Dit artikel is gemaakt om uit te leggen wat is precies de VPNFilter malware en hoe u uw netwerk tegen deze massale infectie beveiligen door het beschermen van uw router evenals het beschermen van uw computers.
Een nieuwe malware, gaat door de naam van VPNFilter heeft naar verluidt besmet meer dan 500 duizend router apparaten over de meest gebruikte merken zoals Linksys, MikroTik, NETGEAR evenals TP-Link, meestal gebruikt in huizen en kantoren. De cyber-sec onderzoekers van Cisco Talos hebben gemeld dat de dreiging is reëel en het is levend, zelfs dacht dat de besmette apparaten worden momenteel onderzocht op dit moment. De malware heeft naar verluidt iets te maken met de BlackEnergy malware, die doelgerichte meerdere apparaten in Oekraïne en Industrial Control Systems in de Verenigde Staten. Als u meer wilt weten over het leren VPNFilter malware en te leren hoe je het uit je netwerk kan verwijderen plus uw netwerk te beschermen, Wij raden u aan dit artikel te lezen.
bedreiging Samenvatting
| Naam | VPNFilter |
| Type | ivd Trojan (Infostealer) en Botnet Infectie |
| Korte Omschrijving | Streeft naar volledige netwerken infecteren en stelen kritische netwerkinformatie plus schakel met third-party hosts. |
| Symptomen | Uw computer en web browser kan u leiden tot phishing-sites via welke de boeven belangrijke informatie kunnen verzamelen. |
| Distributie Methode | via wormen, botnet en andere geautomatiseerde infectiemethoden. |
| Detection Tool |
Zien of je systeem is getroffen door malware
Download
Malware Removal Tool
|
Gebruikerservaring | Word lid van onze Forum om te bespreken VPNFilter. |
VPNFilter Malware - How Does It Infect
De VPNFIlter malware gebruikt een zeer gecompliceerde tweetraps infectiemethode, waarvan het resultaat is uw computer naar een slachtoffer van het verzamelen van inlichtingen en zelfs desctruction operatie geworden.
Stadium 1 van infectie (lader)
De eerste fase van dit virus gaat om een reboot van uw router of hub. Omdat de VPNFilter malware is vooral gericht op routers en andere internet-of-things apparaten, net als de Mirai malware kan komen als gevolg van een geautomatiseerd botnetaanval die unleased als gevolg van centrale servers worden gecompromitteerd successufully. De infectie is echter dat geleid aan de hand van een exploit die veroorzaakt een herstart van de intelligente inrichting. Het belangrijkste doel van deze etappe 1 is een gedeeltelijke controle te krijgen en maken de inzet van de Stage 2 na het opnieuw opstarten is voltooid. De fasen van Stage 1 zijn de volgende:
1.Naar beneden trekt een foto van Photobucket.
2.Exploits worden geactiveerd en metadata wordt gebruikt om te roepen IP-adressen.
3.Wordt aangesloten op de Stage 2 server en downloads de Stage 2 malware waarna automatisch uitvoert.
De assoicated URL's met de eerste fase van de infectie worden gerapporteerd door onderzoekers om de bibliotheken van nep photobucket gebruikers:
→ photobucket[.]com / user / nikkireed11 / bibliotheek
photobucket[.]com / user / kmila302 / bibliotheek
photobucket[.]com / user / lisabraun87 / bibliotheek
photobucket[.]com / user / eva_green1 / bibliotheek
photobucket[.]com / user / monicabelci4 / bibliotheek
photobucket[.]com / user / katyperry45 / bibliotheek
photobucket[.]com / user / saragray1 / bibliotheek
photobucket[.]com / user / millerfred / bibliotheek
photobucket[.]com / user / jeniferaniston1 / bibliotheek
photobucket[.]com / user / amandaseyfried1 / bibliotheek
photobucket[.]com / user / suwe8 / bibliotheek
photobucket[.]com / user / bob7301 / bibliotheek
UPDATE juli 2018: De security rapporten geven aan dat de VPNFilter kwetsbaarheid van invloed op de volgende leveranciers en modellen:
- ASUS - RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, en RT-N66U.
