Questo articolo è stato creato per spiegare che cosa è esattamente il malware VPNFilter e come proteggere la rete contro questa infezione massiccia proteggendo il router oltre a proteggere i computer.
Un nuovo malware, che va sotto il nome di VPNFilter ha riferito infettato oltre 500 mille dispositivi router attraverso più utilizzati marchi come Linksys, MikroTik, NETGEAR nonché TP-Link, per lo più utilizzati nelle case e negli uffici. I ricercatori hanno cyber-sec a Cisco Talos hanno riferito che la minaccia è reale ed è in diretta, anche pensato i dispositivi infetti sono sotto inchiesta al momento. Il malware ha riferito qualcosa a che fare con il malware BlackEnergy, quale più dispositivi mirati in sistemi di controllo industriali Ucraina e negli Stati Uniti. Se volete saperne di più sul VPNFilter il malware e imparare come è possibile rimuoverlo dalla rete oltre a proteggere la rete, vi consigliamo di leggere questo articolo.
Sommario minaccia
Nome | VPNFilter |
Tipo | IoT Trojan (Infostealer) e Botnet Infezione |
breve descrizione | Obiettivi per infettare le reti complete e rubare le informazioni di rete critiche più trasmetterlo agli host di terze parti. |
Sintomi | Il computer e web browser che può portare a siti di phishing tramite il quale i truffatori possono raccogliere informazioni importanti. |
Metodo di distribuzione | Via vermi, botnet e altri metodi di infezione automatizzati. |
Detection Tool |
Verifica se il tuo sistema è stato interessato da malware
Scarica
Strumento di rimozione malware
|
Esperienza utente | Iscriviti alla nostra Forum per discutere VPNFilter. |
VPNFilter Malware - Come Infettare
Il malware VPNFIlter utilizza un metodo molto complicata infezione due stadi, il cui risultato è il computer per diventare vittima di raccolta di informazioni e anche il funzionamento desctruction.
Palcoscenico 1 di infezione (caricatore)
La prima fase di questo virus comporta un riavvio del router o hub. Dal momento che gli obiettivi del malware VPNFilter principalmente router e altri dispositivi Internet-di-cose, proprio come il Mirai malware può venire come risultato di un attacco botnet automatizzato che viene unleased come risultato di server centrali compromissione successufully. L'infezione tuttavia è conduced presso l'ausilio di un exploit che scatena un riavvio del dispositivo intelligente. L'obiettivo principale di questa fase 1 è quello di ottenere il controllo parziale e consentire l'utilizzo delle stage 2 dopo il processo di riavvio ha terminato. Le fasi di Fase 1 sono le seguenti:
1.Tira giù una foto da Photobucket.
2.Gli exploit sono innescati e metadati viene utilizzato per chiamare gli indirizzi IP.
3.Si collega allo stage 2 server e download di stage 2 minacce dopodiché esegue automaticamente.
Gli URL assoicated con la prima fase di infezione sono segnalati dai ricercatori per essere le biblioteche di utenti Photobucket falsi:
→ Photobucket[.]com / user / nikkireed11 / biblioteca
Photobucket[.]com / user / kmila302 / biblioteca
Photobucket[.]com / user / lisabraun87 / biblioteca
Photobucket[.]com / user / eva_green1 / biblioteca
Photobucket[.]com / user / monicabelci4 / biblioteca
Photobucket[.]com / user / katyperry45 / biblioteca
Photobucket[.]com / user / saragray1 / biblioteca
Photobucket[.]com / user / millerfred / biblioteca
Photobucket[.]com / user / jeniferaniston1 / biblioteca
Photobucket[.]com / user / amandaseyfried1 / biblioteca
Photobucket[.]com / user / suwe8 / biblioteca
Photobucket[.]com / user / bob7301 / biblioteca
UPDATE luglio 2018: I rapporti di sicurezza indicano che la vulnerabilità VPNFilter interessa i seguenti fornitori e modelli:
- ASUS - RT-AC66U, RT-N10, RT-N10E, RT-n10U, RT-N56U, e RT-N66U.
- D-Link - ASUS - RT-AC66U, RT-N10, RT-N10E, RT-n10U, RT-N56U, e RT-N66U.
- Huawei - HG8245.
- Linksys - E1200, 2500, E3000 E3200, E4200, RV082, e WRVS4400N.
- MikroTik - CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, e STX5.
