كيفية اكتشاف VPNFilter Malware قبل أن يدمر جهاز التوجيه الخاص بك

الإعلانات

يزداد انتشار البرامج الضارة لجهاز التوجيه وجهاز الشبكة وإنترنت الأشياء. يركز معظمهم على إصابة الأجهزة الضعيفة وإضافتها إلى شبكات الروبوت القوية. يتم دائمًا تشغيل أجهزة التوجيه وأجهزة إنترنت الأشياء (IoT) ، ودائمًا عبر الإنترنت ، وانتظار التعليمات. اعلاف بوتنت مثالية ، ثم.

ولكن ليست كل البرامج الضارة هي نفسها.

يعد VPNFilter تهديدًا ضارًا بالبرامج الضارة لأجهزة التوجيه وأجهزة إنترنت الأشياء وحتى بعض أجهزة التخزين المتصلة بالشبكة (NAS). كيف يمكنك التحقق من وجود عدوى البرامج الضارة VPNFilter؟ وكيف يمكنك تنظيفه؟ دعونا نلقي نظرة فاحصة على VPNFilter.

ما هو VPNFilter؟

يعد VPNFilter متغيرًا متطورًا للبرامج الضارة يستهدف بشكل أساسي أجهزة الشبكات من مجموعة واسعة من الشركات المصنعة ، بالإضافة إلى أجهزة NAS. تم العثور على VPNFilter في البداية على أجهزة شبكة Linksys و MikroTik و NETGEAR و TP-Link ، بالإضافة إلى أجهزة QNAP NAS ، مع حوالي 500000 إصابة في 54 دولة.

ال فريق كشف VPNFilter، سيسكو تالوس ، التفاصيل المحدثة مؤخرًا فيما يتعلق بالبرامج الضارة ، مشيرًا إلى أن معدات الشبكات من الشركات المصنعة مثل ASUS و D-Link و Huawei و Ubiquiti و UPVEL و ZTE تظهر الآن إصابات VPNFilter. ومع ذلك ، في وقت كتابة هذا التقرير ، لم تتأثر أجهزة شبكة Cisco.

تختلف البرامج الضارة عن معظم البرامج الضارة الأخرى التي تركز على إنترنت الأشياء لأنها تستمر بعد إعادة تشغيل النظام ، مما يجعل من الصعب القضاء عليها. تعتبر الأجهزة التي تستخدم بيانات اعتماد تسجيل الدخول الافتراضية الخاصة بها أو التي تحتوي على ثغرات يوم الصفر المعروفة والتي لم تتلق تحديثات للبرامج الثابتة ضعيفة بشكل خاص.

ماذا يفعل VPNFilter؟

لذلك ، VPNFilter هو "منصة متعددة المراحل ، وحدات" يمكن أن يسبب تلفًا مدمرًا للأجهزة. علاوة على ذلك ، يمكن أن يكون أيضًا بمثابة تهديد لجمع البيانات. يعمل VPNFilter في عدة مراحل.

المرحلة 1: يقوم VPNFilter المرحلة 1 بإنشاء رأس شاطئ على الجهاز ، والاتصال بخادم الأوامر والتحكم الخاص به (C&C) لتنزيل وحدات إضافية وانتظار التعليمات. تحتوي المرحلة 1 أيضًا على العديد من التكرار المضمن لتحديد المرحلة 2 من معايير الخدمة C & C في حالة تغيير البنية التحتية أثناء النشر. البرامج الضارة من المرحلة الأولى VPNFilter قادرة أيضًا على النجاة من إعادة التشغيل ، مما يجعلها تهديدًا قويًا.

المرحلة 2: لا تستمر VPNFilter المرحلة 2 من خلال إعادة التشغيل ، ولكنها تأتي مع مجموعة واسعة من القدرات. يمكن للمرحلة 2 جمع البيانات الخاصة وتنفيذ الأوامر والتدخل في إدارة الجهاز. أيضا ، هناك إصدارات مختلفة من المرحلة 2 في البرية. تم تجهيز بعض الإصدارات بوحدة مدمرة تستبدل قسمًا من البرامج الثابتة للجهاز ، ثم إعادة التشغيل لجعل الجهاز غير قابل للاستخدام (تقوم البرامج الضارة بطباعة جهاز التوجيه أو IoT أو NAS الجهاز ، في الأساس).

