home

หน้าแรก
 Computer >> คอมพิวเตอร์ >  >> การแก้ไขปัญหา >> การบำรุงรักษาคอมพิวเตอร์

วิธีระบุและแก้ไขมัลแวร์ VPNFilter ตอนนี้

ไม่ใช่ทุก มัลแวร์ ถูกสร้างขึ้นอย่างเท่าเทียมกัน ข้อพิสูจน์ประการหนึ่งคือการมีอยู่ของมัลแวร์ VPNFilter มัลแวร์เราเตอร์สายพันธุ์ใหม่ที่มีคุณสมบัติทำลายล้าง ลักษณะเด่นประการหนึ่งที่มีคือ มันสามารถเอาตัวรอดจากการรีบูต ซึ่งแตกต่างจากภัยคุกคามอื่นๆ ของ Internet of Things (IoT)

ให้บทความนี้แนะนำคุณเกี่ยวกับการระบุมัลแวร์ VPNFilter รวมถึงรายการเป้าหมาย นอกจากนี้เรายังจะสอนวิธีป้องกันไม่ให้มันสร้างความเสียหายให้กับระบบของคุณตั้งแต่แรก

มัลแวร์กรอง VPN คืออะไร

คิดว่า VPNFilter เป็นมัลแวร์ทำลายล้างที่คุกคามเราเตอร์ อุปกรณ์ IoT และแม้แต่อุปกรณ์จัดเก็บข้อมูลที่เชื่อมต่อกับเครือข่าย (NAS) ถือว่าเป็นมัลแวร์โมดูลาร์ที่ซับซ้อนซึ่งกำหนดเป้าหมายอุปกรณ์เครือข่ายจากผู้ผลิตหลายรายเป็นหลัก

เริ่มแรก ตรวจพบมัลแวร์ในอุปกรณ์เครือข่าย Linksys, NETGEAR, MikroTik และ TP-Link มันถูกค้นพบในอุปกรณ์ QNAP NAS ด้วย จนถึงปัจจุบัน มีผู้ติดเชื้อประมาณ 500,000 รายใน 54 ประเทศ ซึ่งแสดงให้เห็นถึงการเข้าถึงและการมีอยู่อย่างมหาศาล

Cisco Talos ทีมงานที่เปิดเผย VPNFilter ให้ บล็อกโพสต์ที่ครอบคลุมเกี่ยวกับมัลแวร์และรายละเอียดทางเทคนิคเกี่ยวกับมัลแวร์ ดูจากรูปลักษณ์แล้ว อุปกรณ์เครือข่ายจาก ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti และ ZTE มีอาการติดเชื้อ

แตกต่างจากมัลแวร์ที่กำหนดเป้าหมาย IoT อื่นๆ ส่วนใหญ่ VPNFilter นั้นยากที่จะกำจัดเพราะมันยังคงอยู่แม้หลังจากรีบูตระบบแล้ว การพิสูจน์ว่ามีความเสี่ยงต่อการโจมตีคืออุปกรณ์ที่ใช้ข้อมูลรับรองการเข้าสู่ระบบเริ่มต้น หรืออุปกรณ์ที่มีช่องโหว่ซีโร่เดย์ที่ยังไม่มีการอัปเดตเฟิร์มแวร์

อุปกรณ์ที่ทราบว่าได้รับผลกระทบจากมัลแวร์ VPNFilter

ทั้งเราเตอร์สำหรับองค์กรและสำนักงานขนาดเล็กหรือโฮมออฟฟิศต่างก็ตกเป็นเป้าหมายของมัลแวร์นี้ จดยี่ห้อและรุ่นของเราเตอร์ดังต่อไปนี้:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • ลิงค์ซิส E1200
  • ลิงค์ซิส E2500
  • ลิงค์ซิส E3000
  • ลิงค์ซิส E3200
  • ลิงค์ซิส E4200
  • ลิงค์ซิส RV082
  • Huawei HG8245
  • ลิงค์ซิส WRVS4400N
  • เน็ตเกียร์ DG834
  • เน็ตเกียร์ DGN1000
  • เน็ตเกียร์ DGN2200
  • เน็ตเกียร์ DGN3500
  • เน็ตเกียร์ FVS318N
  • เน็ตเกียร์ MBRN3000
  • เน็ตเกียร์ R6400
  • เน็ตเกียร์ R7000
  • เน็ตเกียร์ R8000
  • เน็ตเกียร์ WNR1000
  • Netgear WNR2000
  • เน็ตเกียร์ WNR2200
  • เน็ตเกียร์ WNR4000
  • เน็ตเกียร์ WNDR3700
  • เน็ตเกียร์ WNDR4000
  • เน็ตเกียร์ WNDR4300
  • เน็ตเกียร์ WNDR4300-TN
  • เน็ตเกียร์ UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Upvel Devices -ไม่ทราบรุ่น
  • อุปกรณ์ ZTE ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • อุปกรณ์ QNAP NAS อื่นๆ ที่ใช้ซอฟต์แวร์ QTS

