วิธีระบุและแก้ไขมัลแวร์ VPNFilter ตอนนี้ (04.26.24)

มัลแวร์บางตัวไม่ได้ถูกสร้างขึ้นมาเท่าเทียมกัน ข้อพิสูจน์ประการหนึ่งคือการมีอยู่ของ มัลแวร์ VPNFilter ซึ่งเป็นมัลแวร์เราเตอร์สายพันธุ์ใหม่ที่มีคุณสมบัติในการทำลายล้าง ลักษณะเด่นประการหนึ่งที่มีคือ มันสามารถเอาตัวรอดจากการรีบูตได้ ไม่เหมือนกับภัยคุกคามอื่นๆ ของ Internet of Things (IoT)

ให้บทความนี้แนะนำคุณตลอดการระบุมัลแวร์ VPNFilter และรายการเป้าหมายของมัลแวร์ นอกจากนี้เรายังจะสอนวิธีป้องกันไม่ให้มันสร้างความเสียหายให้กับระบบของคุณตั้งแต่แรก

มัลแวร์ VPNFilter คืออะไร

คิดว่า VPNFilter เป็นมัลแวร์ทำลายล้างที่คุกคามเราเตอร์ อุปกรณ์ IoT และแม้กระทั่งการเชื่อมต่อเครือข่าย อุปกรณ์จัดเก็บข้อมูล (NAS) ถือเป็นมัลแวร์โมดูลาร์ที่ซับซ้อนซึ่งกำหนดเป้าหมายอุปกรณ์เครือข่ายจากผู้ผลิตหลายรายเป็นหลัก

ในขั้นต้น ตรวจพบมัลแวร์ในอุปกรณ์เครือข่าย Linksys, NETGEAR, MikroTik และ TP-Link มันถูกค้นพบในอุปกรณ์ QNAP NAS ด้วย จนถึงปัจจุบัน มีผู้ติดเชื้อประมาณ 500,000 รายใน 54 ประเทศ ซึ่งแสดงให้เห็นถึงการเข้าถึงและการมีอยู่อย่างมหาศาล

Cisco Talos ทีมงานที่เปิดเผย VPNFilter ได้จัดทำบล็อกโพสต์ที่ครอบคลุมเกี่ยวกับมัลแวร์และรายละเอียดทางเทคนิคเกี่ยวกับมัลแวร์ จากรูปลักษณ์ อุปกรณ์เครือข่ายจาก ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti และ ZTE มีสัญญาณของการติดไวรัส

แตกต่างจากมัลแวร์ที่กำหนดเป้าหมาย IoT ส่วนใหญ่ VPNFilter นั้นยากที่จะกำจัดเพราะมัน ยังคงมีอยู่แม้หลังจากรีบูตระบบ การพิสูจน์ว่ามีความเสี่ยงต่อการโจมตีคืออุปกรณ์ที่ใช้ข้อมูลรับรองการเข้าสู่ระบบเริ่มต้น หรืออุปกรณ์ที่มีช่องโหว่ซีโร่เดย์ที่ยังไม่มีการอัปเดตเฟิร์มแวร์

อุปกรณ์ที่ทราบว่าได้รับผลกระทบจากมัลแวร์ตัวกรอง VPN

ทั้งองค์กรและสำนักงานขนาดเล็กหรือเราเตอร์โฮมออฟฟิศต่างก็ตกเป็นเป้าหมายของมัลแวร์นี้ จดบันทึกแบรนด์และรุ่นของเราเตอร์ต่อไปนี้:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
    • li>
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • ไมโครโฟน RB1100
  • ไมโครโฟน
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Upvel Devices -รุ่นที่ไม่รู้จัก
  • อุปกรณ์ ZTE ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • QNAP อื่นๆ อุปกรณ์ NAS ที่ใช้ซอฟต์แวร์ QTS

ตัวหารร่วมในอุปกรณ์เป้าหมายส่วนใหญ่คือการใช้ข้อมูลรับรองเริ่มต้น พวกเขายังรู้จักช่องโหว่ต่างๆ โดยเฉพาะอย่างยิ่งสำหรับเวอร์ชันเก่า

มัลแวร์ VPNFilter ทำอะไรกับอุปกรณ์ที่ติดไวรัส

VPNFilter ทำงานเพื่อสร้างความเสียหายให้กับอุปกรณ์ที่ได้รับผลกระทบรวมถึงใช้เป็นวิธีการรวบรวมข้อมูล ทำงานได้ในสามขั้นตอน:

ระยะที่ 1

การดำเนินการนี้จะทำเครื่องหมายการติดตั้งและคงสถานะถาวรบนอุปกรณ์เป้าหมาย มัลแวร์จะติดต่อเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C) เพื่อดาวน์โหลดโมดูลเพิ่มเติมและรอคำแนะนำ ในขั้นตอนนี้ มีความซ้ำซ้อนในตัวหลายตัวเพื่อค้นหา Stage 2 C&Cs ในกรณีที่มีการเปลี่ยนแปลงโครงสร้างพื้นฐานเกิดขึ้นในขณะที่ภัยคุกคามถูกปรับใช้ ขั้นที่ 1 VPNFilter สามารถทนต่อการรีบูตได้

ขั้นตอนที่ 2

คุณลักษณะนี้มีเพย์โหลดหลัก แม้ว่าจะไม่สามารถคงอยู่ได้ผ่านการรีบูต แต่ก็มีความสามารถมากกว่า สามารถรวบรวมไฟล์ รันคำสั่ง และทำการกรองข้อมูลและจัดการอุปกรณ์ มัลแวร์สามารถ “บล็อก” อุปกรณ์ได้เมื่อได้รับคำสั่งจากผู้โจมตี การดำเนินการนี้ดำเนินการผ่านการเขียนทับส่วนหนึ่งของเฟิร์มแวร์ของอุปกรณ์และการรีบูตครั้งต่อๆ ไป การกระทำผิดทางอาญาทำให้อุปกรณ์ไม่สามารถใช้งานได้

ขั้นตอนที่ 3

มีโมดูลที่รู้จักอยู่หลายโมดูลและทำหน้าที่เป็นปลั๊กอินสำหรับขั้นตอนที่ 2 ซึ่งประกอบด้วยการดมกลิ่นแพ็คเก็ตเพื่อสอดแนมการรับส่งข้อมูลที่ส่งผ่านอุปกรณ์ ทำให้สามารถขโมยข้อมูลรับรองเว็บไซต์ การติดตามโปรโตคอล Modbus SCADA โมดูลอื่นช่วยให้ Stage 2 สื่อสารผ่าน Tor ได้อย่างปลอดภัย จากการสอบสวนของ Cisco Talos โมดูลหนึ่งนำเสนอเนื้อหาที่เป็นอันตรายต่อการรับส่งข้อมูลที่ผ่านอุปกรณ์ ด้วยวิธีนี้ ผู้โจมตีสามารถส่งผลต่ออุปกรณ์ที่เชื่อมต่อได้

ในวันที่ 6 มิถุนายน มีการเปิดเผยโมดูล Stage 3 อีก 2 โมดูล ตัวแรกเรียกว่า "ssler" และสามารถสกัดกั้นการรับส่งข้อมูลทั้งหมดที่ผ่านอุปกรณ์โดยใช้พอร์ต 80 ซึ่งช่วยให้ผู้โจมตีสามารถดูการเข้าชมเว็บและสกัดกั้นเพื่อดำเนินการโจมตีคนตรงกลาง ตัวอย่างเช่น สามารถเปลี่ยนคำขอ HTTPS เป็นคำขอ HTTP โดยส่งข้อมูลที่เข้ารหัสอย่างที่คาดคะเนได้ไม่ปลอดภัย อันที่สองมีชื่อว่า "dstr" ซึ่งรวมคำสั่ง kill เข้ากับโมดูล Stage 2 ใด ๆ ที่ไม่มีคุณลักษณะนี้ เมื่อดำเนินการแล้ว จะกำจัดร่องรอยของมัลแวร์ทั้งหมดก่อนที่จะสร้างอุปกรณ์

