วิธีสังเกตมัลแวร์กรอง VPN ก่อนที่จะทำลายเราเตอร์ของคุณ

วิธีสังเกตมัลแวร์กรอง VPN ก่อนที่จะทำลายเราเตอร์ของคุณ

เราท์เตอร์ อุปกรณ์เครือข่าย และมัลแวร์ Internet of Things มีอยู่ทั่วไปมากขึ้น ส่วนใหญ่มุ่งเน้นไปที่การแพร่ระบาดอุปกรณ์ที่มีช่องโหว่และเพิ่มไปยังบ็อตเน็ตที่ทรงพลัง เราเตอร์และอุปกรณ์ Internet of Things (IoT) จะเปิดเครื่องอยู่เสมอ ออนไลน์ตลอดเวลา และรอคำแนะนำ อาหารสัตว์บ็อตเน็ตที่สมบูรณ์แบบแล้ว





แต่มัลแวร์ไม่เหมือนกันทั้งหมด



VPNFilter เป็นภัยคุกคามมัลแวร์ทำลายล้างต่อเราเตอร์ อุปกรณ์ IoT และแม้แต่อุปกรณ์จัดเก็บข้อมูลที่เชื่อมต่อกับเครือข่าย (NAS) บางตัว คุณจะตรวจสอบการติดมัลแวร์ VPNFilter ได้อย่างไร? และคุณจะทำความสะอาดได้อย่างไร? มาดู VPNFilter กันดีกว่า





VPNFilter คืออะไร?

VPNFilter เป็นมัลแวร์โมดูลาร์ที่ซับซ้อนซึ่งกำหนดเป้าหมายไปยังอุปกรณ์เครือข่ายจากผู้ผลิตที่หลากหลายรวมถึงอุปกรณ์ NAS VPNFilter พบได้ในอุปกรณ์เครือข่าย Linksys, MikroTik, NETGEAR และ TP-Link รวมถึงอุปกรณ์ QNAP NAS โดยมีการติดไวรัสประมาณ 500,000 รายการใน 54 ประเทศ

NS ทีมที่ค้นพบ VPNFilter , ซิสโก้ ทาลอส, อัพเดทรายละเอียดล่าสุด เกี่ยวกับมัลแวร์ซึ่งระบุว่าอุปกรณ์เครือข่ายจากผู้ผลิตเช่น ASUS, D-Link, Huawei, Ubiquiti, UPVEL และ ZTE กำลังแสดงการติดไวรัส VPNFilter อย่างไรก็ตาม ในขณะที่เขียน ไม่มีอุปกรณ์เครือข่ายของ Cisco ที่ได้รับผลกระทบ



มัลแวร์ไม่เหมือนกับมัลแวร์ที่เน้น IoT อื่น ๆ ส่วนใหญ่ เพราะมันยังคงอยู่หลังจากรีบูตระบบ ทำให้ยากต่อการกำจัด อุปกรณ์ที่ใช้ข้อมูลรับรองการเข้าสู่ระบบเริ่มต้นหรือมีช่องโหว่ซีโร่เดย์ที่รู้จักซึ่งยังไม่ได้รับการอัพเดตเฟิร์มแวร์จะมีความเสี่ยงเป็นพิเศษ

วิธีสร้างพื้นผิวใน photoshop

VPNFilter ทำอะไร?

ดังนั้น VPNFilter จึงเป็น 'แพลตฟอร์มโมดูลาร์แบบหลายขั้นตอน' ที่สามารถสร้างความเสียหายให้กับอุปกรณ์ได้ นอกจากนี้ยังสามารถใช้เป็นภัยคุกคามในการรวบรวมข้อมูล VPNFilter ทำงานได้หลายขั้นตอน



ขั้นที่ 1: VPNFilter Stage 1 สร้างหัวหาดบนอุปกรณ์ โดยติดต่อคำสั่งและเซิร์ฟเวอร์ควบคุม (C&C) เพื่อดาวน์โหลดโมดูลเพิ่มเติมและรอคำแนะนำ ระยะที่ 1 ยังมีความซ้ำซ้อนในตัวหลายตัวเพื่อค้นหา C&C ระยะที่ 2 ในกรณีที่โครงสร้างพื้นฐานมีการเปลี่ยนแปลงระหว่างการปรับใช้ มัลแวร์ Stage 1 VPNFilter ยังสามารถอยู่รอดได้จากการรีบูต ทำให้เป็นภัยคุกคามที่แข็งแกร่ง