- Netgear - DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, e UTM50.
- QNAP - TS251, TS439 Pro, e altri dispositivi NAS QNAP in esecuzione il software QTS.
- TP-LINK - R600VPN, TL-WR741ND, e TL-WR841N.
- Ubiquiti - NSM2 e PBE M5.
- ZTE - H108N ZXHN.
Gli analisti hanno inoltre scoperto le vulnerabilità specifiche utilizzate per dispositivi citati:
Servizio QNAP FTP (Authentication Bypass vulnerabilità CVE-2015-7261), D-Link DIR-300 (Reaper codice in modalità remota CVE-2011-4723),
ASUS RT-AC66U, RT-N66U (Esecuzione di codice remoto CVE-2014-9583),
Linksys E2500 (Reaper OS Comando iniezione CVE-2013-2678), Vulnerabile UPnP Servizio (e.g. Netgear / TP-Link / D-Link) (Buffer Overflow Vulnerability CVE-2013-0229, Stack Overflow Vulnerability
CVE-2013-0230, Stack Overflow Vulnerability CVE-2012-5958, Stack Overflow VulnerabilityCVE-2012-5959), QTS QNAP prima 4.2.4 Costruire 20170313 (Esecuzione di codice remoto CVE-2017-6361),
ASUS RT-AC * e RT-N * (Router JSONP Info perdite CVE-2017-8877), Netgear R6400, R7000, R8000 (Router divulgazione password CVE-2017-5521),
D-Link DIR-300 (Reaper Router l'esecuzione di codice remoto),
Netgear WNR2000 (Router divulgazione password), Netgear R6400, R7000 (Esecuzione di codice remoto CVE-2016-6277),
ASUS RT-N66U (Router Session Rubare CVE-2017-6549), Linksys E4200 (OS Comando iniezione CVE-2013-2679),
Netgear WNR1000 (Vulnerabilità Bypass autenticazione, Router divulgazione password),
TP-Link TL-WR841N (Unauthenticated Vulnerabilità router di accesso).
Palcoscenico 2 di infezione
Una volta che la seconda fase di infezione è innescato le capacità effettive del VPNFilter il malware si scatenano. Essi comprendono l'utilizzo del virus nelle seguenti attività:
- Si collega a un C&Server di C.
- Si collega a uno Stage 3 server.
- esegue Tor, P.S. e altri plugin.
- Esegue le attività dannose del malware, che comprendono la raccolta dei dati, esecuzione del comando, il furto di file, gestione dei dispositivi.
- In grado di svolgere attività di auto-distruzione.
Gli indirizzi IP associati con la seconda fase di infezione sono segnalati dai ricercatori per essere il seguente:
→ 91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
In aggiunta a questi due stadi, i ricercatori di sicurezza informatica a Cisco Talos hanno anche riferito di una terza fase server in gioco, il cui scopo rimane così lontano per essere sconosciuto. Da quello che sembra, questo malware è già preannuncia essere un'infezione molto sofisticato e non è da sottovalutare in quanto è il tasso di infezione può salire.
VPNFilter Botnet Malware - attività dannose
Le principali attività che sono stati associati con la VPNFilter il malware sono stati segnalati per essere diviso in due parti dai ricercatori di malware, la prima serie di quali sono le attività pre-operativi che raccolgono le informazioni prima di poter realmente svolgere le attività obiettivo finale. In aggiunta a questo, gli esperti Cisco Talos hanno anche riferito somiglianze nella VPNFilter il malware e il già riportato BlackEnergy IoT botnet, che è stato utilizzato per colpire le organizzazioni e governi della U.S.. e l'Ucraina. Il malware utilizzato lo stesso tipo fase saparate di moduli di infezione, che è un segno che può essere utilizzato dalle stesse persone che stanno dietro l'infezione BlackEnergy.
L'attività del VPNFilter il malware inizia con la sua fase preparational che controlla in primo luogo l'uscita e in entrata TCP / IPv4 traffico. Lo fa il check-in per capire che l'indirizzo IP di destinazione corrisponde a quello che ha trovato quando l'ascoltatore è attiva. Se è così, i procedes virus per assicurarsi che il ricco ha otto o più byte e scanss i dati per i byte specifici in seguito. Non appena questo è fatto, il virus avvia un processo chiamate ad un indirizzo IP appena ricevuto che era fondamentalmente quei byte è controllato e questo si traduce in essa la fase 2 iniziare.