- D-Link - ASUS - RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, en RT-N66U.
- Huawei - HG8245.
- Linksys - E1200, 2500, E3000 E3200, E4200, RV082, en WRVS4400N.
- MikroTik - CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, en STX5.
- Netgear - DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, en UTM50.
- QNAP - TS251, TS439 Pro, en andere QNAP NAS-apparaten die QTS software.
- TP-LINK - R600VPN, TL-WR741ND, en TL-WR841N.
- Ubiquiti - NSM2 en PBE M5.
- ZTE - ZXHN H108N.
De analisten hebben ook ontdekt de specifieke kwetsbaarheden gebruikt voor de genoemde apparaten:
QNAP FTP-service (Adreslijstverificatie CVE-2015-7261), D-Link DIR-300 (Reaper externe code worden uitgevoerd CVE-2011-4723),
ASUS RT-AC66U, RT-N66U (Uitvoering van externe code CVE-2014-9583),
Linksys E2500 (Reaper OS Command Injection CVE-2013-2678), Kwetsbare UPnP Dienst (b.v.. Netgear / TP-Link / D-Link) (Buffer overflow kwetsbaarheid CVE-2013-0229, Stack Overflow Vulnerability
CVE-2013-0230, Stack overflow kwetsbaarheid CVE-2012-5958, Stack overflow VulnerabilityCVE-2012-5959), QNAP QTS vóór 4.2.4 Bouwen 20170313 (Uitvoering van externe code CVE-2017-6361),
ASUS RT-AC * en RT-N * (Router JSONP Info Leak CVE-2017-8877), Netgear R6400, R7000, R8000 (Router Password Disclosure CVE-2017-5521),
D-Link DIR-300 (Reaper Router externe code worden uitgevoerd),
Netgear WNR2000 (Router Password Disclosure), Netgear R6400, R7000 (Uitvoering van externe code CVE-2016-6277),
ASUS RT-N66U (Router Session stelen CVE-2017-6549), Linksys E4200 (OS Command Injection CVE-2013-2679),
Netgear WNR1000 (Authentication Bypass Vulnerability, Router Password Disclosure),
TP-Link TL-WR841N (Niet-geverifieerde Router Access Vulnerability).
Stadium 2 van infectie
Zodra de tweede fase van de infectie wordt geactiveerd de werkelijke mogelijkheden van de VPNFilter malware worden losgelaten. Zij omvatten het gebruik van het virus in de volgende activiteiten:
- Verbinding met een C&C server.
- Hierop kunt u een Stage 3 Server.
- voert Tor, P.S. en andere plugins.
- Voert de kwaadaardige activiteiten van de malware, die het verzamelen van gegevens omvatten, commando-uitvoering, file diefstal, apparaatbeheer.
- In staat om zichzelf vernietigingen activiteit uit te voeren.
De bijbehorende IP-adressen met de tweede fase van de infectie worden gerapporteerd door de onderzoekers zijn de volgende:
→ 91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
Naast deze twee fasen, de cyber-security onderzoekers van Cisco Talos hebben ook gemeld van een 3de Stage Server in het spel, waarvan het doel tot nu toe nog onbekend zijn. Van wat het lijkt, Deze malware is al de vormgeving tot een zeer geavanceerd infectie en het is niet te onderschatten, want het is een infectie tarief kan oplopen.
VPNFilter Botnet Malware - Schadelijke Activiteiten
De belangrijkste activiteiten die zijn geassocieerd met het VPNFilter malware zijn gemeld te worden verdeeld in twee delen door malware onderzoekers, de eerste set, die zijn pre-operationele activiteiten die informatie te verzamelen alvorens daadwerkelijk uitvoeren van het einddoel activiteiten. Naast deze, Cisco Talos experts hebben ook gemeld overeenkomsten in de VPNFilter malware en de eerder gerapporteerde BlackEnergy ivd botnet, die werd gebruikt om organisaties en overheden in de U.S richten. en Oekraïne. De malware gebruikten dezelfde saparate stadium soort infectie modules die een teken kan worden gebruikt door dezelfde mensen achter de BlackEnergy infectie.