ขั้นตอนที่ 2: VPNFilter Stage 2 ไม่คงอยู่ผ่านการรีบูต แต่มาพร้อมกับความสามารถที่หลากหลายกว่า ขั้นที่ 2 สามารถเก็บรวบรวมข้อมูลส่วนตัว ดำเนินการคำสั่ง และรบกวนการจัดการอุปกรณ์ นอกจากนี้ยังมี Stage 2 เวอร์ชันต่างๆ อยู่ในป่า บางเวอร์ชันมีการติดตั้งโมดูลทำลายล้างที่เขียนทับพาร์ติชั่นของเฟิร์มแวร์ของอุปกรณ์ จากนั้นรีบูตเพื่อทำให้อุปกรณ์ไม่สามารถใช้งานได้ (โดยพื้นฐานแล้วมัลแวร์จะบล็อกเราเตอร์ IoT หรืออุปกรณ์ NAS)



ขั้นที่ 3: โมดูล VPNFilter Stage 3 ทำงานเหมือนปลั๊กอินสำหรับ Stage 2 ซึ่งขยายฟังก์ชันการทำงานของ VPNFilter โมดูลหนึ่งทำหน้าที่เป็นตัวดักจับแพ็กเก็ตที่รวบรวมทราฟฟิกที่เข้ามาบนอุปกรณ์และขโมยข้อมูลประจำตัว อีกวิธีหนึ่งช่วยให้มัลแวร์ Stage 2 สามารถสื่อสารได้อย่างปลอดภัยโดยใช้ Tor Cisco Talos ยังพบโมดูลหนึ่งที่แทรกเนื้อหาที่เป็นอันตรายลงในทราฟฟิกที่ส่งผ่านอุปกรณ์ ซึ่งหมายความว่าแฮ็กเกอร์สามารถส่งช่องโหว่เพิ่มเติมไปยังอุปกรณ์ที่เชื่อมต่ออื่น ๆ ผ่านเราเตอร์ IoT หรืออุปกรณ์ NAS

นอกจากนี้ โมดูล VPNFilter 'อนุญาตให้ขโมยข้อมูลประจำตัวของเว็บไซต์และการตรวจสอบโปรโตคอล Modbus SCADA'

การแบ่งปันรูปภาพ Meta

คุณสมบัติที่น่าสนใจอีกประการหนึ่ง (แต่ไม่ได้ค้นพบใหม่) ของมัลแวร์ VPNFilter คือการใช้บริการแชร์รูปภาพออนไลน์เพื่อค้นหาที่อยู่ IP ของเซิร์ฟเวอร์ C&C การวิเคราะห์ Talos พบว่ามัลแวร์ชี้ไปที่ URL ของ Photobucket มัลแวร์ดาวน์โหลดภาพแรกในแกลเลอรีที่ URL อ้างอิงและแยกที่อยู่ IP ของเซิร์ฟเวอร์ที่ซ่อนอยู่ภายในข้อมูลเมตาของรูปภาพ

ที่อยู่ IP 'ถูกดึงมาจากค่าจำนวนเต็มหกค่าสำหรับละติจูดและลองจิจูดของ GPS ในข้อมูล EXIF' หากไม่สำเร็จ มัลแวร์ Stage 1 จะกลับไปเป็นโดเมนปกติ (toknowall.com——ดูข้อมูลเพิ่มเติมด้านล่าง) เพื่อดาวน์โหลดภาพและพยายามทำตามขั้นตอนเดียวกัน

ดมกลิ่นแพ็คเก็ตเป้าหมาย

รายงาน Talos ที่อัปเดตเปิดเผยข้อมูลเชิงลึกที่น่าสนใจเกี่ยวกับโมดูลดมกลิ่นแพ็กเก็ต VPNFilter แทนที่จะแค่เก็บกวาดทุกอย่าง มันมีชุดกฎที่ค่อนข้างเข้มงวดซึ่งกำหนดเป้าหมายการเข้าชมบางประเภท โดยเฉพาะอย่างยิ่ง การรับส่งข้อมูลจากระบบควบคุมอุตสาหกรรม (SCADA) ที่เชื่อมต่อโดยใช้ TP-Link R600 VPN การเชื่อมต่อกับรายการที่อยู่ IP ที่กำหนดไว้ล่วงหน้า (แสดงความรู้ขั้นสูงเกี่ยวกับเครือข่ายอื่นๆ และการรับส่งข้อมูลที่ต้องการ) รวมถึงแพ็กเก็ตข้อมูล 150 ไบต์ หรือใหญ่กว่า

