Cách xác định và khắc phục phần mềm độc hại VPNFilter ngay bây giờ (05.23.24)

Không phải tất cả phần mềm độc hại đều được tạo ra như nhau. Một bằng chứng về điều này là sự tồn tại của phần mềm độc hại VPNFilter , một loại phần mềm độc hại mới cho bộ định tuyến có đặc tính phá hoại. Một đặc điểm khác biệt của nó là có thể sống sót sau khi khởi động lại, không giống như hầu hết các mối đe dọa từ Internet of Things (IoT) khác.

Hãy để bài viết này hướng dẫn bạn cách xác định phần mềm độc hại VPNFilter cũng như danh sách mục tiêu của nó. Chúng tôi cũng sẽ hướng dẫn bạn cách ngăn chặn nó phá hoại hệ thống của bạn ngay từ đầu.

Phần mềm độc hại VPNFilter là gì?

Hãy coi VPNFilter là phần mềm độc hại phá hoại đe dọa bộ định tuyến, thiết bị IoT và thậm chí cả mạng gắn liền thiết bị lưu trữ (NAS). Nó được coi là một biến thể phần mềm độc hại theo mô-đun phức tạp, chủ yếu nhắm mục tiêu vào các thiết bị mạng của các nhà sản xuất khác nhau.

Ban đầu, phần mềm độc hại được phát hiện trên các thiết bị mạng Linksys, NETGEAR, MikroTik và TP-Link. Nó cũng được phát hiện trong các thiết bị QNAP NAS. Cho đến nay, đã có khoảng 500.000 vụ lây nhiễm ở 54 quốc gia, chứng tỏ phạm vi tiếp cận và sự hiện diện rộng lớn của nó.

Cisco Talos, nhóm tiếp xúc với VPNFilter, cung cấp một bài đăng blog mở rộng về phần mềm độc hại và chi tiết kỹ thuật xung quanh nó. Nhìn bề ngoài, thiết bị mạng của ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti và ZTE có dấu hiệu bị lây nhiễm.

Không giống như hầu hết các phần mềm độc hại nhắm mục tiêu vào IoT khác, VPNFilter rất khó bị loại bỏ vì nó vẫn tồn tại ngay cả sau khi hệ thống khởi động lại. Các thiết bị dễ bị tấn công là các thiết bị sử dụng thông tin đăng nhập mặc định của chúng hoặc những thiết bị có lỗ hổng zero-day đã biết nhưng chưa có bản cập nhật chương trình cơ sở.

Cả bộ định tuyến doanh nghiệp và văn phòng nhỏ hoặc văn phòng gia đình đều là mục tiêu của phần mềm độc hại này. Lưu ý các thương hiệu và kiểu bộ định tuyến sau:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Các kiểu máy không xác định của Upvel Devices
  • Thiết bị ZTE ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • QNAP khác Thiết bị NAS chạy phần mềm QTS

Một mẫu số chung giữa hầu hết các thiết bị được nhắm mục tiêu là việc sử dụng thông tin đăng nhập mặc định của chúng. Họ cũng có những cách khai thác đã biết, đặc biệt là đối với các phiên bản cũ hơn.

Phần mềm độc hại VPNFilter có tác dụng gì với thiết bị bị nhiễm?

VPNFilter hoạt động để gây ra thiệt hại nghiêm trọng cho các thiết bị bị ảnh hưởng cũng như phục vụ như một phương pháp thu thập dữ liệu. Nó hoạt động theo ba giai đoạn:

Giai đoạn 1

Điều này đánh dấu việc cài đặt và duy trì sự hiện diện lâu dài trên thiết bị mục tiêu. Phần mềm độc hại sẽ liên hệ với máy chủ lệnh và kiểm soát (C & amp; C) để tải xuống các mô-đun bổ sung và chờ hướng dẫn. Ở giai đoạn này, có nhiều dự phòng được tích hợp sẵn để xác định vị trí C & amp; C Giai đoạn 2 trong trường hợp xảy ra thay đổi cơ sở hạ tầng trong khi mối đe dọa được triển khai. VPNFilter giai đoạn 1 có thể chịu được khi khởi động lại.

Giai đoạn 2

Điều này có tải trọng chính. Mặc dù nó không thể tồn tại sau khi khởi động lại, nhưng nó có nhiều khả năng hơn. Nó có thể thu thập các tập tin, thực hiện các lệnh và thực hiện lọc dữ liệu và quản lý thiết bị. Tiếp tục với các tác động phá hoại của nó, phần mềm độc hại có thể "đóng gạch" thiết bị khi nó nhận được lệnh từ những kẻ tấn công. Điều này được thực hiện thông qua việc ghi đè một phần của phần sụn thiết bị và khởi động lại sau đó. Các hành vi phạm tội khiến thiết bị không thể sử dụng được.