De activiteit van de VPNFilter malware begint met het voorbereidend stadium, die in de eerste plaats controleert de uitgaande en inkomende TCP / IPv4-verkeer. Het doet dat de check-in om te begrijpen dat de plaats van bestemming IP-adres overeenkomt met wat het heeft gevonden wanneer de luisteraar is actief. Als dit zo is, het virus proceedes om ervoor te zorgen dat de verpakte heeft acht of meer bytes en daarna scanss de gegevens voor specifieke bytes. Zodra dit is gebeurd, het virus een oproep initieert proces om een nieuw ontvangen IP-adres die in feite die bytes gecontroleerd was en dit resulteert in deze etappe 2 beginnen.
De tweede fase, deze malware doet veel meer dan de eerste, die in feite, VPNFilter's loader. De trap omvat het creëren van de volgende diredctory inrichting in het slachtoffer:
→ /var / run / vpnfilterm (m is voor modules directory)
/var / run / vpnfilterw (w is voor working directory)
Dan, de malware begint om verschillende modules te doden en overschrijven van gegevens in hen, een van deze modules:
→ /dev / mtdblock0 (Het is voor het eerst 5,000 bytes overschreven met nullen en het apparaat is opgestart)
Nadat dit is gedaan, de VPNFilter malware voert een shell-commando en vervolgens stelt Het is Tor configuratie, die in zijn beurt zorgt ervoor dat de anonimiteit wordt ingeschakeld. Zodra dit is gebeurd, het virus kopieert een bestand van het client rechtstreeks naar de server. VPNFilter niet er echter stoppen – de Botner malware goeas zover twee typen URL instellen:
- Stel een URL in het configuratiepaneel van de huidige configuratie van de inrichting.
- Stel een aangepaste URL in de huidige proxyconfiguratie.
Wanneer het virus een URL heeft ingesteld, gaat het verder in de richting van sleutelen aan de poort instellingen, door het veranderen van de standaard proxy-poort en het instellen van een vertraging tussen de hoofdlus executies.
Na het doen van al deze schandelijke acties, de malware herstart het internet der dingen apparaat langer dan normaal en downloadt vervolgens een URL, waarna het bespaart in een bestand. Naast dit alles, het kan de infectie proces mid-infectie te stoppen of mogelijk vertragen.
De malware gaat dan verder naar het derde fase die nog niet is beschreven door de onderzoekers zij nog steeds in het proces van analyseren, maar aangenomen wordt dat de derde fase is gerelateerd aan de malware doel, dat wil:
- Stelen andere informatie van elke inrichting in het netwerk.
- Steal netwerkgegevens.
- Het verkrijgen van wachtwoorden en communicatiegegevens.
- Verkrijgen van toetsaanslagen en andere gegevens.
- parameters Change op het Internet of Things apparaat of wijzigen parameters op het einde apparaten in het netwerk om ze kwetsbaar voor malware-infecties te maken.
De apparaten die tot nu toe zijn gecompromitteerd kan worden gevonden in de volgende lijst, die de Cisco Talos onderzoekers tot nu toe hebben verzameld als een van de 100% besmette dieren:
Naast deze apparaten, de onderzoekers hebben ook gemeld TP-Link, Netgear, Linksys en andere aangepaste ISP routers en ivd apparaten ook als een van de 500,000 besmet omdat ze geloven dat de malware verder gevorderd dan het gemiddelde botnet in het wild kunnen zijn. Een gevaarlijke kenmerk van de VPNFilter malware is de mogelijkheid om toezicht te houden Modbus SCADA protocollen. Dit is één van de meest populaire seriële communicatie protocollen die wordt gebruikt in de industrie voor geautomatiseerde Ivd apparaten. Het protocol kan worden uitgevoerd met behulp van verschillende verbindingstypen en blijft één van de meest veelzijdige manier op de bedieningsinrichtingen.
