Denne artikel er blevet skabt for at forklare hvad der præcist er VPNFilter malware og hvordan du sikrer dit netværk mod denne massive infektion ved at beskytte din router samt beskytte dine computere.
En ny malware, går under navnet VPNFilter har efter sigende inficeret løbet 500 tusind router enheder på tværs af mest udbredte mærker som Linksys, Mikrotik, NETGEAR samt TP-Link, oftest bruges i hjem og kontorer. De cyber-sec forskere på Cisco Talos har rapporteret, at truslen er reel, og det er live, Selv troede de inficerede enheder er under efterforskning i øjeblikket. Den malware sigende har noget at gøre med den BlackEnergy malware, hvilken målrettede flere enheder i Ukraine og Industrial Control Systems i USA. Hvis du ønsker at vide mere om VPNFilter malware og lære, hvordan du kan fjerne det fra dit netværk plus beskytte dit netværk, anbefaler vi, at du læser denne artikel.
Trussel Summary
| Navn | VPNFilter |
| Type | IoT Trojan (Infostealer) og Botnet Infektion |
| Kort beskrivelse | Har til formål at inficere komplette netværk og stjæle kritiske netværk oplysninger plus videresende det til tredjeparts værter. |
| Symptomer | Din computer og webbrowser kan føre dig til phishing-websteder via hvilke skurke kan indsamle vigtige oplysninger. |
| Distributionsmetode | via orme, botnet og andre automatiserede infektion metoder. |
| Værktøj Detection | Se, om dit system er blevet påvirket af malware Hent Værktøj til fjernelse af malware | Brugererfaring | Tilmeld dig vores forum at diskutere VPNFilter. |
VPNFilter Malware - Hvordan virker det inficere
Den VPNFIlter malware bruger en meget kompliceret to-trins infektionsmetode, hvis resultat er din computer til at blive et offer for efterretningsindsamling og endda desctruction drift.
Stage 1 af infektion (Loader)
The first stage of this virus involves a reboot on your router or hub. Siden VPNFilter malware mål primært routere samt andre internet-of-ting enheder, ligesom Mirai malware det kan komme som et resultat af en automatisk botnet angreb, der er unleased som følge af centrale servere bliver kompromitteret successufully. Infektionen er dog conduced ved hjælp af en udnytte, der udløser en genstart af smarte enhed. Det vigtigste mål for denne fase 1 er at få delvis kontrol og muliggøre indsættelsen af Stage 2 efter genstart er afsluttet. Faser Stage 1 er følgende:
1.Trækker ned et foto fra Photobucket.
2.Exploits er udløst og metadata bruges til at kalde IP-adresser.
3.Forbindes til Stage 2 server og downloader Stage 2 malware hvorefter udfører den automatisk.
De assoicated webadresser med den første fase af infektion er rapporteret af forskere for at være de biblioteker af falske Photobucket brugere:
→ Photobucket[.]dk / user / nikkireed11 / bibliotek
Photobucket[.]dk / user / kmila302 / bibliotek
Photobucket[.]dk / user / lisabraun87 / bibliotek
Photobucket[.]dk / user / eva_green1 / bibliotek
Photobucket[.]dk / user / monicabelci4 / bibliotek
Photobucket[.]dk / user / katyperry45 / bibliotek
Photobucket[.]dk / user / saragray1 / bibliotek
Photobucket[.]dk / user / millerfred / bibliotek
Photobucket[.]dk / user / jeniferaniston1 / bibliotek
Photobucket[.]dk / user / amandaseyfried1 / bibliotek
Photobucket[.]dk / user / suwe8 / bibliotek
Photobucket[.]dk / user / bob7301 / bibliotek
UPDATE juli 2018: Den sikkerhed rapporter tyder på, at VPNFilter svaghed påvirker følgende forhandlere og modeller:
- ASUS - RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, og RT-N66U.
- D-Link - ASUS - RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, og RT-N66U.
- Huawei - HG8245.
- Linksys - E1200, 2500, E3000 E3200, E4200, RV082, og WRVS4400N.
- Mikrotik - CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, og STX5.
- Netgear - DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, og UTM50.
- QNAP - TS251, TS439 Pro, og andre QNAP NAS-enheder kører QTS software.
- TP-LINK - R600VPN, TL-WR741ND, og TL-WR841N.
- Ubiquiti - NSM2 og PBE M5.
- ZTE - ZXHN H108N.