ตัวหารร่วมในอุปกรณ์เป้าหมายส่วนใหญ่คือการใช้ข้อมูลประจำตัวเริ่มต้น พวกเขายังรู้จักช่องโหว่ต่างๆ โดยเฉพาะอย่างยิ่งสำหรับเวอร์ชันเก่า

มัลแวร์ VPNFilter ทำอะไรกับอุปกรณ์ที่ติดไวรัส

VPNFilter ทำงานเพื่อสร้างความเสียหายให้กับอุปกรณ์ที่ได้รับผลกระทบและทำหน้าที่เป็นวิธีการรวบรวมข้อมูล ทำงานในสามขั้นตอน:

ระยะที่ 1

ซึ่งทำเครื่องหมายการติดตั้งและการรักษาสถานะถาวรบนอุปกรณ์เป้าหมาย มัลแวร์จะติดต่อเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C) เพื่อดาวน์โหลดโมดูลเพิ่มเติมและรอคำแนะนำ ในขั้นตอนนี้ มีความซ้ำซ้อนในตัวหลายตัวเพื่อค้นหา C&C ระยะที่ 2 ในกรณีที่มีการเปลี่ยนแปลงโครงสร้างพื้นฐานเกิดขึ้นในขณะที่มีการปรับใช้ภัยคุกคาม ขั้นตอนที่ 1 VPNFilter สามารถทนต่อการรีบูตได้

ระยะที่ 2

คุณลักษณะนี้มีเพย์โหลดหลัก แม้ว่าจะไม่สามารถคงอยู่ได้ผ่านการรีบูต แต่ก็มีความสามารถมากกว่า สามารถรวบรวมไฟล์ รันคำสั่ง และทำการกรองข้อมูลและจัดการอุปกรณ์ มัลแวร์สามารถ “บล็อก” อุปกรณ์ได้เมื่อได้รับคำสั่งจากผู้โจมตี การดำเนินการนี้ดำเนินการผ่านการเขียนทับส่วนหนึ่งของเฟิร์มแวร์ของอุปกรณ์และการรีบูตครั้งต่อๆ ไป การกระทำผิดทางอาญาทำให้อุปกรณ์ใช้งานไม่ได้

ระยะที่ 3

โมดูลที่เป็นที่รู้จักหลายโมดูลนี้มีอยู่และทำหน้าที่เป็นปลั๊กอินสำหรับขั้นตอนที่ 2 ซึ่งประกอบด้วยแพ็กเก็ตดมกลิ่นเพื่อสอดแนมการรับส่งข้อมูลที่ส่งผ่านอุปกรณ์ ทำให้สามารถขโมยข้อมูลรับรองเว็บไซต์และติดตามโปรโตคอล Modbus SCADA โมดูลอื่นช่วยให้ Stage 2 สื่อสารผ่าน Tor ได้อย่างปลอดภัย จากการสอบสวนของ Cisco Talos โมดูลหนึ่งนำเสนอเนื้อหาที่เป็นอันตรายต่อการรับส่งข้อมูลที่ผ่านอุปกรณ์ ด้วยวิธีนี้ ผู้โจมตีสามารถส่งผลต่ออุปกรณ์ที่เชื่อมต่อได้

เมื่อวันที่ 6 มิถุนายน มีการเปิดเผยโมดูล Stage 3 อีกสองโมดูล อันแรกเรียกว่า "ssler" และสามารถสกัดกั้นการรับส่งข้อมูลทั้งหมดที่ผ่านอุปกรณ์โดยใช้พอร์ต 80 ซึ่งช่วยให้ผู้โจมตีสามารถดูการเข้าชมเว็บและสกัดกั้นเพื่อดำเนินการโจมตีคนตรงกลาง ตัวอย่างเช่น สามารถเปลี่ยนคำขอ HTTPS เป็นคำขอ HTTP โดยส่งข้อมูลที่เข้ารหัสอย่างที่คาดคะเนได้ไม่ปลอดภัย อันที่สองมีชื่อว่า "dstr" ซึ่งรวมคำสั่ง kill เข้ากับโมดูล Stage 2 ใด ๆ ที่ไม่มีคุณลักษณะนี้ เมื่อดำเนินการแล้ว จะกำจัดร่องรอยของมัลแวร์ทั้งหมดก่อนที่จะอิฐอุปกรณ์

