VPNFilter UNIX Trojan - Hoe het te verwijderen en Uw netwerk beveiligen
BEDREIGING VERWIJDEREN

VPNFilter UNIX Trojan - Hoe het te verwijderen en Uw netwerk beveiligen

Dit artikel is gemaakt om uit te leggen wat is precies de VPNFilter malware en hoe u uw netwerk tegen deze massale infectie beveiligen door het beschermen van uw router evenals het beschermen van uw computers.

Een nieuwe malware, gaat door de naam van VPNFilter heeft naar verluidt besmet meer dan 500 duizend router apparaten over de meest gebruikte merken zoals Linksys, MikroTik, NETGEAR evenals TP-Link, meestal gebruikt in huizen en kantoren. De cyber-sec onderzoekers van Cisco Talos hebben gemeld dat de dreiging is reëel en het is levend, zelfs dacht dat de besmette apparaten worden momenteel onderzocht op dit moment. De malware heeft naar verluidt iets te maken met de BlackEnergy malware, die doelgerichte meerdere apparaten in Oekraïne en Industrial Control Systems in de Verenigde Staten. Als u meer wilt weten over het leren VPNFilter malware en te leren hoe je het uit je netwerk kan verwijderen plus uw netwerk te beschermen, Wij raden u aan dit artikel te lezen.

bedreiging Samenvatting

NaamVPNFilter
Typeivd Trojan (Infostealer) en Botnet Infectie
Korte OmschrijvingStreeft naar volledige netwerken infecteren en stelen kritische netwerkinformatie plus schakel met third-party hosts.
SymptomenUw computer en web browser kan u leiden tot phishing-sites via welke de boeven belangrijke informatie kunnen verzamelen.
Distributie Methodevia wormen, botnet en andere geautomatiseerde infectiemethoden.
Detection Tool Zien of je systeem is getroffen door VPNFilter

Download

Malware Removal Tool

GebruikerservaringWord lid van onze Forum om te bespreken VPNFilter.

VPNFilter Malware - How Does It Infect

De VPNFIlter malware gebruikt een zeer gecompliceerde tweetraps infectiemethode, waarvan het resultaat is uw computer naar een slachtoffer van het verzamelen van inlichtingen en zelfs desctruction operatie geworden.

Stadium 1 van infectie (lader)

The first stage of this virus involves a reboot on your router or hub. Omdat de VPNFilter malware is vooral gericht op routers en andere internet-of-things apparaten, net als de Mirai malware kan komen als gevolg van een geautomatiseerd botnetaanval die unleased als gevolg van centrale servers worden gecompromitteerd successufully. De infectie is echter dat geleid aan de hand van een exploit die veroorzaakt een herstart van de intelligente inrichting. Het belangrijkste doel van deze etappe 1 is een gedeeltelijke controle te krijgen en maken de inzet van de Stage 2 na het opnieuw opstarten is voltooid. De fasen van Stage 1 zijn de volgende:

1.Naar beneden trekt een foto van Photobucket.
2.Exploits worden geactiveerd en metadata wordt gebruikt om te roepen IP-adressen.
3.Wordt aangesloten op de Stage 2 server en downloads de Stage 2 malware waarna automatisch uitvoert.

De assoicated URL's met de eerste fase van de infectie worden gerapporteerd door onderzoekers om de bibliotheken van nep photobucket gebruikers:

→ photobucket[.]com / user / nikkireed11 / bibliotheek
photobucket[.]com / user / kmila302 / bibliotheek
photobucket[.]com / user / lisabraun87 / bibliotheek
photobucket[.]com / user / eva_green1 / bibliotheek
photobucket[.]com / user / monicabelci4 / bibliotheek
photobucket[.]com / user / katyperry45 / bibliotheek
photobucket[.]com / user / saragray1 / bibliotheek
photobucket[.]com / user / millerfred / bibliotheek
photobucket[.]com / user / jeniferaniston1 / bibliotheek
photobucket[.]com / user / amandaseyfried1 / bibliotheek
photobucket[.]com / user / suwe8 / bibliotheek
photobucket[.]com / user / bob7301 / bibliotheek

UPDATE juli 2018: De security rapporten geven aan dat de VPNFilter kwetsbaarheid van invloed op de volgende leveranciers en modellen:

  • ASUS - RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, en RT-N66U.
  • D-Link - ASUS - RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, en RT-N66U.
  • Huawei - HG8245.
  • Linksys - E1200, 2500, E3000 E3200, E4200, RV082, en WRVS4400N.
  • MikroTik - CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, en STX5.
  • Netgear - DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, en UTM50.
  • QNAP - TS251, TS439 Pro, en andere QNAP NAS-apparaten die QTS software.
  • TP-LINK - R600VPN, TL-WR741ND, en TL-WR841N.
  • Ubiquiti - NSM2 en PBE M5.
  • ZTE - ZXHN H108N.

De analisten hebben ook ontdekt de specifieke kwetsbaarheden gebruikt voor de genoemde apparaten:

QNAP FTP-service (Adreslijstverificatie CVE-2015-7261), D-Link DIR-300 (Reaper externe code worden uitgevoerd CVE-2011-4723),
ASUS RT-AC66U, RT-N66U (Uitvoering van externe code CVE-2014-9583),
Linksys E2500 (Reaper OS Command Injection CVE-2013-2678), Kwetsbare UPnP Dienst (b.v.. Netgear / TP-Link / D-Link) (Buffer overflow kwetsbaarheid CVE-2013-0229, Stack Overflow Vulnerability
CVE-2013-0230, Stack overflow kwetsbaarheid CVE-2012-5958, Stack overflow VulnerabilityCVE-2012-5959), QNAP QTS vóór 4.2.4 Bouwen 20170313 (Uitvoering van externe code CVE-2017-6361),
ASUS RT-AC * en RT-N * (Router JSONP Info Leak CVE-2017-8877), Netgear R6400, R7000, R8000 (Router Password Disclosure CVE-2017-5521),
D-Link DIR-300 (Reaper Router externe code worden uitgevoerd),
Netgear WNR2000 (Router Password Disclosure), Netgear R6400, R7000 (Uitvoering van externe code CVE-2016-6277),
ASUS RT-N66U (Router Session stelen CVE-2017-6549), Linksys E4200 (OS Command Injection CVE-2013-2679),
Netgear WNR1000 (Authentication Bypass Vulnerability, Router Password Disclosure),
TP-Link TL-WR841N (Niet-geverifieerde Router Access Vulnerability).

Stadium 2 van infectie

Zodra de tweede fase van de infectie wordt geactiveerd de werkelijke mogelijkheden van de VPNFilter malware worden losgelaten. Zij omvatten het gebruik van het virus in de volgende activiteiten:

  • Verbinding met een C&C server.
  • Hierop kunt u een Stage 3 Server.
  • voert Tor, P.S. en andere plugins.
  • Voert de kwaadaardige activiteiten van de malware, die het verzamelen van gegevens omvatten, commando-uitvoering, file diefstal, apparaatbeheer.
  • In staat om zichzelf vernietigingen activiteit uit te voeren.

De bijbehorende IP-adressen met de tweede fase van de infectie worden gerapporteerd door de onderzoekers zijn de volgende:

→ 91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229

Naast deze twee fasen, de cyber-security onderzoekers van Cisco Talos hebben ook gemeld van een 3de Stage Server in het spel, waarvan het doel tot nu toe nog onbekend zijn. Van wat het lijkt, Deze malware is al de vormgeving tot een zeer geavanceerd infectie en het is niet te onderschatten, want het is een infectie tarief kan oplopen.

VPNFilter Botnet Malware - Schadelijke Activiteiten

De belangrijkste activiteiten die zijn geassocieerd met het VPNFilter malware zijn gemeld te worden verdeeld in twee delen door malware onderzoekers, de eerste set, die zijn pre-operationele activiteiten die informatie te verzamelen alvorens daadwerkelijk uitvoeren van het einddoel activiteiten. Naast deze, Cisco Talos experts hebben ook gemeld overeenkomsten in de VPNFilter malware en de eerder gerapporteerde BlackEnergy ivd botnet, die werd gebruikt om organisaties en overheden in de U.S richten. en Oekraïne. De malware gebruikten dezelfde saparate stadium soort infectie modules die een teken kan worden gebruikt door dezelfde mensen achter de BlackEnergy infectie.

