten uitvoeren en apparaatbeheer verstoren. Er zijn ook verschillende versies van Stage 2 in het wild. Sommige versies zijn uitgerust met een destructieve module die een partitie van de apparaatfirmware overschrijft, start vervolgens opnieuw op om het apparaat onbruikbaar te maken (de malware blokkeert de router, IoT of NAS-apparaat, eigenlijk).

Stap 3: VPNFilter Stage 3-modules werken als plug-ins voor Stage 2, waardoor de functionaliteit van VPNFilter wordt uitgebreid. Eén module fungeert als een pakketsniffer die inkomend verkeer op het apparaat verzamelt en inloggegevens steelt. Een andere stelt de Stage 2-malware in staat om veilig te communiceren met Tor. Cisco Talos heeft ook één module gevonden die schadelijke inhoud injecteert in verkeer dat door het apparaat gaat, wat betekent dat de hacker via een router, IoT of NAS verdere exploits kan leveren aan andere verbonden apparaten apparaat.

Bovendien zorgen VPNFilter-modules "voor diefstal van inloggegevens van websites en de bewaking van Modbus SCADA-protocollen."

Foto delen Meta

Een ander interessant (maar niet nieuw ontdekt) kenmerk van de VPNFilter-malware is het gebruik van online fotodeelservices om het IP-adres van de C & C-server te vinden. Uit de Talos-analyse bleek dat de malware verwijst naar een reeks Photobucket-URL's. De malware downloadt de eerste afbeelding in de galerij verwijst naar de URL en haalt een IP-adres van de server op dat verborgen is in de afbeelding metadata.

Het IP-adres 'wordt gehaald uit zes integerwaarden voor GPS-breedtegraad en lengtegraad in de EXIF-informatie.' Als dat niet lukt, de Fase 1-malware valt terug naar een normaal domein (toknowall.com - meer hierover hieronder) om de afbeelding te downloaden en hetzelfde te proberen werkwijze.

Gericht pakket snuiven

Het bijgewerkte Talos-rapport onthulde een aantal interessante inzichten in de VPNFilter-pakketsnuffelmodule. In plaats van alles op te hoesten, heeft het een vrij strikte set regels die gericht zijn op specifieke soorten verkeer. Specifiek verkeer van industriële controlesystemen (SCADA) die verbinding maken via TP-Link R600 VPN's, verbindingen met een lijst van voorgedefinieerde IP-adressen (die een geavanceerde kennis van andere netwerken en gewenst verkeer aangeven), evenals datapakketten van 150 bytes of groter.

Craig William, senior technologieleider en global outreach manager bij Talos, vertelde Ars, "Ze zijn op zoek naar heel specifieke dingen. Ze proberen niet zoveel mogelijk verkeer te verzamelen. Ze zijn op zoek naar bepaalde zeer kleine dingen, zoals inloggegevens en wachtwoorden. We hebben daar niet veel informatie over, behalve dat het ongelooflijk gericht en ongelooflijk geavanceerd lijkt. We proberen nog steeds uit te zoeken op wie ze dat gebruikten. "

Waar komt VPNFilter vandaan?

Er wordt gedacht dat VPNFilter dat is het werk van een door de staat gesponsorde hackgroep. Dat de aanvankelijke stijging van de VPNFilter-infectie voornamelijk in heel Oekraïne werd gevoeld, wezen de eerste vingers op door Rusland gesteunde vingerafdrukken en de hackgroep Fancy Bear.

De verfijning van de malware is echter zo groot dat er geen duidelijke oorsprong is en geen hackgroep, al dan niet in natiestaat, naar voren is gekomen om de malware te claimen. Gezien de gedetailleerde malwareregels en de targeting van SCADA en andere industriële systeemprotocollen, lijkt een nationale actor het meest waarschijnlijk.

Ongeacht wat ik denk, gelooft de FBI dat VPNFilter een Fancy Bear-creatie is. In mei 2018 heeft de FBI een domein in beslag genomen—ToKnowAll.com — waarvan werd gedacht dat het werd gebruikt om Stage 2 en Stage 3 VPNFilter-malware te installeren en te besturen. De inbeslagname van het domein heeft zeker geholpen om de onmiddellijke verspreiding van VPNFilter te stoppen, maar heeft de hoofdslagader niet doorgesneden; de Oekraïense SBU heeft in juli 2018 een VPNFilter-aanval op een chemische verwerkingsfabriek uitgeschakeld.

VPNFilter vertoont ook overeenkomsten met de BlackEnergy-malware, een APT-trojan die wordt gebruikt tegen een breed scala aan Oekraïense doelen. Nogmaals, hoewel dit verre van volledig bewijs is, komt de systematische doelgerichtheid van Oekraïne voornamelijk voort uit het hacken van groepen met Russische banden.

Ben ik besmet met VPNFilter?

De kans is groot dat uw router geen VPNFilter-malware herbergt. Maar het is altijd beter dan genezen:

1. Bekijk deze lijst voor uw router. Als je niet op de lijst staat, is alles in orde.
2. Je kunt naar de Symantec VPNFilter Check-site. Vink het vakje Algemene voorwaarden aan en klik op de Voer VPNFilter Check uit knop in het midden. De test is binnen enkele seconden voltooid.

Ik ben besmet met VPNFilter: wat moet ik doen?

Als de Symantec VPNFilter Check bevestigt dat uw router is geïnfecteerd, heeft u een duidelijke procedure.

1. Reset uw router en voer de VPNFilter-controle opnieuw uit.
2. Reset uw router naar fabrieksinstellingen.
3. Download de nieuwste firmware voor uw router en voltooi een schone firmware-installatie, bij voorkeur zonder dat de router tijdens het proces een online verbinding maakt.

Daarnaast moet u volledige systeemscans uitvoeren op elk apparaat dat op de geïnfecteerde router is aangesloten.

U moet altijd de standaard inloggegevens van uw router wijzigen, evenals alle IoT- of NAS-apparaten (IoT-apparaten maken deze taak niet gemakkelijk Waarom het internet der dingen de grootste beveiligingsnachtmerrie isOp een dag kom je thuis van je werk om te ontdekken dat je cloud-enabled huisbeveiligingssysteem is geschonden. Hoe kon dit gebeuren? Met Internet of Things (IoT) zou je de harde weg kunnen vinden. Lees verder ) indien mogelijk. Hoewel er bewijs is dat VPNFilter sommige firewalls kan omzeilen, een geïnstalleerd en correct geconfigureerd 7 eenvoudige tips om uw router en Wi-Fi-netwerk binnen enkele minuten te beveiligenIs iemand aan het snuiven en afluisteren van uw wifi-verkeer, uw wachtwoorden en creditcardnummers stelen? Zou je zelfs weten of iemand dat was? Waarschijnlijk niet, dus beveilig je draadloze netwerk met deze 7 eenvoudige stappen. Lees verder helpt veel andere vervelende dingen uit je netwerk te houden.

Pas op voor router-malware!

Router-malware komt steeds vaker voor. IoT-malware en kwetsbaarheden zijn overal en met het aantal apparaten dat online komt, zal het alleen maar erger worden. Uw router is het brandpunt van gegevens in uw huis. Toch krijgt het niet zoveel aandacht voor beveiliging als andere apparaten.

Simpel gezegd, uw router is niet veilig zoals u denkt 10 manieren waarop uw router niet zo veilig is als u denktHier zijn 10 manieren waarop uw router kan worden misbruikt door hackers en drive-by draadloze kapers. Lees verder .