ต่อไปนี้คือโมดูล Stage 3 อีก 7 โมดูลที่เปิดเผยในวันที่ 26 กันยายน:

  • htpx – มันทำงานเหมือนกับ ssler การเปลี่ยนเส้นทางและตรวจสอบการรับส่งข้อมูล HTTP ทั้งหมดที่ผ่านอุปกรณ์ที่ติดไวรัสเพื่อระบุและบันทึกไฟล์ปฏิบัติการของ Windows มันสามารถโทรจันขนาดไฟล์เรียกทำงานขณะกำลังผ่านเราเตอร์ที่ติดไวรัส ซึ่งช่วยให้ผู้โจมตีติดตั้งมัลแวร์บนเครื่องต่างๆ ที่เชื่อมต่อกับเครือข่ายเดียวกันได้
  • ndbr – นี่ถือเป็นเครื่องมือ SSH แบบมัลติฟังก์ชั่น
  • นาโนเมตร – โมดูลนี้เป็นอาวุธในการทำแผนที่เครือข่ายสำหรับการสแกนซับเน็ตในเครื่อง
  • netfilter – ยูทิลิตีการปฏิเสธบริการนี้สามารถบล็อกการเข้าถึงแอปที่เข้ารหัสบางแอปได้
  • การส่งต่อ – ส่งต่อทราฟฟิกเครือข่ายไปยังโครงสร้างพื้นฐานที่กำหนดโดยผู้โจมตี
  • socks5proxy – ช่วยให้สามารถสร้างพร็อกซี SOCKS5 บนอุปกรณ์ที่มีช่องโหว่ได้

ต้นกำเนิดของ VPNFilter เปิดเผย

มัลแวร์นี้น่าจะเป็นผลงานของหน่วยงานแฮ็กที่ได้รับการสนับสนุนจากรัฐ การติดเชื้อในระยะแรกพบได้ในยูเครน โดยสาเหตุหลักมาจากการกระทำของกลุ่มแฮ็คแฟนซีแบร์และกลุ่มที่ได้รับการสนับสนุนจากรัสเซีย

อย่างไรก็ตาม สิ่งนี้แสดงให้เห็นลักษณะที่ซับซ้อนของ VPNFilter ไม่สามารถเชื่อมโยงกับที่มาที่ชัดเจนและกลุ่มแฮ็คเฉพาะได้ และยังไม่มีใครบางคนก้าวไปข้างหน้าเพื่อเรียกร้องความรับผิดชอบ สปอนเซอร์ระดับประเทศกำลังถูกคาดการณ์เนื่องจาก SCADA ควบคู่ไปกับโปรโตคอลระบบอุตสาหกรรมอื่นๆ มีกฎและการกำหนดเป้าหมายมัลแวร์ที่ครอบคลุม

หากคุณต้องถาม FBI VPNFilter เป็นลูกสมุนของ Fancy Bear ย้อนกลับไปในเดือนพฤษภาคม 2018 หน่วยงานได้ยึดโดเมน ToKnowAll.com ซึ่งคิดว่าเป็นเครื่องมือในการติดตั้งและควบคุม VPNFilter ขั้นที่ 2 และ 3 การจับกุมช่วยหยุดการแพร่กระจายของมัลแวร์ แต่ไม่สามารถจัดการกับแหล่งที่มาหลักได้

ในการประกาศเมื่อวันที่ 25 พฤษภาคม FBI ได้ออกคำขอเร่งด่วนให้ผู้ใช้รีบูตเราเตอร์ Wi-Fi ที่บ้านเพื่อหยุดการโจมตีมัลแวร์ขนาดใหญ่จากต่างประเทศ ในขณะนั้น หน่วยงานได้ระบุอาชญากรไซเบอร์จากต่างประเทศสำหรับการประนีประนอมเราเตอร์ Wi-Fi ในสำนักงานขนาดเล็กและในบ้าน ร่วมกับอุปกรณ์เครือข่ายอื่นๆ ได้เป็นแสน

ฉันเป็นแค่ผู้ใช้ธรรมดา – การโจมตี VPNFilter หมายถึงฉันอย่างไร

ข่าวดีก็คือเราเตอร์ของคุณไม่น่าจะปิดบังมัลแวร์ที่รบกวนหากคุณตรวจสอบรายการเราเตอร์ VPNFilter ที่เราให้ไว้ข้างต้น แต่มันเป็นการดีที่สุดที่ผิดพลาดในด้านของความระมัดระวัง อย่าง Symantec เรียกใช้ VPNFilter Check เพื่อให้คุณสามารถทดสอบได้ว่าคุณได้รับผลกระทบหรือไม่ ใช้เวลาเพียงไม่กี่วินาทีในการดำเนินการตรวจสอบ