Hoe te verwijderen van de VPNFilter Malware en Uw netwerk beveiligen van It
Als we spreken over malware op het niveau van VPNFilter, een eenvoudige opruimen en reset van uw router niet knippen voor de verwijdering, omdat de malware een ingewikkelde dreiging die diep kan insluiten objecten in de firmware van de router zoals beschreven in de “Activity” voorgaande paragrafen kunnen zijn. Dit is waarom, de eerste stap is om te controleren of uw netwerk is aangetast door deze malware. Cisco onderzoekers adviseren om dat te doen door de volgende stappen:
Stap 1: Maak een nieuwe Host groep met de naam “VPNFilter C2” en maken het naar onder de Buiten Hosts via Java UI.
Stap 2: Eenmaal gedaan, valideren dat de groep communiceert niet op het moment dat door het controleren van de “gesprekken” van de groep zelf op uw apparaat.
Stap 3: Als er geen actieve verkeer, onderzoekers adviseren netwerk administators een struikeldraad type alarm dat, zodra er verkeer in de hostgroep door het creëren van een gebeurtenis en het selecteren van de gastheer in de webinterface kennis creëren.
naast dit, om ervoor te zorgen dat uw netwerk veilig is als private, Wij raden u aan een beter beveiligde router kiezen, maar houd er rekening mee dat een apparaat is veilig als het is software, dus je moet ervoor zorgen om ook het opzetten van een VPN en in aanvulling op dit aan uw ISP in om ervoor te zorgen dat de verbinding ook is bevestigd langs de weg om te praten. Onder, U kunt een lijst van de te vinden meest veilige routers en de beste NAS-apparaten waartussen je kunt degene die geschikt is voor uw netwerk kiezen:
→Verwant:De meest veilige NAS apparaten op 2017
→Verwant:Wat zijn de meest veilige Routers in 2017
En voor de veiligheid end apparaat zou adviseren wij dat u uw organisatie te voorzien van op maat geconfigureerde apparaten en houden de configuratie-informatie zelfs bekendgemaakt aan de werknemers van het bedrijf, omdat dit minimaliseert het risico van het gebruik.
En zoals altijd, security onderzoekers adviseren om de end-apparaten van uw organisatie veilig en, omdat ze vaak uitgegroeid tot de “patiënt nul” van dergelijke infecties. Hier zijn enkele tips die u kunt volgen om end apparaten te beveiligen tegen malware:
Stap 1: Installeer een geavanceerde anti-malware softwareop elk apparaat. Het wordt standaard geleverd met actieve real-time bescherming en frequente updates.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter
Stap 2: Run-programma's in zandbak milieu. Het voorkomt uitgevoerde type malware effectief uitgevoerd op de computer door het te isoleren in een gecodeerde laag die fungeert als een beschermende muur.
Stap 3: Zorg ervoor dat de gebruikers in het netwerk zijn zich bewust van verschillende Router veiligheidsrisico's die kunnen worden van zwakke punten om een echte cluster van hoofdpijn.
Stap 4: Zorg ervoor dat uw medewerkers te informeren over hoe om te veilig opslaan van uw bestanden om hen te beschermen tegen malware.
Ventsislav Krastev
Ventsislav is sindsdien een cybersecurity-expert bij SensorsTechForum 2015. Hij heeft onderzoek gedaan, aan het bedekken, slachtoffers helpen met de nieuwste malware-infecties plus het testen en beoordelen van software en de nieuwste technische ontwikkelingen. Na afgestudeerd Marketing, alsmede, Ventsislav heeft ook een passie voor het leren van nieuwe verschuivingen en innovaties in cybersecurity die gamechangers worden. Na het bestuderen van Value Chain Management, Netwerkbeheer en computerbeheer van systeemtoepassingen, hij vond zijn ware roeping binnen de cyberbeveiligingsindustrie en gelooft sterk in het opleiden van elke gebruiker in de richting van online veiligheid en beveiliging.