المرحلة 3: تعمل وحدات VPNFilter Stage 3 مثل الإضافات للمرحلة 2 ، مما يوسع وظائف VPNFilter. تعمل إحدى الوحدات كمشمم حزم يجمع حركة المرور الواردة على الجهاز ويسرق بيانات الاعتماد. يسمح برنامج آخر للبرامج الضارة للمرحلة 2 بالاتصال بأمان باستخدام Tor. عثر Cisco Talos أيضًا على وحدة واحدة تضخ المحتوى الضار في حركة المرور التي تمر عبر الجهاز ، مما يعني أن المخترق يمكنه تقديم المزيد من عمليات الاستغلال للأجهزة المتصلة الأخرى من خلال جهاز توجيه أو IoT أو NAS جهاز.

بالإضافة إلى ذلك ، فإن وحدات VPNFilter "تسمح بسرقة بيانات اعتماد موقع الويب ومراقبة بروتوكولات Modbus SCADA."

مشاركة الصور ميتا

ميزة أخرى مثيرة للاهتمام (ولكن لم يتم اكتشافها حديثًا) في برنامج VPNFilter Malware هي استخدامه لخدمات مشاركة الصور عبر الإنترنت للعثور على عنوان IP لخادم C&C الخاص به. وجد تحليل Talos أن البرامج الضارة تشير إلى سلسلة من عناوين URL الخاصة بـ Photobucket. تنزيل البرامج الضارة الصورة الأولى في المعرض يشير عنوان URL ويستخرج عنوان IP للخادم مخفيًا داخل الصورة البيانات الوصفية.

عنوان IP "مستخرج من ست قيم صحيحة لخط الطول وخط العرض GPS في معلومات EXIF." إذا فشل ذلك ، فإن تعود البرامج الضارة للمرحلة الأولى إلى نطاق عادي (toknowall.com — المزيد حول هذا أدناه) لتنزيل الصورة ومحاولة استخدامها معالجة.

استنشاق الرزم المستهدف

كشف تقرير Talos المحدث عن بعض الأفكار المثيرة للاهتمام حول وحدة استنشاق حزم VPNFilter. بدلاً من مجرد تحريك كل شيء ، فإنه يحتوي على مجموعة صارمة إلى حد ما من القواعد التي تستهدف أنواعًا معينة من حركة المرور. على وجه التحديد ، حركة المرور من أنظمة التحكم الصناعية (SCADA) التي تتصل باستخدام شبكات VPN TP-Link R600 ، اتصالات بقائمة من عناوين IP محددة مسبقًا (تشير إلى معرفة متقدمة بالشبكات الأخرى وحركة المرور المرغوب فيها) ، بالإضافة إلى حزم بيانات 150 بايت أو أكبر.

كريج ويليام ، قائد التكنولوجيا الأول ، ومدير التوعية العالمية في Talos ، قال آرس"إنهم يبحثون عن أشياء محددة للغاية. إنهم لا يحاولون جمع أكبر قدر ممكن من حركة المرور. إنهم يبحثون عن أشياء صغيرة جدًا مثل بيانات الاعتماد وكلمات المرور. ليس لدينا الكثير من الذكاء في ذلك بخلاف ما يبدو أنه مستهدف بشكل لا يصدق ومتطور للغاية. ما زلنا نحاول معرفة من كانوا يستخدمون ذلك ".

من أين أتى VPNFilter؟

يعتقد أن VPNFilter عمل مجموعة القرصنة التي ترعاها الدولة. أن الطفرة الأولية لعدوى VPNFilter كانت محسوسة في جميع أنحاء أوكرانيا ، وأشارت الأصابع الأولية إلى بصمات الأصابع المدعومة من روسيا ومجموعة القرصنة ، فانسي بير.

ومع ذلك ، هذا هو تعقيد البرمجيات الخبيثة ليس هناك تكوين واضح ولا مجموعة قرصنة أو دولة قومية أو غير ذلك ، تقدمت للمطالبة بالبرامج الضارة. نظرًا لقواعد البرامج الضارة المفصلة واستهداف SCADA وبروتوكولات النظام الصناعي الأخرى ، يبدو أن الفاعل في الدولة القومية يبدو على الأرجح.

بغض النظر عما أعتقده ، يعتقد مكتب التحقيقات الفدرالي أن VPNFilter هو عبارة عن لعبة Fancy Bear. في مايو 2018 ، مكتب التحقيقات الفدرالي استولى على المجال—ToKnowAll.com — الذي كان يعتقد أنه تم استخدامه لتثبيت البرامج الضارة المرحلة 2 والمرحلة 3 VPNFilter وإدارتها. ساعد حجز النطاق بالتأكيد على وقف الانتشار الفوري لـ VPNFilter ، لكنه لم يقطع الشريان الرئيسي ؛ قامت SBU الأوكرانية بإزالة هجوم VPNFilter على مصنع معالجة كيميائية في يوليو 2018 ، لواحد.

