כיצד לזהות תוכנות זדוניות של VPN לפני שהוא הורס את הנתב שלך

כיצד לזהות תוכנות זדוניות של VPN לפני שהוא הורס את הנתב שלך

נתב, התקן רשת ותוכנות זדוניות של האינטרנט של הדברים נפוצים יותר ויותר. רובם מתמקדים בהדבקה של מכשירים פגיעים והוספתם לרשתות בוטניות עוצמתיות. נתבים ומכשירי האינטרנט של הדברים (IoT) תמיד מופעלים, תמיד מקוונים ומחכים להנחיות. מספוא בוטנט מושלם, אם כן.





אבל לא כל תוכנות זדוניות זהות.



VPNFilter מהווה איום הרסני על נתבים, התקני IoT ואפילו כמה התקני אחסון המחוברים לרשת (NAS). כיצד ניתן לבדוק אם יש זיהום תוכנות זדוניות של VPNFilter? ואיך אפשר לנקות אותו? בואו נסתכל מקרוב על VPNFilter.





מהו VPNFilter?

VPNFilter היא גרסה מתוחכמת של תוכנות זדוניות המתמקדות בעיקר בהתקני רשת ממגוון רחב של יצרנים, כמו גם מכשירי NAS. VPNFilter נמצא בתחילה במכשירי רשת Linksys, MikroTik, NETGEAR ו- TP-Link, כמו גם במכשירי QNAP NAS, עם כ -500,000 זיהומים ב -54 מדינות.

ה צוות שחשף מסנן VPN , סיסקו טאלוס, פרטים שעודכנו לאחרונה בנוגע לתוכנה הזדונית, דבר המצביע על כך שציוד רשת של יצרנים כמו ASUS, D-Link, Huawei, Ubiquiti, UPVEL ו- ZTE מציגים כעת זיהומים ב- VPNFilter. עם זאת, בעת כתיבת שורות אלה, אין התקני רשת של סיסקו מושפעים.



התוכנה הזדונית אינה דומה לרוב תוכנות זדוניות אחרות ממוקדות IoT מכיוון שהיא נמשכת לאחר אתחול המערכת, מה שמקשה על המיגור. מכשירים המשתמשים בתעודות ההתחברות המוגדרות כברירת מחדל שלהם או עם פגיעות ידועות של אפס ימים שלא קיבלו עדכוני קושחה פגיעים במיוחד.

איך להחזיר משחקים ל- PS4

מה עושה VPNFilter?

VPNFilter הוא 'פלטפורמה מודולרית רב שלבית' שיכולה לגרום נזק הרסני למכשירים. יתר על כן, הוא יכול לשמש גם כאיום לאיסוף נתונים. VPNFilter פועל במספר שלבים.



שלב 1: VPNFilter Stage 1 יוצר ראש חוף במכשיר, יוצר קשר עם שרת הפיקוד והבקרה שלו (C&C) כדי להוריד מודולים נוספים ולהמתין להוראות. לשלב 1 יש גם מספר רב של פיטורים מובנים לאיתור מוקדי מידע ודרכי שלב 2 במקרה של שינוי תשתיות במהלך הפריסה. תוכנת הזדוניות מסוג VPNFilter שלב 1 מסוגלת גם לשרוד אתחול מחדש, מה שהופך אותה לאיום חזק.

שלב 2: VPNFilter Stage 2 אינו ממשיך במהלך אתחול מחדש, אך הוא מגיע עם מגוון רחב יותר של יכולות. שלב 2 יכול לאסוף נתונים פרטיים, לבצע פקודות ולהפריע בניהול מכשירים. כמו כן, ישנן גרסאות שונות של שלב 2 בטבע. חלק מהגרסאות מצוידות במודול הרסני המחליף מחיצה של קושחת המכשיר, ולאחר מכן אתחול מחדש כדי להפוך את המכשיר לבלתי שמיש (התוכנה הזדונית מלבנת את הנתב, IoT או מכשיר NAS, בעצם).