Analytikerne har også afsløret de specifikke svagheder, der anvendes til de nævnte enheder:
QNAP FTP-tjenesten (Godkendelse Bypass CVE-2015-7261), D-Link DIR-300 (Reaper Fjernudførelse af kode CVE-2011-4723),
ASUS RT-AC66U, RT-N66U (Fjernbetjening af kode CVE-2014-9583),
Linksys E2500 (Reaper OS Kommando Injection CVE-2013-2678), Sårbar UPnP service (f.eks. Netgear / TP-Link / D-Link) (Buffer Overflow CVE-2013-0229, Stack Overflow Sårbarhed
CVE-2013-0230, Stack Overflow CVE-2012-5958, Stack Overflow VulnerabilityCVE-2012-5959), QNAP QTS før 4.2.4 Byg 20170313 (Fjernbetjening af kode CVE-2017-6361),
ASUS RT-AC * og RT-N * (Router jsonp Info Leak CVE-2017-8877), Netgear R6400, R7000, R8000 (Router Password Disclosure CVE-2017-5521),
D-Link DIR-300 (Reaper Router fjernudførelse af kode),
Netgear WNR2000 (Router Password Disclosure), Netgear R6400, R7000 (Fjernbetjening af kode CVE-2016-6277),
ASUS RT-N66U (Router Session Stealing CVE-2017-6549), Linksys E4200 (OS Kommando Injection CVE-2013-2679),
Netgear WNR1000 (Godkendelse Bypass Sårbarhed, Router Password Disclosure),
TP-Link TL-WR841N (-Godkendt Router Access Sårbarhed).
Stage 2 af infektion
Når den anden fase af infektion er udløst den faktiske kapaciteter af VPNFilter malware er sluppet løs. De omfatter brugen af virus i følgende aktiviteter:
- Forbinder til en C&C server.
- Forbindes til en Stage 3 Server.
- udfører Tor, P.S. og andre plugins.
- Udfører de ondsindede aktiviteter malware, der omfatter dataindsamling, kommandoudførelse, fil tyveri, device management.
- Stand til at udføre selv-ødelæggelser aktivitet.
De tilhørende IP-adresser med anden fase af infektion indberettes af forskerne til at være følgende:
→ 91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
Ud over disse to faser, Cyber-sikkerheds forskere på Cisco Talos har også rapporteret om en 3. etape server i spil, det formål, som hidtil fortsat at være ukendt. Fra hvad det ser ud, denne malware er allerede tegner til at blive en meget sofistikeret infektion, og det er ikke undervurderes, da det er infektion sats kan stige.
VPNFilter botnet malware - Skadelige Aktiviteter
De vigtigste aktiviteter, som har været forbundet med den VPNFilter malware er blevet rapporteret til at blive delt i to dele af malware forskere, det første sæt, som er præoperationelle aktiviteter, der indsamler oplysninger før der rent faktisk udfører det endelige mål aktiviteter. Ud over dette, Cisco Talos eksperter har også rapporteret ligheder i VPNFilter malware og de tidligere rapporterede BlackEnergy IoT botnet, som blev brugt til at målrette organisationer og regeringer i US. og Ukraine. Den malware brugt den samme saparate fase type infektion moduler, der er et tegn det kan anvendes af de samme mennesker bag BlackEnergy infektion.
Aktiviteten af VPNFilter malware begynder med det preparational fase, som først kontrollerer udgående og indgående TCP / IPv4 trafik. Det gør, at check-in for at forstå, at destinationen IP-adressen matcher, hvad det har fundet, når lytteren er aktiv. Hvis dette er tilfældet, virus PROCEDES for at sikre, at den pakkede har otte eller flere byte og scanss dataene for specifikke bytes bagefter. Så snart dette er gjort, virussen initierer et opkald proces til en nyligt modtaget IP-adresse, som var dybest set disse bytes det kontrolleres, og dette resulterer i det etape 2 at begynde.
Den anden fase, denne malware gør meget mere end den første, som er grundlæggende, VPNFilter s loader. Scenen omfatter skabelsen af følgende diredctory i ofrets enhed:
→ /var / run / vpnfilterm (m er til moduler bibliotek)
/var / run / vpnfilterw (w er til bearbejdning bibliotek)
Derefter, malware begynder at dræbe forskellige moduler og overskrive data på dem, en af disse moduler er:
→ /dev / mtdblock0 (Det er første 5,000 bytes overskrives med nuller og enheden genstartes)
Når dette er gjort, den VPNFilter malware udfører en shell kommando og derefter opsætter Det er Tor konfiguration, som i sin tur sikrer, at anonymitet er aktiveret. Så snart dette er gjort, virus kopierer en fil fra det klient direkte til serveren. VPNFilter stopper ikke der dog – den Bøtner malware goeas så langt som til at sætte to typer af URL'er:
- Sæt en URL i konfigurationen panel af den aktuelle konfiguration af enheden.