تتشابه VPNFilter أيضًا مع برامج BlackEnergy الخبيثة ، وهي APT Trojan قيد الاستخدام ضد مجموعة واسعة من الأهداف الأوكرانية. مرة أخرى ، في حين أن هذا أبعد ما يكون عن دليل كامل ، فإن الاستهداف النظامي لأوكرانيا ينبع في الغالب من اختراق مجموعات ذات روابط روسية.

هل أنا مصاب بفلتر VPN؟

من المحتمل أن الموجه لا يحتوي على برنامج VPNFilter الخبيث. ولكن من الأفضل دائمًا أن تكون آمنًا من الأسف:

1. تحقق من هذه القائمة لجهاز التوجيه الخاص بك. إذا لم تكن في القائمة ، فكل شيء على ما يرام.
2. يمكنك التوجه إلى Symantec VPNFilter Check site. حدد مربع الشروط والأحكام ، ثم اضغط على قم بتشغيل VPNFilter Check زر في المنتصف. الاختبار يكتمل في غضون ثوان.

أنا مصاب بـ VPNFilter: ماذا أفعل؟

إذا أكد فحص Symantec VPNFilter أن جهاز التوجيه الخاص بك مصاب ، فلديك مسار عمل واضح.

1. أعد تعيين جهاز التوجيه الخاص بك ، ثم قم بتشغيل VPNFilter Check مرة أخرى.
2. إعادة تعيين جهاز التوجيه الخاص بك إلى إعدادات المصنع.
3. قم بتنزيل أحدث البرامج الثابتة لجهاز التوجيه الخاص بك ، وأكمل تثبيت البرامج الثابتة النظيفة ، ويفضل أن يقوم جهاز التوجيه بإجراء اتصال عبر الإنترنت أثناء العملية.

بالإضافة إلى ذلك ، تحتاج إلى إكمال عمليات مسح النظام الكاملة على كل جهاز متصل بجهاز التوجيه المصاب.

يجب عليك دائمًا تغيير بيانات اعتماد تسجيل الدخول الافتراضية لجهاز التوجيه الخاص بك ، وكذلك أي أجهزة إنترنت الأشياء أو NAS (لا تجعل أجهزة إنترنت الأشياء هذه المهمة سهلة لماذا إنترنت الأشياء هو أكبر كابوس أمنيفي يوم من الأيام ، تصل إلى المنزل من العمل لتكتشف أنه تم اختراق نظام أمان المنزل الذي تم تمكين السحابة عليه. كيف يمكن حصول هذا؟ مع إنترنت الأشياء (IoT) ، يمكنك اكتشاف الطريق الصعب. قراءة المزيد ) إن أمكن. أيضًا ، بينما توجد أدلة على أن VPNFilter يمكنه التهرب من بعض الجدران النارية ، تثبيت واحد وتكوينه بشكل صحيح 7 نصائح بسيطة لتأمين جهاز التوجيه وشبكة Wi-Fi في دقائقهل يقوم شخص ما بالتنصت والتنصت على حركة مرور Wi-Fi الخاصة بك ، وسرقة كلمات المرور وأرقام بطاقات الائتمان الخاصة بك؟ هل تعرف حتى إذا كان شخص ما؟ ربما لا ، لذا قم بتأمين شبكتك اللاسلكية بهذه الخطوات السبع البسيطة. قراءة المزيد سيساعد على إبقاء الكثير من الأشياء السيئة الأخرى خارج شبكتك.

احترس من البرامج الضارة لجهاز التوجيه!

البرامج الضارة لجهاز التوجيه شائعة بشكل متزايد. إن البرمجيات الخبيثة ونقاط الضعف في إنترنت الأشياء منتشرة في كل مكان ، ومع ازدياد عدد الأجهزة التي تأتي عبر الإنترنت ، ستزداد سوءًا. جهاز التوجيه الخاص بك هو النقطة المحورية للبيانات في منزلك. ومع ذلك ، فهي لا تتلقى قدرًا كبيرًا من الاهتمام الأمني ​​مثل الأجهزة الأخرى.

ببساطة، جهاز التوجيه الخاص بك غير آمن كما تظن 10 طرق ليس جهاز التوجيه الخاص بك آمنًا كما تعتقدفيما يلي 10 طرق يمكن بها استغلال المتسللين من قبل المتسللين والمخترقين اللاسلكيين بالسيارة. قراءة المزيد .