ต่อไปนี้คือโมดูล Stage 3 อีก 7 โมดูลที่เปิดเผยในวันที่ 26 กันยายน:
  • htpx – ใช้งานได้ เช่นเดียวกับ ssler การเปลี่ยนเส้นทางและตรวจสอบการรับส่งข้อมูล HTTP ทั้งหมดที่ผ่านอุปกรณ์ที่ติดไวรัสเพื่อระบุและบันทึกไฟล์ปฏิบัติการของ Windows มันสามารถโทรจันขนาดไฟล์เรียกทำงานขณะกำลังผ่านเราเตอร์ที่ติดไวรัส ซึ่งช่วยให้ผู้โจมตีติดตั้งมัลแวร์บนเครื่องต่างๆ ที่เชื่อมต่อกับเครือข่ายเดียวกันได้
  • ndbr – ถือเป็นเครื่องมือ SSH แบบมัลติฟังก์ชั่น
  • nm – โมดูลนี้เป็นอาวุธการทำแผนที่เครือข่ายสำหรับการสแกนซับเน็ตในเครื่อง .
  • netfilter – ยูทิลิตี้การปฏิเสธบริการนี้สามารถบล็อกการเข้าถึงแอปที่เข้ารหัสบางตัวได้
  • การส่งต่อ – ส่งต่อการรับส่งข้อมูลเครือข่าย ไปยังโครงสร้างพื้นฐานที่กำหนดโดยผู้โจมตี
  • socks5proxy – ช่วยให้สามารถสร้างพร็อกซี SOCKS5 บนอุปกรณ์ที่มีช่องโหว่ได้
แหล่งที่มาของ VPNFilter เปิดเผย

สิ่งนี้ มัลแวร์น่าจะเป็นงานของหน่วยงานแฮ็คที่ได้รับการสนับสนุนจากรัฐ การติดเชื้อในระยะแรกพบได้ในยูเครน โดยเกิดจากกลุ่มแฮ็คแฟนซีแบร์และกลุ่มที่ได้รับการสนับสนุนจากรัสเซีย

อย่างไรก็ตาม สิ่งนี้แสดงให้เห็นลักษณะที่ซับซ้อนของ VPNFilter ไม่สามารถเชื่อมโยงกับที่มาที่ชัดเจนและกลุ่มแฮ็คเฉพาะได้ และยังไม่มีใครบางคนก้าวไปข้างหน้าเพื่อเรียกร้องความรับผิดชอบ สปอนเซอร์ระดับประเทศกำลังถูกคาดการณ์เนื่องจาก SCADA ควบคู่ไปกับโปรโตคอลระบบอุตสาหกรรมอื่นๆ มีกฎมัลแวร์และการกำหนดเป้าหมายที่ครอบคลุม

แต่หากคุณต้องถาม FBI VPNFilter เป็นผลิตผลของ Fancy Bear ย้อนกลับไปในเดือนพฤษภาคม 2018 หน่วยงานได้ยึดโดเมน ToKnowAll.com ซึ่งคิดว่าเป็นเครื่องมือในการติดตั้งและควบคุม VPNFilter ขั้นที่ 2 และ 3 การจับกุมช่วยหยุดการแพร่กระจายของมัลแวร์ แต่ไม่สามารถจัดการกับ img หลักได้

ในการประกาศเมื่อวันที่ 25 พฤษภาคม FBI ได้ออกคำขอเร่งด่วนให้ผู้ใช้รีบูตเราเตอร์ Wi-Fi ที่บ้านเพื่อหยุดการโจมตีมัลแวร์จากต่างประเทศครั้งใหญ่ ในเวลานั้น หน่วยงานได้ระบุอาชญากรไซเบอร์จากต่างประเทศสำหรับการประนีประนอมเราเตอร์ Wi-Fi ในสำนักงานขนาดเล็กและในบ้าน พร้อมกับอุปกรณ์เครือข่ายอื่นๆ ได้เป็นแสน

ฉันเป็นเพียงผู้ใช้ธรรมดา – การโจมตี VPNFilter หมายถึงอะไร ฉัน?

ข่าวดีก็คือเราเตอร์ของคุณไม่น่าจะปิดบังมัลแวร์ที่รบกวนคุณ หากคุณตรวจสอบรายการเราเตอร์ VPNFilter ที่เราให้ไว้ข้างต้น แต่มันเป็นการดีที่สุดที่ผิดพลาดในด้านของความระมัดระวัง ประการหนึ่งคือ Symantec เรียกใช้ VPNFilter Check เพื่อให้คุณสามารถทดสอบได้ว่าคุณได้รับผลกระทบหรือไม่ ใช้เวลาเพียงไม่กี่วินาทีในการดำเนินการตรวจสอบ