Il secondo stadio, questo malware fa molto di più rispetto al primo, che è fondamentalmente, loader di VPNFilter. La fase comprende la creazione dei seguenti diredctory nel dispositivo della vittima:
→ /var / run / vpnfilterm (m è per la directory dei moduli)
/var / run / vpnfilterw (w è per directory di lavoro)
Poi, il malware inizia a uccidere i moduli differenti e sovrascrivere i dati in loro, uno di questi moduli è:
→ /dev / mtdblock0 (E 'il primo 5,000 byte vengono sovrascritti con zeri e il dispositivo viene riavviato)
Dopo questo è fatto, il VPNFilter il malware esegue un comando shell e quindi imposta È configurazione Tor che in esso è volta garantisce che l'anonimato è abilitato. Non appena questo è fatto, le copie del virus un file dal suo cliente direttamente al server. VPNFilter non si ferma qui però – il malware botner goeas quanto per impostare due tipi di URL:
- Impostare un URL nel pannello di configurazione della configurazione attuale del dispositivo.
- Impostare un URL personalizzato nella configurazione proxy corrente.
Quando il virus ha fissato un URL, si procede verso armeggiare con le impostazioni della porta, modificando la porta proxy predefinito e impostare un ritardo tra i principali esecuzioni ciclo.
Dopo aver fatto tutte queste azioni scellerate, il malware si riavvia il dispositivo IoT più a lungo del normale e poi scarica un URL dopo che salva in un file. In aggiunta a tutto questo, può arrestare il processo di infezione metà infezione o possibilmente ritardare.
Il malware procede quindi alla sua terza fase che non è ancora stato descritto da ricercatori in quanto potrebbero essere ancora in fase di analizzarla, ma si ritiene che il terzo stadio è in relazione con lo scopo della di malware, che è quello:
- Rubare informazioni diverse da ciascun dispositivo in rete.
- Rubare i dati di rete.
- Ottenere le password ei dati di comunicazione.
- Ottenere sequenze di tasti e altri dati.
- Modificare parametri nell'apparecchio o modifica parametri IoT sui dispositivi terminali nella rete in modo da renderli vulnerabili per infezioni malware.
I dispositivi che sono stati finora compromessi possono essere trovate nel seguente elenco, che i ricercatori Cisco Talos hanno finora riuniti per essere tra i 100% quelli infetti:
Oltre a questi dispositivi, i ricercatori hanno riportato anche TP-Link, Netgear, dispositivi Linksys e altri router ISP costume e dell'internet degli oggetti per essere anche tra i 500,000 infettati in quanto ritengono che il malware può essere più avanzato rispetto la tua botnet media nel selvaggio. Una caratteristica pericolosa di malware VPNFilter è la sua capacità di monitorare protocolli SCADA Modbus. Questo è uno dei protocolli di comunicazione seriale più popolari che viene utilizzato nel settore per automatizzato IoT dispositivi. Il protocollo può essere implementato utilizzando vari tipi di connessione e rimane uno dei modi più versatili per controllare dispositivi.
Come rimuovere il VPNFilter malware e proteggere la rete da E
Quando parliamo di malware a livello di VPNFilter, un semplice pulizia e ripristino del router non è tagliato per la rimozione, dal momento che il malware può essere una minaccia complessa che può profondamente incorporare oggetti nel firmware del router come spiegato nei paragrafi “attività” di cui sopra. Questo è il motivo, il primo passo è quello di verificare se la rete è stata compromessa da questo malware. ricercatori Cisco consigliamo vivamente di farlo seguendo questi passaggi:
Passo 1: Creare un nuovo gruppo host con il nome “VPNFilter C2” e lo fanno per essere sotto gli host esterno tramite Java UI.
Passo 2: Una volta fatto, convalidare che il gruppo non comunica al momento controllando le “conversazioni” del gruppo stesso sul dispositivo.