Volg mij:
Voorbereiding voor het verwijderen van VPNFilter.
Voor het eigenlijke verwijdering, Wij raden u aan de volgende voorbereidende stappen te doen.
- Zorg ervoor dat u deze instructies altijd open en in de voorkant van je ogen.
- Doe een back-up van al uw bestanden, zelfs als ze konden worden beschadigd. U moet een back-up van uw gegevens met een cloud backup oplossing en verzekeren van uw bestanden tegen elke vorm van verlies, zelfs van de meest ernstige bedreigingen.
- Wees geduldig als deze een tijdje zou kunnen nemen.
- Scannen op malware
- Registers repareren
- Verwijder virusbestanden
Stap 1: Scannen op VPNFilter met SpyHunter Anti-Malware Tool
Stap 2: Verwijder eventuele registers, gemaakt door VPNFilter op uw computer.
De doorgaans gericht registers van Windows-machines zijn de volgende:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
U kunt ze openen door het openen van het Windows-register-editor en met weglating van alle waarden, gemaakt door VPNFilter daar. Dit kan gebeuren door de stappen onder:
Tip: Om een virus gecreëerd waarde te vinden, U kunt met de rechtermuisknop op te klikken en klik op "Wijzigen" om te zien welk bestand het is ingesteld om te werken. Als dit het virus bestand locatie, Verwijder de waarde.Stap 3: Vind virusbestanden gemaakt door VPNFilter op uw pc.
1.Voor Windows 8, 8.1 en 10.
Voor nieuwere Windows-besturingssystemen
1: Op het toetsenbord druk + R en schrijf explorer.exe in de Rennen tekstvak en klik dan op de OK knop.
2: Klik op uw pc uit de snelle toegang bar. Dit is meestal een icoon met een monitor en de naam is ofwel "Mijn computer", "My PC" of "Deze PC" of hoe je het hebt genoemd.
3: Navigeer naar het zoekvak in de rechterbovenhoek van het scherm van uw pc en typ "echter in meerdere contexten:" en waarna typt u de bestandsextensie. Als u op zoek bent naar kwaadaardige executables, Een voorbeeld kan zijn "echter in meerdere contexten:exe". Na het doen van dat, laat een spatie en typ de bestandsnaam die u denkt dat de malware is gemaakt. Hier is hoe het kan verschijnen als het bestand is gevonden:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.Voor Windows XP, Uitzicht, en 7.
Voor oudere Windows-besturingssystemen
In oudere Windows-besturingssystemen zou de conventionele aanpak de effectieve moeten zijn:
1: Klik op de Start Menu icoon (meestal op uw bottom-links) en kies vervolgens de Zoeken voorkeur.
2: Na het zoekvenster verschijnt, kiezen Meer geavanceerde opties van de search assistent doos. Een andere manier is door te klikken op Alle bestanden en mappen.
3: Na dat type de naam van het bestand dat u zoekt en klik op de knop Zoeken. Dit kan enige tijd duren, waarna de resultaten worden weergegeven. Als u het kwaadaardig bestand hebt gevonden, u kunt kopiëren of openen de locatie door rechtermuisknop te klikken ben ermee bezig.
Nu moet je in staat om elk bestand op Windows ontdekken zolang het op uw harde schijf en is niet verborgen via speciale software.
Veelgestelde vragen over VPNFilter
What Does VPNFilter Trojan Do?
The VPNFilter Trojaans is een kwaadaardig computerprogramma ontworpen om te ontwrichten, schade, of ongeautoriseerde toegang verkrijgen naar een computersysteem.
Het kan worden gebruikt om gevoelige gegevens te stelen, controle krijgen over een systeem, of andere kwaadaardige activiteiten starten.
