VPNFilter-malware opsporen voordat het uw router vernietigt
Router, netwerkapparaat en Internet of Things-malware komt steeds vaker voor. De meeste richten zich op het infecteren van kwetsbare apparaten en het toevoegen ervan aan krachtige botnets. Routers en Internet of Things (IoT) -apparaten zijn altijd ingeschakeld, altijd online en wachten op instructies. Perfect botnetvoer dan.
Maar niet alle malware is hetzelfde.
VPNFilter is een destructieve malwarebedreiging voor routers, IoT-apparaten en zelfs sommige NAS-apparaten (Network Attached Storage). Hoe controleer je op een malware-infectie met VPNFilter? En hoe kun je het opruimen? Laten we VPNFilter van naderbij bekijken.
Wat is VPNFilter?
VPNFilter is een geavanceerde modulaire malwarevariant die voornamelijk gericht is op netwerkapparaten van een groot aantal fabrikanten en op NAS-apparaten. VPNFilter werd oorspronkelijk gevonden op Linksys, MikroTik, NETGEAR en TP-Link netwerkapparaten, evenals QNAP NAS-apparaten, met ongeveer 500.000 infecties in 54 landen.
Het team dat VPNFilter ontmaskerde, Cisco Talos, heeft recent informatie over de malware geüpdatet, wat aangeeft dat netwerkapparatuur van fabrikanten zoals ASUS, D-Link, Huawei, Ubiquiti, UPVEL en ZTE nu VPNFilter-infecties vertonen. Op het moment van schrijven worden echter geen Cisco-netwerkapparaten getroffen.
De malware is anders dan de meeste andere IoT-gerichte malware, omdat deze blijft bestaan nadat het systeem opnieuw is opgestart, waardoor het moeilijker is om uit te roeien. Apparaten die gebruikmaken van hun standaardaanmeldingsgegevens of met bekende zero-day-kwetsbaarheden die geen firmware-updates hebben ontvangen, zijn bijzonder kwetsbaar.
Wat doet VPNFilter?
Dus, VPNFilter is een “meertraps, modulair platform” dat kan destructieve schade aan apparaten veroorzaken. Bovendien kan het ook dienen als een bedreiging voor het verzamelen van gegevens. VPNFilter werkt in verschillende fasen.
Fase 1: VPNFilter Stage 1 maakt een bruggenhoofd op het apparaat en neemt contact op met de opdracht- en besturingsserver (C & C) om extra modules te downloaden en instructies af te wachten. Fase 1 heeft ook meerdere ingebouwde redundanties om Stage 2 C & C's te vinden in geval van wijziging van de infrastructuur tijdens de implementatie. De fase 1 VPNFilter-malware kan ook een reboot overleven, waardoor het een robuuste bedreiging vormt.
Stage 2: VPNFilter Stage 2 blijft niet bestaan door opnieuw op te starten, maar biedt wel een breder scala aan mogelijkheden. Fase 2 kan privégegevens verzamelen, opdrachten uitvoeren en apparaatbeheer verstoren. Er zijn ook verschillende versies van Stage 2 in het wild. Sommige versies zijn uitgerust met een destructieve module die een partitie van de apparaatfirmware overschrijft en vervolgens opnieuw opstart om het apparaat onbruikbaar te maken (de malware vormt de basis voor de router, IoT of NAS-apparaat).
Fase 3: VPNFilter Stage 3-modules werken als plug-ins voor fase 2, waardoor de functionaliteit van VPNFilter wordt uitgebreid. Eén module fungeert als een pakketsniffer die inkomend verkeer op het apparaat verzamelt en inloggegevens steelt. Een ander geeft de Stage 2-malware de mogelijkheid om veilig te communiceren via Tor. Cisco Talos vond ook een module die kwaadaardige inhoud injecteert in verkeer dat door het apparaat gaat, wat betekent dat de hacker verdere exploits kan uitvoeren op andere aangesloten apparaten via een router, IoT of NAS-apparaat.
Bovendien VPNFilter-modules “rekening houden met de diefstal van website-inloggegevens en het monitoren van Modbus SCADA-protocollen.”
Foto delen Meta
Een andere interessante (maar niet nieuw ontdekte) functie van de VPNFilter-malware is het gebruik van online diensten voor het delen van foto's om het IP-adres van zijn C & C-server te vinden. Uit de Talos-analyse bleek dat de malware verwijst naar een reeks Photobucket-URL's. De malware downloadt de eerste afbeelding in de galerij waarnaar de URL verwijst en extraheert een server-IP-adres dat verborgen is in de metagegevens van de afbeelding.
Het IP-adres “wordt geëxtraheerd uit zes gehele waarden voor GPS-breedtegraad en lengtegraad in de EXIF-informatie.” Als dat niet lukt, valt de Stage 1-malware terug naar een gewoon domein (toknowall.com - meer hierover hieronder) om de afbeelding te downloaden en hetzelfde proces te proberen.
Gerichte pakketsnuiven
Het bijgewerkte Talos-rapport onthulde een aantal interessante inzichten in de VPNFilter packet sniffing-module. In plaats van alles te stofzuigen, heeft het een vrij strikte set regels die gericht zijn op specifieke soorten verkeer. Specifiek verkeer van industriële besturingssystemen (SCADA) dat verbinding maakt via TP-Link R600 VPN's, verbindingen met een lijst van vooraf gedefinieerde IP-adressen (die een geavanceerde kennis van andere netwerken en gewenst verkeer aangeven), evenals datapakketten van 150 bytes of groter.