- Angiv en brugerdefineret URL i den aktuelle proxykonfigurationen.
Når virussen har sat en URL, det fortsætter i retning af fifle med portindstillingerne, ved at ændre standard proxyporten og fastsætte en forsinkelse mellem de vigtigste loop henrettelser.
Efter at gøre alle disse forbryderiske handlinger, malware genstarter tingenes internet-enhed i længere tid end normalt og derefter henter en URL, hvorefter gemmer den i en fil. Ud over alt dette, det kan stoppe infektionen proces medio infektion eller muligvis forsinke det.
Malwaren fortsætter derefter til det tredje trin, der endnu ikke er blevet beskrevet af forskere, da de stadig kan være i gang med at analysere det, men det menes, at den tredje fase er relateret med malware formål, som er at:
- Stjæl forskellige oplysninger fra hver enhed i netværket.
- Stjæl netværksdata.
- Anskaf adgangskoder og kommunikationsdata.
- Anskaf tastetryk og andre data.
- Skift parametre på enheden eller ændre parametre IoT om de endelige enheder i netværket for at gøre dem sårbare for malwareinfektioner.
De enheder, der hidtil er blevet kompromitteret, kan findes i følgende liste, som Cisco Talos forskere har hidtil samlet for at være blandt de 100% inficerede dem:
Udover disse anordninger, forskerne har også rapporteret TP-Link, Netgear, Linksys og andre brugerdefinerede ISP routere og tingenes internet-enheder til også at være blandt de 500,000 inficeret da de mener, at malware kan være mere avanceret end dit gennemsnitlige botnet i naturen. En farlig egenskab ved VPNFilter malware er dens evne til at overvåge Modbus SCADA protokoller. Dette er en af de mest populære serielle kommunikationsprotokoller, der anvendes i industrien til automatisk Tingenes internet enheder. Protokollen kan implementeres ved hjælp af forskellige forbindelsestyper og er stadig en af de mest alsidige måder at styre enheder.
Sådan fjernes den VPNFilter malware og beskytte dit netværk fra det
Når vi taler om malware på niveauet for VPNFilter, en simpel oprydning og nulstilling af din router ikke vil skære det til fjernelse, da malware kan være en kompliceret trussel, som dybt kan integrere objekter i firmwaren på din router som forklaret i ”Aktivitet” stykker oven. Det er derfor, det første skridt er at kontrollere, om dit netværk er blevet kompromitteret af denne malware. Cisco forskere kraftigt råde til at gøre det ved at følge disse trin:
Trin 1: Opret en ny vært Gruppe med navnet ”VPNFilter C2” og gøre det til at være under de Outside værter via Java UI.
Trin 2: Når det er gjort, validere, at gruppen ikke kommunikere i øjeblikket ved at kontrollere de ”samtaler” af gruppen selv på din enhed.
Trin 3: Hvis der ikke er aktiv trafik, forskere rådgive netværk administators at skabe en tur wire type alarm, der giver besked, så snart der er trafik i værten gruppen via skabe en begivenhed og vælge værten i web-brugergrænsefladen.
udover dette, med henblik på at sørge for, at dit netværk er sikker samt private, Vi anbefaler, at du vælger en mere sikker router enhed, men husk på, at en enhed er sikker, da det er software, så du skal sørge for at også oprettet en VPN og i tillæg til dette at tale med din internetudbyder for at være sikker på, at forbindelsen er sikret undervejs også. Nedenfor, du kan finde en liste over de mest sikre routere og de bedste NAS-enheder blandt hvilke kan du vælge den, der er passende for dit netværk:
→Relaterede:Den mest sikre NAS-enheder i 2017
→Relaterede:Som er de mest sikre routere i 2017
Og for enden enhedssikkerhed vi vil anbefale, at du udstyre din organisation med brugerdefinerede konfigureret enheder og holde konfigurationen offentliggjorte oplysninger selv til medarbejderne i selskabet, da dette minimalizes risikoen for forbrug.