Kunnen Trojaanse paarden wachtwoorden stelen??
Ja, Trojans, zoals VPNFilter, kan wachtwoorden stelen. Deze kwaadaardige programma's are designed to gain access to a user's computer, slachtoffers bespioneren en gevoelige informatie stelen, zoals bankgegevens en wachtwoorden.
Can VPNFilter Trojan Hide Itself?
Ja, het kan. Een Trojaans paard kan verschillende technieken gebruiken om zichzelf te maskeren, inclusief rootkits, encryptie, en verduistering, om zich te verbergen voor beveiligingsscanners en detectie te omzeilen.
Kan een Trojaans paard worden verwijderd door Factory Reset?
Ja, een Trojaans paard kan worden verwijderd door uw apparaat terug te zetten naar de fabrieksinstellingen. Dit komt omdat het het apparaat in de oorspronkelijke staat zal herstellen, het verwijderen van schadelijke software die mogelijk is geïnstalleerd. Bedenken, dat er geavanceerdere Trojaanse paarden bestaan, die achterdeurtjes verlaten en opnieuw infecteren, zelfs na een fabrieksreset.
Can VPNFilter Trojan Infect WiFi?
Ja, het is mogelijk dat een trojan wifi-netwerken infecteert. Wanneer een gebruiker verbinding maakt met het geïnfecteerde netwerk, de Trojan kan zich verspreiden naar andere aangesloten apparaten en kan toegang krijgen tot gevoelige informatie op het netwerk.
Kunnen Trojaanse paarden worden verwijderd?
Ja, Trojaanse paarden kunnen worden verwijderd. Dit wordt meestal gedaan door een krachtig antivirus- of antimalwareprogramma uit te voeren dat is ontworpen om schadelijke bestanden te detecteren en te verwijderen. In sommige gevallen, handmatige verwijdering van de Trojan kan ook nodig zijn.
Kunnen Trojaanse paarden bestanden stelen?
Ja, Trojaanse paarden kunnen bestanden stelen als ze op een computer zijn geïnstalleerd. Dit wordt gedaan door de malware auteur of gebruiker om toegang te krijgen tot de computer en vervolgens de bestanden te stelen die erop zijn opgeslagen.
Welke anti-malware kan Trojaanse paarden verwijderen?
Antimalwareprogramma's zoals SpyHunter zijn in staat om Trojaanse paarden op uw computer te scannen en van uw computer te verwijderen. Het is belangrijk om uw anti-malware up-to-date te houden en uw systeem regelmatig te scannen op schadelijke software.
Kunnen Trojaanse paarden USB infecteren?
Ja, Trojaanse paarden kunnen infecteren USB apparaten. USB-trojans wordt meestal verspreid via schadelijke bestanden die van internet zijn gedownload of via e-mail zijn gedeeld, allowing the hacker to gain access to a user's confidential data.
Over het VPNFilteronderzoek
De inhoud die we publiceren op SensorsTechForum.com, deze VPNFilter how-to verwijderingsgids inbegrepen, is het resultaat van uitgebreid onderzoek, hard werken en de toewijding van ons team om u te helpen het specifieke trojan-probleem op te lossen.
Hoe hebben we het onderzoek naar VPNFilter uitgevoerd?
Houd er rekening mee dat ons onderzoek is gebaseerd op een onafhankelijk onderzoek. We hebben contact met onafhankelijke beveiligingsonderzoekers, waardoor we dagelijks updates ontvangen over de nieuwste malwaredefinities, inclusief de verschillende soorten trojans (achterdeur, downloader, infostealer, losgeld, etc.)
Bovendien, het onderzoek achter de VPNFilter-dreiging wordt ondersteund door VirusTotal.
Om de dreiging van trojans beter te begrijpen, raadpleeg de volgende artikelen die deskundige details bieden:.
Als ik wilde zien of mijn netwerk wordt beïnvloed kon ik run een Wireshark capture op mijn gateway en gewoon op zoek naar het podium twee openbare ip's?