VPNFilter UNIX Trojan - hvordan du fjerner det og beskytte dit netværk

Denne artikel er blevet skabt for at forklare hvad der præcist er VPNFilter malware og hvordan du sikrer dit netværk mod denne massive infektion ved at beskytte din router samt beskytte dine computere.

En ny malware, går under navnet VPNFilter har efter sigende inficeret løbet 500 tusind router enheder på tværs af mest udbredte mærker som Linksys, Mikrotik, NETGEAR samt TP-Link, oftest bruges i hjem og kontorer. De cyber-sec forskere på Cisco Talos har rapporteret, at truslen er reel, og det er live, Selv troede de inficerede enheder er under efterforskning i øjeblikket. Den malware sigende har noget at gøre med den BlackEnergy malware, hvilken målrettede flere enheder i Ukraine og Industrial Control Systems i USA. Hvis du ønsker at vide mere om VPNFilter malware og lære, hvordan du kan fjerne det fra dit netværk plus beskytte dit netværk, anbefaler vi, at du læser denne artikel.

Den VPNFIlter malware bruger en meget kompliceret to-trins infektionsmetode, hvis resultat er din computer til at blive et offer for efterretningsindsamling og endda desctruction drift.

Stage 1 af infektion (Loader)

Den første etape af dette virus indebærer en genstart på din router eller hub. Siden VPNFilter malware mål primært routere samt andre internet-of-ting enheder, ligesom Mirai malware det kan komme som et resultat af en automatisk botnet angreb, der er unleased som følge af centrale servere bliver kompromitteret successufully. Infektionen er dog conduced ved hjælp af en udnytte, der udløser en genstart af smarte enhed. Det vigtigste mål for denne fase 1 er at få delvis kontrol og muliggøre indsættelsen af ​​Stage 2 efter genstart er afsluttet. Faser Stage 1 er følgende:

1.Trækker ned et foto fra Photobucket.
2.Exploits er udløst og metadata bruges til at kalde IP-adresser.
3.Forbindes til Stage 2 server og downloader Stage 2 malware hvorefter udfører den automatisk.

De assoicated webadresser med den første fase af infektion er rapporteret af forskere for at være de biblioteker af falske Photobucket brugere:

→ Photobucket[.]dk / user / nikkireed11 / bibliotek
Photobucket[.]dk / user / kmila302 / bibliotek
Photobucket[.]dk / user / lisabraun87 / bibliotek
Photobucket[.]dk / user / eva_green1 / bibliotek
Photobucket[.]dk / user / monicabelci4 / bibliotek
Photobucket[.]dk / user / katyperry45 / bibliotek
Photobucket[.]dk / user / saragray1 / bibliotek
Photobucket[.]dk / user / millerfred / bibliotek
Photobucket[.]dk / user / jeniferaniston1 / bibliotek
Photobucket[.]dk / user / amandaseyfried1 / bibliotek
Photobucket[.]dk / user / suwe8 / bibliotek
Photobucket[.]dk / user / bob7301 / bibliotek

UPDATE juli 2018: Den sikkerhed rapporter tyder på, at VPNFilter svaghed påvirker følgende forhandlere og modeller:

• ASUS - RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, og RT-N66U.
• D-Link - ASUS - RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, og RT-N66U.
• Huawei - HG8245.
• Linksys - E1200, 2500, E3000 E3200, E4200, RV082, og WRVS4400N.
• Mikrotik - CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, og STX5.
• Netgear - DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, og UTM50.
• QNAP - TS251, TS439 Pro, og andre QNAP NAS-enheder kører QTS software.
• TP-LINK - R600VPN, TL-WR741ND, og TL-WR841N.
• Ubiquiti - NSM2 og PBE M5.
• ZTE - ZXHN H108N.

Analytikerne har også afsløret de specifikke svagheder, der anvendes til de nævnte enheder:

QNAP FTP-tjenesten (Godkendelse Bypass CVE-2015-7261), D-Link DIR-300 (Reaper Fjernudførelse af kode CVE-2011-4723),
ASUS RT-AC66U, RT-N66U (Fjernbetjening af kode CVE-2014-9583),
Linksys E2500 (Reaper OS Kommando Injection CVE-2013-2678), Sårbar UPnP service (f.eks. Netgear / TP-Link / D-Link) (Buffer Overflow CVE-2013-0229, Stack Overflow Sårbarhed
CVE-2013-0230, Stack Overflow CVE-2012-5958, Stack Overflow VulnerabilityCVE-2012-5959), QNAP QTS før 4.2.4 Byg 20170313 (Fjernbetjening af kode CVE-2017-6361),
ASUS RT-AC * og RT-N * (Router jsonp Info Leak CVE-2017-8877), Netgear R6400, R7000, R8000 (Router Password Disclosure CVE-2017-5521),
D-Link DIR-300 (Reaper Router fjernudførelse af kode),
Netgear WNR2000 (Router Password Disclosure), Netgear R6400, R7000 (Fjernbetjening af kode CVE-2016-6277),
ASUS RT-N66U (Router Session Stealing CVE-2017-6549), Linksys E4200 (OS Kommando Injection CVE-2013-2679),
Netgear WNR1000 (Godkendelse Bypass Sårbarhed, Router Password Disclosure),
TP-Link TL-WR841N (-Godkendt Router Access Sårbarhed).

Stage 2 af infektion

Når den anden fase af infektion er udløst den faktiske kapaciteter af VPNFilter malware er sluppet løs. De omfatter brugen af ​​virus i følgende aktiviteter:

• Forbinder til en C&C server.
• Forbindes til en Stage 3 Server.
• udfører Tor, P.S. og andre plugins.
• Udfører de ondsindede aktiviteter malware, der omfatter dataindsamling, kommandoudførelse, fil tyveri, device management.
• Stand til at udføre selv-ødelæggelser aktivitet.

De tilhørende IP-adresser med anden fase af infektion indberettes af forskerne til at være følgende:

→ 91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229

Ud over disse to faser, Cyber-sikkerheds forskere på Cisco Talos har også rapporteret om en 3. etape server i spil, det formål, som hidtil fortsat at være ukendt. Fra hvad det ser ud, denne malware er allerede tegner til at blive en meget sofistikeret infektion, og det er ikke undervurderes, da det er infektion sats kan stige.

De vigtigste aktiviteter, som har været forbundet med den VPNFilter malware er blevet rapporteret til at blive delt i to dele af malware forskere, det første sæt, som er præoperationelle aktiviteter, der indsamler oplysninger før der rent faktisk udfører det endelige mål aktiviteter. Ud over dette, Cisco Talos eksperter har også rapporteret ligheder i VPNFilter malware og de tidligere rapporterede BlackEnergy IoT botnet, som blev brugt til at målrette organisationer og regeringer i US. og Ukraine. Den malware brugt den samme saparate fase type infektion moduler, der er et tegn det kan anvendes af de samme mennesker bag BlackEnergy infektion.

Aktiviteten af VPNFilter malware begynder med det preparational fase, som først kontrollerer udgående og indgående TCP / IPv4 trafik. Det gør, at check-in for at forstå, at destinationen IP-adressen matcher, hvad det har fundet, når lytteren er aktiv. Hvis dette er tilfældet, virus PROCEDES for at sikre, at den pakkede har otte eller flere byte og scanss dataene for specifikke bytes bagefter. Så snart dette er gjort, virussen initierer et opkald proces til en nyligt modtaget IP-adresse, som var dybest set disse bytes det kontrolleres, og dette resulterer i det etape 2 at begynde.

Den anden fase, denne malware gør meget mere end den første, som er grundlæggende, VPNFilter s loader. Scenen omfatter skabelsen af ​​følgende diredctory i ofrets enhed:

→ /var / run / vpnfilterm (m er til moduler bibliotek)
/var / run / vpnfilterw (w er til bearbejdning bibliotek)

Derefter, malware begynder at dræbe forskellige moduler og overskrive data på dem, en af ​​disse moduler er:

→ /dev / mtdblock0 (Det er første 5,000 bytes overskrives med nuller og enheden genstartes)

Når dette er gjort, den VPNFilter malware udfører en shell kommando og derefter opsætter Det er Tor konfiguration, som i sin tur sikrer, at anonymitet er aktiveret. Så snart dette er gjort, virus kopierer en fil fra det klient direkte til serveren. VPNFilter stopper ikke der dog – den Bøtner malware goeas så langt som til at sætte to typer af URL'er:

• Sæt en URL i konfigurationen panel af den aktuelle konfiguration af enheden.
• Angiv en brugerdefineret URL i den aktuelle proxykonfigurationen.

Når virussen har sat en URL, det fortsætter i retning af fifle med portindstillingerne, ved at ændre standard proxyporten og fastsætte en forsinkelse mellem de vigtigste loop henrettelser.