Giai đoạn 3

Một số mô-đun đã biết trong số này tồn tại và hoạt động như các phần bổ trợ cho Giai đoạn 2. Các mô-đun này bao gồm một trình theo dõi gói tin để theo dõi lưu lượng truy cập được chuyển qua thiết bị, cho phép đánh cắp thông tin xác thực trang web theo dõi các giao thức Modbus SCADA. Một mô-đun khác cho phép Giai đoạn 2 giao tiếp an toàn thông qua Tor. Dựa trên cuộc điều tra của Cisco Talos, một mô-đun cung cấp nội dung độc hại cho lưu lượng truy cập qua thiết bị. Bằng cách này, những kẻ tấn công có thể ảnh hưởng nhiều hơn đến các thiết bị được kết nối.

Vào ngày 6 tháng 6, hai mô-đun Giai đoạn 3 khác đã được giới thiệu. Cái đầu tiên được gọi là “ssler” và nó có thể chặn tất cả lưu lượng đi qua thiết bị bằng cách sử dụng cổng 80. Nó cho phép những kẻ tấn công xem lưu lượng web và chặn nó để thực hiện các cuộc tấn công trung gian. Chẳng hạn, nó có thể thay đổi các yêu cầu HTTPS thành HTTP, gửi dữ liệu được cho là đã mã hóa một cách không an toàn. Cái thứ hai được đặt tên là “dstr”, kết hợp lệnh kill cho bất kỳ mô-đun Giai đoạn 2 nào thiếu tính năng này. Sau khi được thực thi, nó sẽ loại bỏ tất cả các dấu vết của phần mềm độc hại trước khi đóng gói thiết bị.

Dưới đây là bảy mô-đun Giai đoạn 3 khác được tiết lộ vào ngày 26 tháng 9:
  • htpx - Nó hoạt động giống như ssler, chuyển hướng và kiểm tra tất cả lưu lượng HTTP đi qua thiết bị bị nhiễm để xác định và ghi nhật ký bất kỳ tệp thực thi nào của Windows. Nó có thể thực thi Trojan-ize khi đi qua các bộ định tuyến bị nhiễm, cho phép những kẻ tấn công cài đặt phần mềm độc hại trên nhiều máy khác nhau được kết nối với cùng một mạng.
  • ndbr - Đây được coi là một công cụ SSH đa chức năng.
  • nm - Mô-đun này là một vũ khí lập bản đồ mạng để quét mạng con cục bộ .
  • netfilter - Tiện ích từ chối dịch vụ này có thể chặn quyền truy cập vào một số ứng dụng được mã hóa.
  • chuyển tiếp - Nó chuyển tiếp lưu lượng mạng tới cơ sở hạ tầng do kẻ tấn công xác định.
  • vớ5proxy - Nó cho phép thiết lập proxy SOCKS5 trên các thiết bị dễ bị tấn công.
Nguồn gốc của VPNFilter được tiết lộ

Điều này phần mềm độc hại có thể là hoạt động của một tổ chức tấn công được nhà nước bảo trợ. Sự lây nhiễm ban đầu chủ yếu được cảm nhận ở Ukraine, dễ dàng quy cho hành động này là do nhóm hack Fancy Bear và các nhóm do Nga hậu thuẫn.

Tuy nhiên, điều này minh họa bản chất phức tạp của VPNFilter. Nó không thể được liên kết với một nguồn gốc rõ ràng và một nhóm hack cụ thể, và ai đó vẫn chưa đứng ra nhận trách nhiệm về nó. Tuy nhiên, một nhà tài trợ quốc gia-nhà nước đang được suy đoán vì SCADA cùng với các giao thức hệ thống công nghiệp khác có các quy tắc nhắm mục tiêu và phần mềm độc hại toàn diện.

Tuy nhiên, nếu bạn hỏi FBI, VPNFilter là sản phẩm trí tuệ của Fancy Bear. Vào tháng 5 năm 2018, cơ quan này đã thu giữ miền ToKnowAll.com, được cho là công cụ trong việc cài đặt và chỉ huy Giai đoạn 2 và 3 VPNFilter. Vụ bắt giữ đã giúp ngăn chặn sự lây lan của phần mềm độc hại, nhưng nó không giải quyết được img chính.

Trong thông báo ngày 25 tháng 5, FBI đưa ra yêu cầu khẩn cấp cho người dùng khởi động lại bộ định tuyến Wi-Fi của họ tại nhà để ngăn chặn một cuộc tấn công bằng phần mềm độc hại lớn từ nước ngoài. Vào thời điểm đó, cơ quan này đã xác định chính xác tội phạm mạng nước ngoài vì đã xâm nhập vào văn phòng nhỏ và bộ định tuyến Wi-Fi gia đình - cùng với các thiết bị mạng khác - hàng trăm nghìn người.

