Programy

VPNFILTER - Przyczyny i metody usuwania wirusa

VPNFILTER - Przyczyny i metody usuwania wirusa

Nowy program złośliwy, znany jako Micric VPNFilter, niedawno zidentyfikowany przez Cisco Talos Intelligence Group, zarażił już ponad 500 000 routerów i urządzeń do przechowywania sieci (NAS), z których wiele jest do dyspozycji małych przedsiębiorstw i biur. To, co ten wirus czyni szczególnie niebezpieczne - ma tak - stałą zdolność do krzywdy, co oznacza, że ​​nie zniknie tylko dlatego, że router zostanie ponownie uruchomiony.

Jak usunąć wirusowe w -Vpnfilter.

Co to jest VPNFILTER

Według Symantec „Dane z Symantec przynęty i czujniki pokazują, że w przeciwieństwie do innych zagrożeń IoT, wirus VPNFILTER nie wydaje się skanować i próbuje zainfekować wszystkie wrażliwe urządzenia na całym świecie” ”. Oznacza to, że istnieje pewna strategia i cel infekcji. Jako potencjalne cele, urządzenia Symantec zdefiniowane przez Linksys, Mikrotik, NetGear, TP-Link i QNAP.

Tak więc, jak zainfekowano urządzenia? Są to wady oprogramowania lub sprzętu, które tworzą rodzaj backdora, przez który atakujący może zakłócać działanie urządzenia. Hakerzy używają standardowych nazwisk i domyślnych haseł do zarażania urządzeń lub uzyskiwania dostępu poprzez znaną podatność, która powinna była zostać poprawiona przy użyciu regularnych aktualizacji oprogramowania lub oprogramowania układowego. Jest to ten sam mechanizm, który doprowadził do zaburzeń masowych z Equifax w zeszłym roku, i być może jest to największe źródło cyberprzestrzeni!

Nie jest również jasne, kim są ci hakerzy i jakie ich intencje. Zakłada się, że planowany jest atak o dużej skali, która sprawi, że zainfekowane urządzenia będzie bezużyteczne. Zagrożenie jest tak obszerne, że ostatnio Ministerstwo Sprawiedliwości i FBI ogłosiły, że sąd podjął decyzję o skonfiskowaniu urządzeń podejrzanych o włamanie. Decyzja sądu pomoże zidentyfikować urządzenia, naruszyć zdolność hakerów do porwania osobistych i innych poufnych informacji oraz przeprowadzania wywrotowych cyberataków przez Trojan Vpnfilter.

Jak działa wirus

VPNFILTER wykorzystuje bardzo złożoną metodę zakażenia dwustopniowego, której celem jest komputer, aby stać się ofiarą danych rozpoznawczych, a nawet operacji opisowych. Pierwszy etap wirusa obejmuje ponowne uruchomienie routera lub koncentratora. Ponieważ złośliwe VPNFILTER ma przede wszystkim na routerach, a także inne urządzenia związane z Internetem, a także złośliwe oprogramowanie w Mirai, może się to zdarzyć w wyniku automatycznego ataku sieci Botan, która nie jest wdrażana w wyniku tego Udany kompromis centralnych serwerów. Zakażenie następuje za pomocą exploit, co powoduje ponowne uruchomienie urządzenia inteligentnego. Głównym celem tego etapu jest uzyskanie częściowej kontroli i umożliwienie rozmieszczenia etapu 2 po zakończeniu procesu przeładowania. Fazy ​​etapu 1 w następujący sposób:

  1. Przesyła zdjęcie z Photobucket.
  2. Eksploratory są uruchamiane, a metadane służą do wywoływania adresów IP.
  3. Wirus jest podłączony do serwera i ładuje szkodliwy program, po którym automatycznie go wykonuje.

Według naukowców, ponieważ osobne adresy URL z pierwszym etapem infekcji są biblioteki fałszywych użytkowników obiektów fotograficznych:

  • Com/user/nikkireed11/biblioteka
  • Com/user/kmila302/biblioteka
  • Com/user/liisabraun87/biblioteka
  • Com/user/eva_green1/biblioteka
  • Com/user/monicabelci4/biblioteka
  • Com/user/katyperry45/biblioteka
  • Com/user/saragray1/biblioteka
  • Com/user/millerfred/biblioteka
  • Com/user/jenifraniston1/biblioteka
  • Com/user/amandaseyyfreed1/biblioteka
  • Com/user/sue8/biblioteka
  • Com/użytkownik/bob7301/biblioteka

Gdy tylko uruchomi się drugi etap infekcji, rzeczywiste możliwości złośliwego VPNFILTER stają się bardziej obszerne. Obejmują one użycie wirusa w następujących działaniach:

  • Łączy się z serwerem C&C.
  • Wykonuje Tor, P.S. i inne wtyczki.
  • Wykonuje złośliwe działania, które obejmują gromadzenie danych, polecenia, przechowywanie, zarządzanie urządzeniami.
  • Zdolne do wykonywania samowystarczalnych czynności.

Związane z drugim etapem infekcji adresami IP:

  • 121.109.209
  • 12.202.40
  • 242.222.68
  • 118.242.124
  • 151.209.33
  • 79.179.14
  • 214.203.144
  • 211.198.231
  • 154.180.60
  • 149.250.54
  • 200.13.76
  • 185.80.82
  • 210.180.229

Oprócz tych dwóch etapów naukowcy z cyberbezpieczeństwem w Cisco Talos również zgłosili serwer 3. etap.