Efter at gøre alle disse forbryderiske handlinger, malware genstarter tingenes internet-enhed i længere tid end normalt og derefter henter en URL, hvorefter gemmer den i en fil. Ud over alt dette, det kan stoppe infektionen proces medio infektion eller muligvis forsinke det.

Malwaren fortsætter derefter til det tredje trin, der endnu ikke er blevet beskrevet af forskere, da de stadig kan være i gang med at analysere det, men det menes, at den tredje fase er relateret med malware formål, som er at:

• Stjæl forskellige oplysninger fra hver enhed i netværket.
• Stjæl netværksdata.
• Anskaf adgangskoder og kommunikationsdata.
• Anskaf tastetryk og andre data.
• Skift parametre på enheden eller ændre parametre IoT om de endelige enheder i netværket for at gøre dem sårbare for malwareinfektioner.

De enheder, der hidtil er blevet kompromitteret, kan findes i følgende liste, som Cisco Talos forskere har hidtil samlet for at være blandt de 100% inficerede dem:

Udover disse anordninger, forskerne har også rapporteret TP-Link, Netgear, Linksys og andre brugerdefinerede ISP routere og tingenes internet-enheder til også at være blandt de 500,000 inficeret da de mener, at malware kan være mere avanceret end dit gennemsnitlige botnet i naturen. En farlig egenskab ved VPNFilter malware er dens evne til at overvåge Modbus SCADA protokoller. Dette er en af ​​de mest populære serielle kommunikationsprotokoller, der anvendes i industrien til automatisk Tingenes internet enheder. Protokollen kan implementeres ved hjælp af forskellige forbindelsestyper og er stadig en af ​​de mest alsidige måder at styre enheder.

Når vi taler om malware på niveauet for VPNFilter, en simpel oprydning og nulstilling af din router ikke vil skære det til fjernelse, da malware kan være en kompliceret trussel, som dybt kan integrere objekter i firmwaren på din router som forklaret i ”Aktivitet” stykker oven. Det er derfor, det første skridt er at kontrollere, om dit netværk er blevet kompromitteret af denne malware. Cisco forskere kraftigt råde til at gøre det ved at følge disse trin:

Trin 1: Opret en ny vært Gruppe med navnet ”VPNFilter C2” og gøre det til at være under de Outside værter via Java UI.
Trin 2: Når det er gjort, validere, at gruppen ikke kommunikere i øjeblikket ved at kontrollere de ”samtaler” af gruppen selv på din enhed.
Trin 3: Hvis der ikke er aktiv trafik, forskere rådgive netværk administators at skabe en tur wire type alarm, der giver besked, så snart der er trafik i værten gruppen via skabe en begivenhed og vælge værten i web-brugergrænsefladen.

udover dette, med henblik på at sørge for, at dit netværk er sikker samt private, Vi anbefaler, at du vælger en mere sikker router enhed, men husk på, at en enhed er sikker, da det er software, så du skal sørge for at også oprettet en VPN og i tillæg til dette at tale med din internetudbyder for at være sikker på, at forbindelsen er sikret undervejs også. Nedenfor, du kan finde en liste over de mest sikre routere og de bedste NAS-enheder blandt hvilke kan du vælge den, der er passende for dit netværk:

→Relaterede:Den mest sikre NAS-enheder i 2017

→Relaterede:Som er de mest sikre routere i 2017

Og for enden enhedssikkerhed vi vil anbefale, at du udstyre din organisation med brugerdefinerede konfigureret enheder og holde konfigurationen offentliggjorte oplysninger selv til medarbejderne i selskabet, da dette minimalizes risikoen for forbrug.

Og som altid, sikkerhedseksperter anbefaler at sikre de endelige enheder i din organisation samt, da de ofte bliver ”patient nul” af sådanne infektioner. Her er nogle tips kan du følge for at sikre end-enheder fra malware:

Trin 1: Installer en avancerede anti-malware-softwarepå hver enhed. Den leveres som standard med aktiv beskyttelse i realtid og hyppige opdateringer.

Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter

Trin 2: Kør programmer i sandkasse miljø. Det forhindrer enhver henrettet type malware til at køre effektivt på din computer ved at isolere det i en krypteret lag, som fungerer som en mur af beskyttelse.

Trin 3: Sørg for, at brugerne i dit netværk er opmærksomme på forskellige Router sikkerhedsrisici som kan blive svagheder til en reel klynge af hovedpine.

Trin 4: Sørg for at uddanne dine medarbejdere om, hvordan man sikkert gemme dine filer at beskytte dem mod malware.