เอาล่ะ นี่คือสิ่งที่ เกิดอะไรขึ้นถ้าคุณติดเชื้อจริง? สำรวจขั้นตอนเหล่านี้:

  • รีเซ็ตเราเตอร์ของคุณ จากนั้น เรียกใช้ VPNFilter Check อีกครั้ง
  • รีเซ็ตเราเตอร์ของคุณเป็นการตั้งค่าจากโรงงาน
  • ลองปิดการตั้งค่าการจัดการระยะไกลในอุปกรณ์ของคุณ
  • ดาวน์โหลดเฟิร์มแวร์ล่าสุดสำหรับเราเตอร์ของคุณ ติดตั้งเฟิร์มแวร์ใหม่ทั้งหมดให้เสร็จสมบูรณ์ โดยไม่ต้องให้เราเตอร์ทำการเชื่อมต่อออนไลน์ในขณะที่กำลังดำเนินการ
  • ทำการสแกนระบบอย่างสมบูรณ์บนคอมพิวเตอร์หรืออุปกรณ์ของคุณที่เชื่อมต่อกับเราเตอร์ที่ติดไวรัส อย่าลืมใช้เครื่องมือเพิ่มประสิทธิภาพพีซีที่เชื่อถือได้เพื่อทำงานร่วมกับเครื่องสแกนมัลแวร์ที่เชื่อถือได้ของคุณ
  • รักษาการเชื่อมต่อของคุณ รับการปกป้องตัวเองด้วย VPN แบบชำระเงินคุณภาพสูงพร้อมประวัติความเป็นส่วนตัวและความปลอดภัยออนไลน์ที่ยอดเยี่ยม
  • รับนิสัยในการเปลี่ยนข้อมูลรับรองการเข้าสู่ระบบเริ่มต้นของเราเตอร์ของคุณ ตลอดจนอุปกรณ์ IoT หรือ NAS อื่นๆ
  • ติดตั้งไฟร์วอลล์และกำหนดค่าอย่างเหมาะสมเพื่อป้องกันสิ่งเลวร้ายออกจากเครือข่ายของคุณ
  • ปกป้องอุปกรณ์ของคุณด้วยรหัสผ่านที่รัดกุมและไม่ซ้ำกัน
  • เปิดใช้งานการเข้ารหัส

หากเราเตอร์ของคุณอาจได้รับผลกระทบ อาจเป็นความคิดที่ดีที่จะตรวจสอบกับเว็บไซต์ของผู้ผลิตสำหรับข้อมูลใหม่ ๆ และขั้นตอนในการปกป้องอุปกรณ์ของคุณ นี่เป็นขั้นตอนที่ต้องดำเนินการทันที เนื่องจากข้อมูลทั้งหมดของคุณจะส่งผ่านเราเตอร์ของคุณ เมื่อเราเตอร์ถูกบุกรุก ความเป็นส่วนตัวและความปลอดภัยของอุปกรณ์ของคุณตกอยู่ในความเสี่ยง

สรุป

มัลแวร์ VPNFilter อาจเป็นหนึ่งในภัยคุกคามที่แข็งแกร่งที่สุดและทำลายไม่ได้มากที่สุดที่จะโจมตีองค์กรและสำนักงานขนาดเล็กหรือเราเตอร์ที่บ้านในประวัติศาสตร์เมื่อเร็ว ๆ นี้ เริ่มแรกตรวจพบบนอุปกรณ์เครือข่าย Linksys, NETGEAR, MikroTik และ TP-Link และอุปกรณ์ QNAP NAS คุณสามารถค้นหารายการเราเตอร์ที่ได้รับผลกระทบได้ที่ด้านบน

VPNFilter ไม่สามารถละเลยได้หลังจากเริ่มการติดเชื้อ 500,000 รายการใน 54 ประเทศ มันทำงานในสามขั้นตอนและทำให้เราเตอร์ใช้งานไม่ได้ รวบรวมข้อมูลที่ผ่านเราเตอร์ และแม้กระทั่งบล็อกการรับส่งข้อมูลเครือข่าย การตรวจจับและวิเคราะห์กิจกรรมเครือข่ายยังคงเป็นงานที่ยากลำบาก

ในบทความนี้ เราได้สรุปวิธีต่างๆ เพื่อช่วยป้องกันตัวเองจากมัลแวร์และขั้นตอนที่คุณสามารถทำได้หากเราเตอร์ของคุณถูกบุกรุก ผลที่ตามมานั้นเลวร้าย ดังนั้นคุณไม่ควรนั่งตรวจสอบอุปกรณ์ที่สำคัญของคุณ