Wrażliwe routery

Nie każdy router może cierpieć na VPNFILTER. Symantec szczegółowo opisuje, które routery są wrażliwe. Do tej pory VPNFILTER jest w stanie zainfekować routery Linksys, Mikrotik, NetGear i TP-Link, a także QNAP połączenia sieciowego (NAS). Obejmują one:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • ROUTER MIKROTIK (dla routerów z rdzeniem w chmurze wersji 1016, 1036 i 1072)
  • Netgear DGN2200
  • Netgear R6400
  • NetGear R7000
  • NetGear R8000
  • NetGear WNR1000
  • NetGear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Inne urządzenia NAS QNAP z oprogramowaniem QTS
  • TP-Link R600VPN

Jeśli masz którekolwiek z powyższych urządzeń, sprawdź stronę wsparcia swojego producenta, aby uzyskać aktualizacje i wskazówki dotyczące usuwania VPNFILTER. Większość producentów ma już aktualizację oprogramowania, która powinna w pełni chronić Cię przed wektorami ataku VPNFILTER.

Jak ustalić, że router jest zarażony

Nie można określić stopnia infekcji routera, nawet za pomocą antywirusa Kaspersky. Itshnoves wszystkich wiodących światowych firm nie rozwiązały jeszcze tego problemu. Jedynymi zaleceniami, które mogą na razie zaproponować, jest zresetowanie urządzenia do ustawień fabrycznych.

Czy ponowne uruchomienie routera pomoże pozbyć się infekcji VPNFILTER

Zatrzymanie routera pomoże zapobiec rozwojowi wirusa tylko dwóch pierwszych etapów. Nadal pozostanie śladami złośliwego oprogramowania, które stopniowo infekują router. Zresetuj urządzenie do ustawień fabrycznych pomoże rozwiązać problem.

Jak usunąć vpnfilter i chronić router lub NAS

Zgodnie z zaleceniami Symantec konieczne jest ponowne uruchomienie urządzenia, a następnie natychmiastowe zastosowanie wszelkich działań niezbędnych do aktualizacji i migania. Brzmi prosto, ale znowu brak ciągłej aktualizacji oprogramowania i oprogramowania jest najczęstszą przyczyną cyberprzestrzeni. NetGear doradza również użytkownikom ich urządzeń, aby odłączyli wszelkie możliwości zdalnego sterowania. Linksys zaleca ponownie uruchomić swoje urządzenia przynajmniej raz kilka dni.

Proste oczyszczenie i resetowanie routera nie zawsze całkowicie eliminuje problem, ponieważ złośliwe oprogramowanie może stanowić złożone zagrożenie, które może głęboko trafić w obiekty oprogramowania układowego dla routera. Dlatego pierwszym krokiem jest sprawdzenie, czy Twoja sieć była zagrożona tym złośliwym programem. Badacze Cisco zdecydowanie zalecają to, wykonując następujące kroki:

  1. Utwórz nową grupę hostów o nazwie „VPNFILTER C2” i zlokalizuj ją pod zewnętrznymi hostami za pośrednictwem Java UI.
  2. Następnie potwierdź, że grupa wymienia dane, sprawdzając „kontakty” samej grupy na urządzeniu.
  3. Jeśli nie ma aktywnego ruchu, naukowcy doradzają administratorom sieci, aby utworzyli rodzaj sygnału zamykania, który, tworząc zdarzenie i wybierając hosta w interfejsie internetowym użytkownika, powiadamia, jak tylko ruch w grupie hosta.

Teraz musisz ponownie uruchomić router. Aby to zrobić, po prostu wyłącz go od źródła zasilania na 30 sekund, a następnie podłącz go.

Następnym krokiem będzie reset ustawień routera. Informacje o tym, jak to zrobić, znajdziesz w instrukcji w pudełku lub na stronie internetowej producenta. Kiedy ponownie załadujesz router, musisz upewnić się, że jego wersja oprogramowania jest ostatnia. Ponownie skontaktuj się z dokumentacją dołączoną do routera, aby dowiedzieć się, jak ją zaktualizować.

WAŻNY. Nigdy nie używaj nazwy użytkownika i domyślnego hasła do administracji. Wszystkie routery tego samego modelu będą używać tej nazwy i hasła, co upraszcza zmianę ustawień lub instalowanie złośliwych. 

Nigdy nie korzystaj z Internetu bez silnej zapory. Ryzyko serwerów FTP, serwerów NAS, serwerów Plex. Nigdy nie opuszczaj zdalnego podawania zawartych. Może to być wygodne, jeśli często jesteś daleki od sieci, ale jest to potencjalna wrażliwość, z której każdy haker może skorzystać. Zawsze bądź na bieżąco z najnowszymi wydarzeniami. Oznacza to, że musisz regularnie sprawdzać nowe oprogramowanie układowe i zainstalować je w miarę wydawania aktualizacji.

Czy konieczne jest upuszczenie ustawień routera, jeśli moje urządzenie jest nieobecne na liście

Baza danych routerów zagrożonych jest odnawiana codziennie, więc rozładowanie rastra musi być regularnie wykonywane. Oprócz sprawdzania aktualizacji oprogramowania układowego na stronie internetowej producenta i monitoruj jego blog lub wiadomości w sieciach społecznościowych.