Craig William, senior technologieleider en global outreach manager bij Talos, vertelde Ars, “Ze zijn op zoek naar heel specifieke dingen. Ze proberen niet zoveel mogelijk verkeer te verzamelen. Ze zijn op zoek naar bepaalde zeer kleine dingen, zoals inloggegevens en wachtwoorden. Daar hebben we niet veel informatie over, behalve dat het ongelooflijk doelgericht en ongelooflijk geavanceerd lijkt. We proberen nog steeds uit te vinden aan wie ze dat hebben gebruikt.”
Waar komt VPNFilter vandaan??
VPNFilter wordt beschouwd als het werk van een door de overheid gesponsorde hackgroep. Dat de eerste VPNFilter-infectiegolf voornamelijk in de Oekraïne voelbaar was, aanvankelijk wijzigde vingers naar vingerafdrukken met Russische rug en de hackgroep Fancy Bear..
Dit is echter de verfijning van de malware, er is geen duidelijke genese en er is geen hackgroep, natiestaat of anderszins, naar voren getreden om de malware te claimen. Gezien de gedetailleerde malwareregels en het richten van SCADA en andere industriële systeemprotocollen, lijkt een natiestaat-actor het meest waarschijnlijk.
Ongeacht wat ik denk, gelooft de FBI dat VPNFilter een Fancy Bear-creatie is. In mei 2018 greep de FBI een domein - ToKnowAll.com - waarvan werd gedacht dat het werd gebruikt voor het installeren en besturen van VPNFilter-malware van fase 2 en fase 3. De inbeslagname van het domein heeft zeker geholpen om de onmiddellijke verspreiding van VPNFilter te stoppen, maar heeft de hoofdslagader niet doorgesneden; de Oekraïense SBU nam in juli 2018 een VPNFilter-aanval op een chemische verwerkingsfabriek op, bijvoorbeeld.
VPNFilter vertoont ook overeenkomsten met de BlackEnergy-malware, een APT-trojan in gebruik tegen een groot aantal Oekraïense doelen. Nogmaals, hoewel dit allesbehalve volledig bewijs is, komt de systemische targeting van Oekraïne voornamelijk voort uit hackersgroepen met Russische banden.
Ben ik geïnfecteerd met VPNFilter?
De kans is groot dat uw router de VPNFilter-malware niet herbergt. Maar het is altijd beter om veilig te zijn dan sorry:
- Controleer deze lijst voor uw router. Als je niet op de lijst staat, is alles in orde.
- U kunt naar de Symantec VPNFiltercontrolepagina gaan. Vink het vak Algemene voorwaarden aan en druk op Voer VPNFiltercontrole uit knop in het midden. De test is binnen enkele seconden voltooid.
Ik ben geïnfecteerd met VPNFilter: wat moet ik doen?
Als de Symantec VPNFiltercontrole bevestigt dat uw router is geïnfecteerd, hebt u een duidelijk verloop.
- Stel uw router opnieuw in en voer de VPNFiltercontrole opnieuw uit.
- Reset uw router naar de fabrieksinstellingen.
- Download de nieuwste firmware voor uw router en voltooi een schone firmware-installatie, bij voorkeur zonder dat de router tijdens het proces online verbinding maakt.
Verder moet je volledige systeemscans uitvoeren op elk apparaat dat is verbonden met de geïnfecteerde router.
U moet altijd de standaard inloggegevens van uw router wijzigen, evenals eventuele IoT- of NAS-apparaten (IoT-apparaten maken deze taak niet gemakkelijk Waarom het internet der dingen de grootste beveiliging is Nachtmerrie Waarom het internet der dingen de grootste beveiligingsnachtmerrie is Op een dag kom je thuis van je werk om te ontdekken dat je cloud-enabled huisbeveiligingssysteem is geschonden. "Hoe kon dit gebeuren? Met Internet of Things (IoT) kon je de harde manier achterhalen. Lees meer) indien mogelijk . Hoewel er aanwijzingen zijn dat VPNFilter sommige firewalls kan omzeilen, als er een is geïnstalleerd en correct is geconfigureerd 7 eenvoudige tips om uw router en Wi-Fi-netwerk te beveiligen in enkele minuten 7 eenvoudige tips om uw router en wifi-netwerk in enkele minuten te beveiligen, snuift iemand en afluisteren van uw wifi-verkeer, uw wachtwoorden en creditcardnummers stelen? Zou je eens weten of iemand was? Waarschijnlijk niet, dus beveilig uw draadloze netwerk met deze 7 eenvoudige stappen. Meer lezen helpt een heleboel andere vervelende dingen uit uw netwerk te houden.
Pas op voor malware van de router!
Router-malware komt steeds vaker voor. IoT-malware en -kwetsbaarheden zijn overal en met het aantal apparaten dat online komt, zal het alleen maar erger worden. Uw router is het centrale punt voor gegevens in uw huis. Toch krijgt het bijna evenveel beveiligingsaandacht als andere apparaten.
Simpel gezegd, uw router is niet beveiligd omdat u denkt dat 10 manieren uw router niet zo veilig is als u denkt 10 manieren waarop uw router niet zo veilig is als u denkt Hier zijn 10 manieren waarop uw router kan worden uitgebuit door hackers en drive- door draadloze kapers. Lees verder .
Meer informatie over: Internet of Things, Malware, Online Security, Router.