שלב 3: מודולי VPNFilter Stage 3 עובדים כמו תוספים לשלב 2, ומרחיבים את הפונקציונליות של VPNFilter. מודול אחד פועל כמריח מנות שאוסף תנועה נכנסת במכשיר וגונב אישורים. תוכנה נוספת מאפשרת לתוכנה הזדונית שלב 2 לתקשר בצורה מאובטחת באמצעות Tor. סיסקו טאלוס מצאה גם מודול אחד המחדיר תוכן זדוני לתנועה העוברת במכשיר, כלומר ההאקר יכול לספק מעללים נוספים להתקנים מחוברים אחרים באמצעות נתב, IoT או מכשיר NAS.

בנוסף, מודולי VPNFilter 'מאפשרים גניבה של אישורי אתרים ומעקב אחר פרוטוקולי Modbus SCADA'.

מטה לשיתוף תמונות

תכונה מעניינת נוספת (אך לא שהתגלתה לאחרונה) של תוכנת התוכנה הזדונית VPNFilter היא השימוש שלה בשירותי שיתוף תמונות מקוונים לאיתור כתובת ה- IP של שרת ה- C&C שלה. ניתוח Talos מצא שהתוכנה הזדונית מצביעה על סדרה של כתובות אתרים של Photobucket. התוכנה הזדונית מורידה את התמונה הראשונה בגלריה את הפניות לכתובת האתר ומחלצת כתובת IP של השרת החבויה בתוך מטא הנתונים של התמונה.

כתובת ה- IP 'מופקת משישה ערכים שלמים עבור קו הרוחב והאורך של GPS במידע ה- EXIF.' אם זה נכשל, התוכנה הזדונית שלב 1 חוזרת לדומיין רגיל (toknowall.com --- עוד על כך להלן) כדי להוריד את התמונה ולנסות את אותו תהליך.

הרחת מנות ממוקדת

דו'ח טלוס המעודכן חשף כמה תובנות מעניינות לגבי מודול הרחת מנות VPNFilter. במקום רק לרחף הכל למעלה, יש לו מערכת כללים קפדנית למדי שמכוונת לסוגי תנועה ספציפיים. באופן ספציפי, תעבורה ממערכות בקרה תעשייתיות (SCADA) המתחברות באמצעות VPNs TP-Link R600, חיבורים לרשימת כתובות IP מוגדרות מראש (המציין ידע מתקדם ברשתות אחרות ותעבורה רצויה), כמו גם מנות נתונים של 150 בתים או גדול יותר.

קרייג וויליאם, מנהיג טכנולוגי בכיר ומנהל הסברה עולמי בחברת Talos, אמר לארס , 'הם מחפשים דברים מאוד ספציפיים. הם לא מנסים לאסוף כמה שיותר תנועה. הם מחפשים דברים קטנים מאוד כמו אישורים וסיסמאות. אין לנו הרבה מידע על זה מלבד שזה נראה ממוקד להפליא ומתוחכם להפליא. אנחנו עדיין מנסים להבין על מי הם השתמשו בזה. '

מאיפה הגיע VPNFilter?

VPNFilter נחשב לעבודה של קבוצת פריצה בחסות המדינה. כי הזינוק הראשוני בזיהום VPNFilter הורגש בעיקר ברחבי אוקראינה, אצבעות ראשונות הצביעו על טביעות אצבע מגובות רוסיה ועל קבוצת הפריצה, Fancy Bear.

עם זאת, כך היא התחכום של התוכנה הזדונית אין מקור ברור ואין קבוצה של פריצות, מדינת לאום או אחרת, שהתקדמה לתבוע את התוכנה הזדונית. בהתחשב בכללי תוכנה זדונית מפורטים והמיקוד של SCADA ופרוטוקולי מערכת תעשייתית אחרים, נראה כי שחקן במדינה לאומית סביר ביותר.

בלי קשר למה שאני חושב, ה- FBI מאמין ש- VPNFilter הוא יצירה של דובי מפואר. במאי 2018, ה- FBI תפס דומיין --- ToKnowAll.com --- כי חשבו ששימשו להתקנה ולפקודה על שלב 2 ושלב 3 תוכנות זדוניות VPN. תפיסת התחום בהחלט סייעה לעצור את ההתפשטות המיידית של VPNFilter, אך לא ניתקה את העורק הראשי; ה- SBU האוקראינית הורידה מתקפת VPNFilter על מפעל לעיבוד כימי ביולי 2018, לאחת.