Og som altid, sikkerhedseksperter anbefaler at sikre de endelige enheder i din organisation samt, da de ofte bliver ”patient nul” af sådanne infektioner. Her er nogle tips kan du følge for at sikre end-enheder fra malware:
Trin 1: Installer en avancerede anti-malware-softwarepå hver enhed. Den leveres som standard med aktiv beskyttelse i realtid og hyppige opdateringer.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
Trin 2: Kør programmer i sandkasse miljø. Det forhindrer enhver henrettet type malware til at køre effektivt på din computer ved at isolere det i en krypteret lag, som fungerer som en mur af beskyttelse.
Trin 3: Sørg for, at brugerne i dit netværk er opmærksomme på forskellige Router sikkerhedsrisici som kan blive svagheder til en reel klynge af hovedpine.
Trin 4: Sørg for at uddanne dine medarbejdere om, hvordan man sikkert gemme dine filer at beskytte dem mod malware.
Ventsislav Krastev
Ventsislav har dækket de nyeste malware, software og nyeste tech udviklinger på SensorsTechForum for 3 år nu. Han startede som en netværksadministrator. Have uddannet Marketing samt, Ventsislav har også passion for opdagelsen af nye skift og innovationer i cybersikkerhed, der bliver spillet skiftere. Efter at have studeret Value Chain Management og derefter Network Administration, han fandt sin passion inden cybersecrurity og er en stærk tilhænger af grunduddannelse for alle brugere mod online sikkerhed.
Følg mig:
- Guide 1: How to Remove VPNFilter from Windows.
- Guide 2: Get rid of VPNFilter from Mac OS X.
- Guide 3: Remove VPNFilter from Google Chrome.
- Guide 4: Erase VPNFilter from Mozilla Firefox.
- Guide 5: Uninstall VPNFilter from Microsoft Edge.
- Guide 6: Remove VPNFilter from Safari.
- Guide 7: Eliminate VPNFilter from Internet Explorer.
Vinduer Mac OS X Google Chrome Mozilla Firefox Microsoft Edge Safari Internet Explorer
How to Remove VPNFilter from Windows.
Trin 1: Boot Your PC In Safe Mode to isolate and remove VPNFilter
Trin 2: Uninstall VPNFilter and related software from Windows
Her er en metode i nogle få nemme trin, der bør være i stand til at afinstallere de fleste programmer. Uanset om du bruger Windows 10, 8, 7, Vista eller XP, disse skridt vil få arbejdet gjort. At trække det program eller dets mappe til papirkurven kan være en meget dårlig beslutning. Hvis du gør det, stumper og stykker af programmet er efterladt, og det kan føre til ustabile arbejde på din PC, fejl med filtypen foreninger og andre ubehagelige aktiviteter. Den rigtige måde at få et program fra din computer er at afinstallere det. For at gøre dette:
Følg anvisningerne ovenfor, og du vil afinstallere de fleste programmer.Trin 3: Rens eventuelle registre, created by VPNFilter on your computer.
De normalt målrettede registre af Windows-maskiner er følgende:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
Du kan få adgang til dem ved at åbne Windows Registry Editor og slette eventuelle værdier, created by VPNFilter there. Dette kan ske ved at følge trinene nedenunder:
Tip: For at finde en virus-skabt værdi, du kan højreklikke på det og klikke "Modificere" at se, hvilken fil det er indstillet til at køre. Hvis dette er virus fil placering, fjerne værdien.Inden start "Trin 4", be om boot tilbage til normal tilstand, hvis du er i øjeblikket i fejlsikret tilstand.
Dette vil gøre det muligt for dig at installere og brug SpyHunter 5 succesfuld.
Vinduer Mac OS X Google Chrome Mozilla Firefox Microsoft Edge Safari Internet Explorer
Get rid of VPNFilter from Mac OS X.
Trin 1: Afinstaller VPNFilter og fjerne relaterede filer og objekter
1. ramte ⇧ + ⌘ + U nøgler til at åbne Hjælpeprogrammer. En anden måde er at klikke på ”Gå”Og derefter klikke på”Hjælpeprogrammer", ligesom på billedet nedenfor viser:
- Gå til Finder.
- I søgefeltet skriv navnet på den app, du vil fjerne.
- Over søgefeltet ændre to rullemenuerne til "System Files" og "Er Inkluderet" så du kan se alle de filer, der er forbundet med det program, du vil fjerne. Husk på, at nogle af filerne kan ikke være relateret til den app, så være meget forsigtig, hvilke filer du sletter.
- Hvis alle filerne er relateret, hold ⌘ + A knapperne til at vælge dem og derefter køre dem til "Affald".