Craig William หัวหน้าฝ่ายเทคโนโลยีอาวุโส และผู้จัดการฝ่ายประชาสัมพันธ์ระดับโลกที่ Talos บอก Ars , 'พวกเขากำลังมองหาสิ่งที่เฉพาะเจาะจงมาก พวกเขาไม่ได้พยายามรวบรวมทราฟฟิกให้ได้มากที่สุด พวกเขากำลังติดตามสิ่งเล็ก ๆ น้อย ๆ เช่นข้อมูลประจำตัวและรหัสผ่าน เราไม่มีข้อมูลอะไรมากไปกว่าที่ดูเหมือนว่าจะกำหนดเป้าหมายอย่างเหลือเชื่อและซับซ้อนอย่างเหลือเชื่อ เรายังคงพยายามค้นหาว่าใครกำลังใช้สิ่งนั้นอยู่'

VPNFilter มาจากไหน?

VPNFilter คิดว่าเป็นผลงานของกลุ่มแฮ็คที่ได้รับการสนับสนุนจากรัฐ พบว่าการติดเชื้อ VPNFilter เพิ่มขึ้นอย่างรวดเร็วทั่วประเทศยูเครน นิ้วเริ่มต้นชี้ไปที่ลายนิ้วมือที่ได้รับการสนับสนุนจากรัสเซียและกลุ่มแฮ็คแฟนซีแบร์

อย่างไรก็ตาม ความซับซ้อนของมัลแวร์นั้นไม่มีจุดกำเนิดที่ชัดเจน และไม่มีกลุ่มแฮ็ค รัฐชาติหรืออย่างอื่นใดที่ก้าวไปข้างหน้าเพื่ออ้างสิทธิ์ในมัลแวร์ เมื่อพิจารณาจากกฎมัลแวร์โดยละเอียดและการกำหนดเป้าหมายของ SCADA และโปรโตคอลระบบอุตสาหกรรมอื่นๆ ดูเหมือนว่าผู้ดำเนินการรัฐชาติน่าจะเป็นไปได้มากที่สุด

ไม่ว่าฉันจะคิดอย่างไร FBI เชื่อว่า VPNFilter เป็นการสร้างแฟนซี ในเดือนพฤษภาคม 2561 เอฟบีไอ ยึดโดเมน --- ToKnowAll.com --- ที่คิดว่าเคยถูกใช้เพื่อติดตั้งและสั่งการมัลแวร์ VPNFilter ขั้นที่ 2 และ 3 การยึดโดเมนช่วยหยุดการแพร่กระจายของ VPNFilter ในทันทีอย่างแน่นอน แต่ไม่ได้ตัดหลอดเลือดแดงหลัก SBU ของยูเครนได้นำ VPNFilter โจมตีโรงงานแปรรูปเคมีในเดือนกรกฎาคม 2018 ออกไปหนึ่งรายการ

คุณต้องมี xbox live ถึงจะเล่น fortnite ได้

VPNFilter ยังมีความคล้ายคลึงกับมัลแวร์ BlackEnergy ซึ่งเป็นโทรจัน APT ที่ใช้กับเป้าหมายของยูเครนในวงกว้าง อีกครั้ง แม้ว่าจะยังห่างไกลจากหลักฐานที่สมบูรณ์ แต่การกำหนดเป้าหมายอย่างเป็นระบบของยูเครนส่วนใหญ่เกิดจากกลุ่มแฮ็กข้อมูลที่มีความสัมพันธ์กับรัสเซีย

ฉันติด VPNFilter หรือไม่

เป็นไปได้ว่าเราเตอร์ของคุณไม่ได้ปิดบังมัลแวร์ VPNFilter แต่จะดีกว่าเสมอที่จะปลอดภัยกว่าเสียใจ:

  1. ตรวจสอบรายการนี้ สำหรับเราเตอร์ของคุณ หากคุณไม่อยู่ในรายการ ทุกอย่างก็ไม่เป็นไร
  2. คุณสามารถไปที่ไซต์ Symantec VPNFilter Check ทำเครื่องหมายในช่องข้อกำหนดและเงื่อนไข จากนั้นกด เรียกใช้ VPNFilter Check ปุ่มตรงกลาง การทดสอบเสร็จสิ้นภายในไม่กี่วินาที

ฉันติด VPNFilter: ฉันควรทำอย่างไร?