Passo 3: Se non c'è traffico attivo, ricercatori consigliano Administators di rete per creare un tipo di filo viaggio di allarme che notifica non appena c'è traffico nel gruppo host tramite la creazione di un evento e selezionando l'host nell'interfaccia utente web.
oltre a questo, al fine di assicurarsi che la rete è sicuro così come privato, noi consigliamo di scegliere un dispositivo router più sicuro, ma tenere a mente che un dispositivo è sicuro in quanto è un software, così si dovrebbe fare in modo di impostare anche una VPN e oltre a questo di parlare con il provider di servizi Internet al fine di assicurarsi che la connessione è assicurata lungo la strada troppo. Sotto, è possibile trovare un elenco dei maggior parte dei router sicure e migliori dispositivi NAS tra i quali si può scegliere quello che è appropriato per la rete:
→Correlata:La più sicura delle periferiche NAS In 2017
→Correlata:Quali sono i router più sicuri 2017
E per la sicurezza dei dispositivi end vi consigliamo che si dotare la vostra organizzazione con dispositivi personalizzati configurato e mantenere le informazioni di configurazione comunicate anche ai dipendenti della società, dal momento che questo minimalizes il rischio di utilizzo.
E come sempre, ricercatori di sicurezza consigliano di fissare i dispositivi finali della vostra organizzazione così, poiché spesso diventano il “paziente zero” di tali infezioni. Ecco alcuni consigli che potete seguire per proteggere i dispositivi di fascia da malware:
Passo 1: installare un software anti-malware avanzatosu ogni dispositivo. Viene fornito di serie con protezione in tempo reale attiva e aggiornamenti frequenti.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Passo 2: Eseguire programmi in sandbox ambiente. Impedisce qualsiasi tipo eseguito malware per eseguire efficacemente nel computer isolandolo all'interno di uno strato cifrato che agisce come una parete di protezione.
Passo 3: Assicurarsi che gli utenti della rete sono a conoscenza di router diverso rischi per la sicurezza che può diventare da debolezze per un vero e proprio gruppo di mal di testa.
Passo 4: Assicurati di educare i dipendenti su come archiviare in modo sicuro i file per proteggerli da malware.
Preparazione prima di rimuovere VPNFilter.
Prima di avviare il processo di rimozione effettiva, si consiglia di effettuare le seguenti operazioni di preparazione.
- Assicurarsi di avere le istruzioni sempre aperta e di fronte ai vostri occhi.
- Fare un backup di tutti i file, anche se potrebbero essere danneggiati. È necessario eseguire il backup dei dati con una soluzione di backup su cloud e assicurare i vostri file contro qualsiasi tipo di perdita, anche dalle più gravi minacce.
- Siate pazienti in quanto ciò potrebbe richiedere un po '.
- Cerca malware
- Correggi i registri
- Rimuovere i file dei virus
Passo 1: Scansione per VPNFilter con lo strumento SpyHunter Anti-Malware
Passo 2: Pulire eventuali registri, creato da VPNFilter sul computer.
I registri di solito mirati di macchine Windows sono i seguenti:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
È possibile accedere aprendo l'editor del registro di Windows e l'eliminazione di tutti i valori, creato da VPNFilter lì. Questo può accadere seguendo la procedura sotto:
Passo 3: Find virus files created by VPNFilter on your PC.
1.Per Windows 8, 8.1 e 10.
Per i sistemi operativi Windows più recenti
1: Sulla vostra stampa della tastiera + R e scrivi explorer.exe nel Correre casella di testo e quindi fare clic sul Ok pulsante.
2: Clicca su PC dalla barra di accesso rapido. Questo è di solito una icona con un monitor e il suo nome è o "Il mio computer", "Il mio PC" o "Questo PC" o quello che hanno chiamato.
3: Passa alla casella di ricerca in alto a destra sullo schermo del tuo PC e digita "FileExtension:" e dopo di che digitare l'estensione del file. Se siete alla ricerca di eseguibili dannosi, Un esempio può essere "FileExtension:exe". Dopo aver fatto che, lasciare uno spazio e digitare il nome del file si ritiene che il malware si è creato. Ecco come si può essere visualizzato se è stato trovato il file:
NB. Consigliamo di attendere che la barra verde di caricamento nel box di navigazione si riempia nel caso il PC stia cercando il file e non lo abbia ancora trovato.
2.Per Windows XP, Vista, e 7.
Per i sistemi operativi Windows meno recenti
Nei vecchi sistemi operativi Windows l'approccio convenzionale dovrebbe essere quello efficace:
1: Clicca sul Menu iniziale icona (di solito sulla vostra in basso a sinistra) e quindi scegliere il Ricerca preferenza.