In case you cannot remove VPNFilter via Trin 1 over:
I tilfælde af at du ikke finde virus filer og objekter i dine programmer eller andre steder, vi har vist ovenfor, kan du manuelt søge efter dem i bibliotekerne i din Mac. Men før du gør dette, læs den fulde ansvarsfraskrivelse nedenfor:
Du kan gentage den samme procedure med følgende andre Bibliotek biblioteker:
→ ~ / Library / LaunchAgents
/Bibliotek / LaunchDaemons
Tip: ~ er der med vilje, fordi det fører til flere LaunchAgents.
Trin 2: Scanne for og fjerne malware fra din Mac
Når du står over for problemer på din Mac som et resultat af uønskede scripts, programmer og malware, den anbefalede måde at eliminere truslen er ved hjælp af en anti-malware program. Combo Cleaner tilbyder avancerede sikkerhedsfunktioner sammen med andre moduler, der vil forbedre din Mac sikkerhed og beskytte det i fremtiden.
Vinduer Mac OS X Google Chrome Mozilla Firefox Microsoft Edge Safari Internet Explorer
Remove VPNFilter from Google Chrome.
Trin 1: Start Google Chrome og åbn drop menu
Trin 2: Flyt markøren hen over "Værktøj" og derefter fra den udvidede menu vælge "Udvidelser"
Trin 3: Fra den åbnede "Udvidelser" Menuen lokalisere den uønskede udvidelse og klik på dens "Fjerne" knap.
Trin 4: Efter udvidelsen er fjernet, genstart Google Chrome ved at lukke det fra den røde "X" knappen i øverste højre hjørne, og starte den igen.
Vinduer Mac OS X Google Chrome Mozilla Firefox Microsoft Edge Safari Internet Explorer
Erase VPNFilter from Mozilla Firefox.
Trin 1: Start Mozilla Firefox. Åbn menu vindue
Trin 2: Vælg "Add-ons" ikon fra menuen.
Trin 3: Vælg den uønskede udvidelse og klik "Fjerne"
Trin 4: Efter udvidelsen er fjernet, genstarte Mozilla Firefox ved at lukke det fra den røde "X" knappen i øverste højre hjørne, og starte den igen.
Vinduer Mac OS X Google Chrome Mozilla Firefox Microsoft Edge Safari Internet Explorer
Uninstall VPNFilter from Microsoft Edge.
Trin 1: Start Edge-browser.
Trin 2: Åbn menuen dråbe ved at klikke på ikonet øverst højre hjørne.
Trin 3: Fra drop-menuen vælg "Udvidelser".
Trin 4: Vælg den formodede ondsindet udvidelse, du vil fjerne, og derefter klikke på gear ikon.
Trin 5: Fjern ondsindet udvidelse af rulle ned og derefter klikke på Afinstaller.
Vinduer Mac OS X Google Chrome Mozilla Firefox Microsoft Edge Safari Internet Explorer
Remove VPNFilter from Safari.
Trin 1: Start Safari-appen.
Trin 2: Efter at holde musen markøren til toppen af skærmen, klik på Safari tekst til at åbne sit drop down menu.
Trin 3: Fra menuen, Klik på "Indstillinger".
Trin 4: Efter at, vælg 'Udvidelser' Tab.
Trin 5: Klik én gang på udvidelse, du vil fjerne.
Trin 6: Klik 'Fjern'.
Et pop-up vindue vises beder om bekræftelse til at afinstallere forlængelsen. Vælg 'Fjern' igen, and the VPNFilter will be removed.
Vinduer Mac OS X Google Chrome Mozilla Firefox Microsoft Edge Safari Internet Explorer
Eliminate VPNFilter from Internet Explorer.
Trin 1: Start Internet Explorer.
Trin 2: Klik på gear ikon mærket 'Funktioner' at åbne drop-menuen og vælg 'Administrer tilføjelser'
Trin 3: I 'Administrer tilføjelser' vindue.
Trin 4: Vælg den udvidelse, du vil fjerne, og klik derefter på 'Deaktiver'. Et pop-up vindue vises for at informere dig om, at du er ved at deaktivere den valgte udvidelse, og nogle flere tilføjelser kan være deaktiveret så godt. Lad alle boksene kontrolleret, og klik 'Deaktiver'.
Trin 5: Efter den uønskede udvidelse er blevet fjernet, genstart Internet Explorer ved at lukke det fra den røde 'X' knap placeret i øverste højre hjørne, og starte den igen.
Hvis jeg ønskede at se, om mit netværk påvirkes kunne jeg køre en Wireshark fange på min gateway og bare kigge efter etapen to offentlige ip s?