De activiteit van de VPNFilter malware begint met het voorbereidend stadium, die in de eerste plaats controleert de uitgaande en inkomende TCP / IPv4-verkeer. Het doet dat de check-in om te begrijpen dat de plaats van bestemming IP-adres overeenkomt met wat het heeft gevonden wanneer de luisteraar is actief. Als dit zo is, het virus proceedes om ervoor te zorgen dat de verpakte heeft acht of meer bytes en daarna scanss de gegevens voor specifieke bytes. Zodra dit is gebeurd, het virus een oproep initieert proces om een ​​nieuw ontvangen IP-adres die in feite die bytes gecontroleerd was en dit resulteert in deze etappe 2 beginnen.

De tweede fase, deze malware doet veel meer dan de eerste, die in feite, VPNFilter's loader. De trap omvat het creëren van de volgende diredctory inrichting in het slachtoffer:

→ /var / run / vpnfilterm (m is voor modules directory)
/var / run / vpnfilterw (w is voor working directory)

Dan, de malware begint om verschillende modules te doden en overschrijven van gegevens in hen, een van deze modules:

→ /dev / mtdblock0 (Het is voor het eerst 5,000 bytes overschreven met nullen en het apparaat is opgestart)

Nadat dit is gedaan, de VPNFilter malware voert een shell-commando en vervolgens stelt Het is Tor configuratie, die in zijn beurt zorgt ervoor dat de anonimiteit wordt ingeschakeld. Zodra dit is gebeurd, het virus kopieert een bestand van het client rechtstreeks naar de server. VPNFilter niet er echter stoppen – de Botner malware goeas zover twee typen URL instellen:

  • Stel een URL in het configuratiepaneel van de huidige configuratie van de inrichting.
  • Stel een aangepaste URL in de huidige proxyconfiguratie.

Wanneer het virus een URL heeft ingesteld, gaat het verder in de richting van sleutelen aan de poort instellingen, door het veranderen van de standaard proxy-poort en het instellen van een vertraging tussen de hoofdlus executies.

Na het doen van al deze schandelijke acties, de malware herstart het internet der dingen apparaat langer dan normaal en downloadt vervolgens een URL, waarna het bespaart in een bestand. Naast dit alles, het kan de infectie proces mid-infectie te stoppen of mogelijk vertragen.

De malware gaat dan verder naar het derde fase die nog niet is beschreven door de onderzoekers zij nog steeds in het proces van analyseren, maar aangenomen wordt dat de derde fase is gerelateerd aan de malware doel, dat wil:

  • Stelen andere informatie van elke inrichting in het netwerk.
  • Steal netwerkgegevens.
  • Het verkrijgen van wachtwoorden en communicatiegegevens.
  • Verkrijgen van toetsaanslagen en andere gegevens.
  • parameters Change op het Internet of Things apparaat of wijzigen parameters op het einde apparaten in het netwerk om ze kwetsbaar voor malware-infecties te maken.

De apparaten die tot nu toe zijn gecompromitteerd kan worden gevonden in de volgende lijst, die de Cisco Talos onderzoekers tot nu toe hebben verzameld als een van de 100% besmette dieren:

Getroffen apparaten door de VPNFilter Unix Trojan
Linksys Devices:

E1200
2500
WRVS4400N

Mikrotik RouterOS Versies voor Cloud Core Routers:

1016
1036
1072

Netgear Devices:

DGN2200
R6400
R7000
R8000
WNR1000
WNR2000

QNAP Devices:

TS251
TS439 Pro

Andere QNAP NAS-apparaten met QTS software

TP-Link Devices:

R600VPN

Naast deze apparaten, de onderzoekers hebben ook gemeld TP-Link, Netgear, Linksys en andere aangepaste ISP routers en ivd apparaten ook als een van de 500,000 besmet omdat ze geloven dat de malware verder gevorderd dan het gemiddelde botnet in het wild kunnen zijn. Een gevaarlijke kenmerk van de VPNFilter malware is de mogelijkheid om toezicht te houden Modbus SCADA protocollen. Dit is één van de meest populaire seriële communicatie protocollen die wordt gebruikt in de industrie voor geautomatiseerde Ivd apparaten. Het protocol kan worden uitgevoerd met behulp van verschillende verbindingstypen en blijft één van de meest veelzijdige manier op de bedieningsinrichtingen.