Tôi chỉ là một người dùng bình thường - Cuộc tấn công VPNFilter có nghĩa là gì Tôi?

Tin tốt là bộ định tuyến của bạn không có khả năng chứa phần mềm độc hại quấy rầy nếu bạn đã kiểm tra danh sách bộ định tuyến VPNFilter mà chúng tôi đã cung cấp ở trên. Nhưng nó luôn luôn là sai lầm tốt nhất ở khía cạnh thận trọng. Symantec, đối với một, chạy Kiểm tra VPNFilter để bạn có thể kiểm tra xem mình có bị ảnh hưởng hay không. Chỉ mất vài giây để chạy séc.

Bây giờ, đây là vấn đề. Nếu bạn thực sự bị nhiễm thì sao? Khám phá các bước sau:
  • Đặt lại bộ định tuyến của bạn. Tiếp theo, hãy chạy lại Kiểm tra bộ lọc VPN.
  • Đặt lại bộ định tuyến của bạn về cài đặt gốc.
  • Cân nhắc tắt mọi cài đặt quản lý từ xa trên thiết bị của bạn.
  • Tải xuống chương trình cơ sở cập nhật nhất cho bộ định tuyến của bạn. Hoàn tất quá trình cài đặt chương trình cơ sở sạch, lý tưởng nhất là không cần bộ định tuyến kết nối trực tuyến trong khi quá trình đang diễn ra.
  • Hoàn tất quá trình quét toàn bộ hệ thống trên máy tính hoặc thiết bị của bạn đã được kết nối với bộ định tuyến bị nhiễm. Đừng quên sử dụng công cụ tối ưu hóa PC đáng tin cậy để hoạt động cùng với trình quét phần mềm độc hại đáng tin cậy của bạn.
  • Bảo mật các kết nối của bạn. Hãy tự bảo vệ mình bằng VPN trả phí chất lượng cao với hồ sơ theo dõi về quyền riêng tư và bảo mật trực tuyến hàng đầu.
  • Tập thói quen thay đổi thông tin đăng nhập mặc định của bộ định tuyến cũng như các thiết bị IoT hoặc NAS khác .
  • Đã cài đặt và định cấu hình tường lửa đúng cách để ngăn chặn nội dung xấu xâm nhập vào mạng của bạn.
  • Bảo mật thiết bị của bạn bằng mật khẩu mạnh và duy nhất.
  • Bật mã hóa .

Nếu bộ định tuyến của bạn có thể bị ảnh hưởng, bạn nên kiểm tra với trang web của nhà sản xuất để biết bất kỳ thông tin mới nào và các bước cần thực hiện để bảo vệ thiết bị của bạn. Đây là bước cần thực hiện ngay lập tức, vì tất cả thông tin của bạn đều đi qua bộ định tuyến của bạn. Khi một bộ định tuyến bị xâm phạm, quyền riêng tư và bảo mật của thiết bị của bạn đang bị đe dọa.

Tóm tắt

Phần mềm độc hại VPNFilter có thể là một trong những mối đe dọa mạnh nhất và không thể phá hủy nhất đối với các bộ định tuyến doanh nghiệp và văn phòng nhỏ hoặc gia đình trong thời gian gần đây lịch sử. Ban đầu nó được phát hiện trên các thiết bị mạng Linksys, NETGEAR, MikroTik và TP-Link và các thiết bị QNAP NAS. Bạn có thể tìm thấy danh sách các bộ định tuyến bị ảnh hưởng ở trên.

Không thể bỏ qua VPNFilter sau khi bắt đầu một số 500.000 trường hợp lây nhiễm ở 54 quốc gia. Nó hoạt động theo ba giai đoạn và làm cho các bộ định tuyến không hoạt động được, thu thập thông tin đi qua các bộ định tuyến và thậm chí chặn lưu lượng mạng. Việc phát hiện cũng như phân tích hoạt động mạng của nó vẫn là một công việc khó khăn.

Trong bài viết này, chúng tôi đã trình bày các cách giúp bạn tự bảo vệ mình khỏi phần mềm độc hại và các bước bạn có thể thực hiện nếu bộ định tuyến của bạn bị xâm phạm. Hậu quả là rất nghiêm trọng, vì vậy bạn đừng bao giờ ngồi vào nhiệm vụ quan trọng là kiểm tra thiết bị của mình.


Video youtube.: Cách xác định và khắc phục phần mềm độc hại VPNFilter ngay bây giờ

05, 2024