เท่านี้ก็เรียบร้อย เกิดอะไรขึ้นถ้าคุณติดเชื้อจริง? สำรวจขั้นตอนเหล่านี้:
  • รีเซ็ตเราเตอร์ของคุณ ถัดไป ให้เรียกใช้ VPNFilter Check อีกครั้ง
  • รีเซ็ตเราเตอร์ของคุณเป็นการตั้งค่าจากโรงงาน
  • ลองปิดการตั้งค่าการจัดการระยะไกลในอุปกรณ์ของคุณ
  • ดาวน์โหลดเฟิร์มแวร์ที่อัปเดตล่าสุดสำหรับเราเตอร์ของคุณ ติดตั้งเฟิร์มแวร์ใหม่ทั้งหมดให้เสร็จสมบูรณ์ โดยไม่ต้องให้เราเตอร์ทำการเชื่อมต่อออนไลน์ในขณะที่กำลังดำเนินการ
  • ทำการสแกนระบบทั้งหมดบนคอมพิวเตอร์หรืออุปกรณ์ของคุณที่เชื่อมต่อกับเราเตอร์ที่ติดไวรัส อย่าลืมใช้เครื่องมือเพิ่มประสิทธิภาพพีซีที่เชื่อถือได้เพื่อทำงานร่วมกับเครื่องสแกนมัลแวร์ที่เชื่อถือได้ของคุณ
  • รักษาความปลอดภัยให้กับการเชื่อมต่อของคุณ รับการปกป้องตัวเองด้วย VPN แบบชำระเงินคุณภาพสูงพร้อมประวัติความเป็นส่วนตัวและความปลอดภัยออนไลน์ที่ยอดเยี่ยม
  • ทำนิสัยในการเปลี่ยนข้อมูลรับรองการเข้าสู่ระบบเริ่มต้นของเราเตอร์ของคุณ ตลอดจนอุปกรณ์ IoT หรือ NAS อื่นๆ .
  • ติดตั้งไฟร์วอลล์และกำหนดค่าอย่างเหมาะสมเพื่อป้องกันสิ่งเลวร้ายออกจากเครือข่ายของคุณ
  • รักษาความปลอดภัยให้อุปกรณ์ด้วยรหัสผ่านที่รัดกุมและไม่ซ้ำใคร
  • เปิดใช้งานการเข้ารหัส .

หากเราเตอร์ของคุณได้รับผลกระทบ อาจเป็นความคิดที่ดีที่จะตรวจสอบกับเว็บไซต์ของผู้ผลิตสำหรับข้อมูลใหม่และขั้นตอนในการปกป้องอุปกรณ์ของคุณ นี่เป็นขั้นตอนที่ต้องดำเนินการทันที เนื่องจากข้อมูลทั้งหมดของคุณจะส่งผ่านเราเตอร์ของคุณ เมื่อเราเตอร์ถูกบุกรุก ความเป็นส่วนตัวและความปลอดภัยของอุปกรณ์ของคุณตกอยู่ในอันตราย

สรุป

มัลแวร์ VPNFilter อาจเป็นหนึ่งในภัยคุกคามที่แข็งแกร่งที่สุดและทำลายไม่ได้มากที่สุดในการโจมตีองค์กรและสำนักงานขนาดเล็กหรือเราเตอร์ที่บ้านในช่วงที่ผ่านมา ประวัติศาสตร์ เริ่มแรกตรวจพบบนอุปกรณ์เครือข่าย Linksys, NETGEAR, MikroTik และ TP-Link และอุปกรณ์ QNAP NAS คุณสามารถค้นหารายการเราเตอร์ที่ได้รับผลกระทบได้ที่ด้านบน

VPNFilter ไม่สามารถเพิกเฉยได้หลังจากเริ่มการติดไวรัส 500,000 รายการใน 54 ประเทศ มันทำงานในสามขั้นตอนและทำให้เราเตอร์ใช้งานไม่ได้ รวบรวมข้อมูลที่ผ่านเราเตอร์ และแม้กระทั่งบล็อกการรับส่งข้อมูลเครือข่าย การตรวจจับและวิเคราะห์กิจกรรมเครือข่ายยังคงเป็นงานที่ยากลำบาก

ในบทความนี้ เราได้สรุปวิธีที่จะช่วยป้องกันตัวเองจากมัลแวร์และขั้นตอนที่คุณสามารถทำได้หากเราเตอร์ของคุณถูกบุกรุก ผลที่ตามมานั้นเลวร้าย ดังนั้นคุณไม่ควรนั่งตรวจสอบอุปกรณ์ที่สำคัญของคุณ

วิดีโอ YouTube: วิธีระบุและแก้ไขมัลแวร์ VPNFilter ตอนนี้

04, 2024