כיצד להקליט תוכניות טלוויזיה במחשב נייד

ל- VPNFilter יש גם קווי דמיון לתוכנה הזדונית BlackEnergy, טרויאני APT הנמצא בשימוש נגד מגוון רחב של מטרות אוקראיניות. שוב, למרות שזה רחוק מלהיות הוכחה מלאה, היעד המערכתי של אוקראינה נובע בעיקר מקבוצות פריצה עם קשרים רוסיים.

האם אני נגוע ב- VPNFilter?

רוב הסיכויים שהנתב שלך אינו מחזיק את תוכנת התוכנה הזדונית של VPNFilter. אבל תמיד עדיף להיות בטוח מאשר להצטער:

  1. בדוק את הרשימה הזו עבור הנתב שלך. אם אתה לא ברשימה, הכל בסדר.
  2. אתה יכול להיכנס לאתר Symantec VPNFilter Check. סמן את תיבת התנאים וההגבלות ולאחר מכן לחץ על הפעל את בדיקת מסנן VPN כפתור באמצע. הבדיקה מסתיימת תוך שניות.

אני נגוע ב- VPNFilter: מה עלי לעשות?

אם בדיקת ה- VPNFilter Check של Symantec מאשרת שהנתב שלך נגוע, יש לך דרך פעולה ברורה.

  1. אפס את הנתב ולאחר מכן הפעל שוב את בדיקת מסנני ה- VPN.
  2. אפס את הנתב להגדרות היצרן.
  3. הורד את הקושחה העדכנית ביותר לנתב שלך והשלם התקנת קושחה נקייה, רצוי מבלי שהנתב יבצע חיבור מקוון במהלך התהליך.

בהמשך לכך, עליך להשלים סריקות מערכת מלאות בכל התקן המחובר לנתב הנגוע.

עליך תמיד לשנות את פרטי הכניסה המוגדרים כברירת מחדל של הנתב שלך, כמו גם כל מכשירי IoT או NAS (התקני IoT אינם הופכים את המשימה לקלה) אם הדבר אפשרי בכלל. כמו כן, למרות שישנן עדויות לכך ש- VPNFilter יכול להתחמק מחומות אש מסוימות, כאשר אחד מותקן ומוגדר כראוי יעזור להרחיק הרבה דברים מגעילים אחרים מהרשת שלך.

היזהר מתוכנות זדוניות של הנתב!

תוכנות זדוניות נתבים נפוצות יותר ויותר. תוכנות זדוניות ופגיעויות IoT נמצאות בכל מקום, ועם מספר המכשירים שמגיעים לרשת רק יחמיר. הנתב שלך הוא נקודת המוקד לנתונים בבית שלך. עם זאת, הוא אינו זוכה לתשומת לב ביטחונית כמעט כמו מכשירים אחרים.

במילים פשוטות, הנתב שלך אינו מאובטח כפי שאתה חושב.

לַחֲלוֹק לַחֲלוֹק צִיוּץ אימייל מדריך למתחילים בדיבור אנימציה

הנפשת דיבור יכולה להיות אתגר. אם אתה מוכן להתחיל להוסיף דיאלוג לפרויקט שלך, נשבור עבורך את התהליך.

קרא הבא נושאים קשורים
  • בִּטָחוֹן
  • נתב
  • אבטחה מקוונת
  • האינטרנט של הדברים
  • תוכנה זדונית
על הסופר גאווין פיליפס(פורסמו 945 מאמרים)

Gavin הוא העורך הזוטר של Windows וטכנולוגיה מוסברת, תורם קבוע לפודקאסט באמת שימושי ומבקר מוצרים קבוע. בעל תואר ראשון (בהצטיינות) בכתיבה עכשווית עם שיטות אמנות דיגיטליות שנלקחות מגבעות דבון, כמו גם מעל לעשור של ניסיון בכתיבה מקצועית. הוא נהנה מכמויות תה רבות, משחקי לוח וכדורגל.

חנות מיקרוסופט Windows 10 לא עובדת
עוד מאת גאווין פיליפס

הירשם לניוזלטר שלנו

הצטרף לניוזלטר שלנו לקבלת טיפים, סקירות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!

לחצו כאן להרשמה