Hoe te verwijderen van de VPNFilter Malware en Uw netwerk beveiligen van It

Als we spreken over malware op het niveau van VPNFilter, een eenvoudige opruimen en reset van uw router niet knippen voor de verwijdering, omdat de malware een ingewikkelde dreiging die diep kan insluiten objecten in de firmware van de router zoals beschreven in de “Activity” voorgaande paragrafen kunnen zijn. Dit is waarom, de eerste stap is om te controleren of uw netwerk is aangetast door deze malware. Cisco onderzoekers adviseren om dat te doen door de volgende stappen:

Stap 1: Maak een nieuwe Host groep met de naam “VPNFilter C2” en maken het naar onder de Buiten Hosts via Java UI.
Stap 2: Eenmaal gedaan, valideren dat de groep communiceert niet op het moment dat door het controleren van de “gesprekken” van de groep zelf op uw apparaat.
Stap 3: Als er geen actieve verkeer, onderzoekers adviseren netwerk administators een struikeldraad type alarm dat, zodra er verkeer in de hostgroep door het creëren van een gebeurtenis en het selecteren van de gastheer in de webinterface kennis creëren.

naast dit, om ervoor te zorgen dat uw netwerk veilig is als private, Wij raden u aan een beter beveiligde router kiezen, maar houd er rekening mee dat een apparaat is veilig als het is software, dus je moet ervoor zorgen om ook het opzetten van een VPN en in aanvulling op dit aan uw ISP in om ervoor te zorgen dat de verbinding ook is bevestigd langs de weg om te praten. Onder, U kunt een lijst van de te vinden meest veilige routers en de beste NAS-apparaten waartussen je kunt degene die geschikt is voor uw netwerk kiezen:

Verwant:De meest veilige NAS apparaten op 2017

Verwant:Wat zijn de meest veilige Routers in 2017

En voor de veiligheid end apparaat zou adviseren wij dat u uw organisatie te voorzien van op maat geconfigureerde apparaten en houden de configuratie-informatie zelfs bekendgemaakt aan de werknemers van het bedrijf, omdat dit minimaliseert het risico van het gebruik.

En zoals altijd, security onderzoekers adviseren om de end-apparaten van uw organisatie veilig en, omdat ze vaak uitgegroeid tot de “patiënt nul” van dergelijke infecties. Hier zijn enkele tips die u kunt volgen om end apparaten te beveiligen tegen malware:

Stap 1: Installeer een geavanceerde anti-malware softwareop elk apparaat. Het wordt standaard geleverd met actieve real-time bescherming en frequente updates.

Download

Malware Removal Tool


Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter

Stap 2: Run-programma's in zandbak milieu. Het voorkomt uitgevoerde type malware effectief uitgevoerd op de computer door het te isoleren in een gecodeerde laag die fungeert als een beschermende muur.

Stap 3: Zorg ervoor dat de gebruikers in het netwerk zijn zich bewust van verschillende Router veiligheidsrisico's die kunnen worden van zwakke punten om een ​​echte cluster van hoofdpijn.

Stap 4: Zorg ervoor dat uw medewerkers te informeren over hoe om te veilig opslaan van uw bestanden om hen te beschermen tegen malware.

avatar

Ventsislav Krastev

Ventsislav is over de laatste malware, software en de nieuwste technische ontwikkelingen bij SensorsTechForum voor 3 Al jaren. Hij begon als een netwerkbeheerder. Na afgestudeerd Marketing, alsmede, Ventsislav heeft ook een passie voor ontdekking van nieuwe veranderingen en innovaties in cybersecurity dat spel wisselaars worden. Na het bestuderen van Value Chain Management en vervolgens Network Administration, vond hij zijn passie binnen cybersecrurity en is een groot voorstander van het basisonderwijs van elke gebruiker in de richting van online veiligheid.

Meer berichten - Website

Volg mij:
Tjilpen

1 Commentaar

  1. avatarook

    Als ik wilde zien of mijn netwerk wordt beïnvloed kon ik run een Wireshark capture op mijn gateway en gewoon op zoek naar het podium twee openbare ip's?

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...