2: Una volta visualizzata la finestra di ricerca, scegliere Altre opzioni avanzate da l'assistente di ricerca. Un altro modo è cliccando su Tutti i file e le cartelle.
3: Dopo di che tipo il nome del file che si sta cercando e fare clic sul pulsante di ricerca. Questo potrebbe richiedere un certo tempo dopo il quale verranno visualizzati i risultati. Se avete trovato il file dannoso, è possibile copiare o aprire la sua posizione da pulsante destro del mouse su di essa.
Ora si dovrebbe essere in grado di scoprire qualsiasi file in Windows, purché sia sul disco rigido e non è nascosto via software speciale.
Domande frequenti sul filtro VPN
What Does VPNFilter Trojan Do?
The VPNFilter Trojan è un programma informatico dannoso progettato per disturbare, danno, o ottenere un accesso non autorizzato ad un sistema informatico. Può essere utilizzato per rubare dati sensibili, ottenere il controllo di un sistema, o avviare altre attività dannose.
I trojan possono rubare le password?
Sì, Trojan, come VPNFilter, può rubare le password. Questi programmi dannosi sono progettati per ottenere l'accesso al computer di un utente, spiare le vittime e rubare informazioni sensibili come dati bancari e password.
Can VPNFilter Trojan Hide Itself?
Sì, può. Un Trojan può utilizzare varie tecniche per mascherarsi, compresi i rootkit, crittografia, e offuscazione, per nascondersi dagli scanner di sicurezza ed eludere il rilevamento.
È possibile rimuovere un Trojan tramite il ripristino delle impostazioni di fabbrica?
Sì, un Trojan può essere rimosso ripristinando le impostazioni di fabbrica del dispositivo. Questo perché ripristinerà il dispositivo al suo stato originale, eliminando qualsiasi software dannoso che potrebbe essere stato installato. Tieni presente che esistono trojan più sofisticati che lasciano backdoor e infettano nuovamente anche dopo un ripristino delle impostazioni di fabbrica.
Can VPNFilter Trojan Infect WiFi?
Sì, è possibile che un trojan infetti le reti WiFi. Quando un utente si connette alla rete infetta, il Trojan può diffondersi ad altri dispositivi connessi e può accedere a informazioni sensibili sulla rete.
I trojan possono essere eliminati?
Sì, I trojan possono essere eliminati. Ciò viene in genere eseguito eseguendo un potente programma antivirus o antimalware progettato per rilevare e rimuovere file dannosi. In alcuni casi, potrebbe anche essere necessaria la cancellazione manuale del Trojan.
I trojan possono rubare i file?
Sì, I trojan possono rubare file se sono installati su un computer. Questo viene fatto consentendo al autore di malware o utente per ottenere l'accesso al computer e quindi rubare i file memorizzati su di esso.
Quale anti-malware può rimuovere i trojan?
Programmi anti-malware come SpyHunter sono in grado di scansionare e rimuovere i trojan dal tuo computer. È importante mantenere aggiornato il tuo anti-malware e scansionare regolarmente il tuo sistema alla ricerca di software dannoso.
I trojan possono infettare USB?
Sì, I trojan possono infettare USB dispositivi. Trojan USB in genere si diffondono tramite file dannosi scaricati da Internet o condivisi tramite e-mail, consentendo all'hacker di accedere ai dati riservati di un utente.
Informazioni sulla ricerca sui filtri VPN
I contenuti che pubblichiamo su SensorsTechForum.com, questa guida alla rimozione di VPNFilter inclusa, è il risultato di ricerche approfondite, il duro lavoro e la dedizione del nostro team per aiutarti a rimuovere il problema specifico del trojan.
Come abbiamo condotto la ricerca su VPNFilter?
Si prega di notare che la nostra ricerca si basa su un'indagine indipendente. Siamo in contatto con ricercatori di sicurezza indipendenti, grazie al quale riceviamo aggiornamenti quotidiani sulle ultime definizioni di malware, compresi i vari tipi di trojan (porta sul retro, downloader, Infostealer, riscatto, eccetera)
Inoltre, the research behind the VPNFilter threat is backed with VirusTotal.
Per comprendere meglio la minaccia rappresentata dai trojan, si prega di fare riferimento ai seguenti articoli che forniscono dettagli informati.
Se volevo vedere se la mia rete è influenzata ho potuto eseguire una cattura Wireshark sul mio gateway e basta guardare per la fase due IP pubblici di?