หาก Symantec VPNFilter Check ยืนยันว่าเราเตอร์ของคุณติดไวรัส แสดงว่าคุณมีการดำเนินการที่ชัดเจน

  1. รีเซ็ตเราเตอร์ของคุณ จากนั้นเรียกใช้ VPNFilter Check อีกครั้ง
  2. รีเซ็ตเราเตอร์ของคุณเป็นการตั้งค่าจากโรงงาน
  3. ดาวน์โหลดเฟิร์มแวร์ล่าสุดสำหรับเราเตอร์ของคุณ และทำการติดตั้งเฟิร์มแวร์ใหม่ทั้งหมดให้เสร็จสิ้น โดยที่เราเตอร์ไม่ต้องทำการเชื่อมต่อออนไลน์ในระหว่างกระบวนการ

นอกจากนี้ คุณต้องทำการสแกนระบบทั้งหมดบนอุปกรณ์แต่ละเครื่องที่เชื่อมต่อกับเราเตอร์ที่ติดไวรัส

คุณควรเปลี่ยนข้อมูลรับรองการเข้าสู่ระบบเริ่มต้นของเราเตอร์ของคุณตลอดจนอุปกรณ์ IoT หรือ NAS (อุปกรณ์ IoT ไม่ได้ทำให้งานนี้ง่าย) หากเป็นไปได้ นอกจากนี้ แม้ว่าจะมีหลักฐานว่า VPNFilter สามารถหลบเลี่ยงไฟร์วอลล์บางตัวได้ มีหนึ่งติดตั้งและกำหนดค่าอย่างเหมาะสม จะช่วยป้องกันสิ่งที่น่ารังเกียจอื่น ๆ มากมายออกจากเครือข่ายของคุณ

ระวังมัลแวร์เราเตอร์!

มัลแวร์เราเตอร์เป็นเรื่องปกติมากขึ้น มัลแวร์และช่องโหว่ของ IoT มีอยู่ทุกหนทุกแห่ง และด้วยจำนวนอุปกรณ์ที่ออนไลน์จะยิ่งแย่ลงไปอีก เราเตอร์ของคุณเป็นจุดโฟกัสสำหรับข้อมูลในบ้านของคุณ แต่ยังไม่ได้รับความสนใจด้านความปลอดภัยมากเท่ากับอุปกรณ์อื่นๆ

พูดง่ายๆ เราเตอร์ของคุณไม่ปลอดภัยอย่างที่คุณคิด

แบ่งปัน แบ่งปัน ทวีต อีเมล คู่มือสำหรับผู้เริ่มต้นในการพูดแบบเคลื่อนไหว

การพูดแบบเคลื่อนไหวอาจเป็นเรื่องท้าทาย หากคุณพร้อมที่จะเริ่มเพิ่มบทสนทนาในโครงการของคุณ เราจะแบ่งขั้นตอนให้คุณ

อ่านต่อไป หัวข้อที่เกี่ยวข้อง
  • ความปลอดภัย
  • เราเตอร์
  • ความปลอดภัยออนไลน์
  • อินเทอร์เน็ตของสรรพสิ่ง
  • มัลแวร์
เกี่ยวกับผู้เขียน Gavin Phillips(เผยแพร่บทความ 945 ฉบับ)

Gavin เป็นบรรณาธิการรุ่นเยาว์สำหรับ Windows และเทคโนโลยีอธิบาย เป็นผู้มีส่วนร่วมประจำใน Podcast ที่มีประโยชน์จริงๆ และเป็นผู้ตรวจสอบผลิตภัณฑ์ประจำ เขามีศิลปศาสตรบัณฑิต (เกียรตินิยม) การเขียนร่วมสมัยพร้อมแนวทางปฏิบัติด้านศิลปะดิจิทัลที่ถูกปล้นจากเนินเขาของ Devon รวมถึงประสบการณ์การเขียนระดับมืออาชีพกว่าทศวรรษ เขาชอบดื่มชา บอร์ดเกม และฟุตบอลเป็นจำนวนมาก

เป็น jpg เหมือนกับ jpeg
เพิ่มเติมจาก Gavin Phillips

สมัครรับจดหมายข่าวของเรา

เข้าร่วมจดหมายข่าวของเราสำหรับเคล็ดลับทางเทคนิค บทวิจารณ์ eBook ฟรี และดีลพิเศษ!

คลิกที่นี่เพื่อสมัครสมาชิก