So erkennen Sie VPNFilter-Malware, bevor sie Ihren Router zerstört

Werbung

Malware für Router, Netzwerkgeräte und das Internet der Dinge wird immer häufiger. Die meisten konzentrieren sich darauf, anfällige Geräte zu infizieren und sie leistungsstarken Botnetzen hinzuzufügen. Router und IoT-Geräte (Internet of Things) sind immer eingeschaltet, immer online und warten auf Anweisungen. Dann perfektes Botnetzfutter.

Aber nicht jede Malware ist gleich.

VPNFilter ist eine zerstörerische Malware-Bedrohung für Router, IoT-Geräte und sogar einige NAS-Geräte (Network Attached Storage). Wie suchen Sie nach einer VPNFilter-Malware-Infektion? Und wie können Sie es aufräumen? Schauen wir uns VPNFilter genauer an.

Was ist VPNFilter?

VPNFilter ist eine hoch entwickelte modulare Malware-Variante, die sich hauptsächlich an Netzwerkgeräte einer Vielzahl von Herstellern sowie an NAS-Geräte richtet. VPNFilter wurde ursprünglich auf Linksys-, MikroTik-, NETGEAR- und TP-Link-Netzwerkgeräten sowie QNAP-NAS-Geräten mit rund 500.000 Infektionen in 54 Ländern gefunden.

Das Team, das VPNFilter aufgedeckt hat

, Cisco Talos, kürzlich aktualisierte Details In Bezug auf die Malware weisen Netzwerkgeräte von Herstellern wie ASUS, D-Link, Huawei, Ubiquiti, UPVEL und ZTE jetzt auf VPNFilter-Infektionen hin. Zum Zeitpunkt des Schreibens sind jedoch keine Cisco-Netzwerkgeräte betroffen.

Die Malware unterscheidet sich von den meisten anderen auf IoT ausgerichteten Malware, da sie nach einem Neustart des Systems weiterhin besteht und daher nur schwer zu beseitigen ist. Besonders anfällig sind Geräte, die ihre Standardanmeldeinformationen verwenden oder bekannte Zero-Day-Schwachstellen aufweisen, die keine Firmware-Updates erhalten haben.

Was macht VPNFilter?

VPNFilter ist also eine „mehrstufige, modulare Plattform“, die kann Geräte zerstörerisch beschädigen. Darüber hinaus kann es auch als Bedrohung für die Datenerfassung dienen. VPNFilter arbeitet in mehreren Schritten.

Bühne 1: VPNFilter Stufe 1 richtet einen Brückenkopf auf dem Gerät ein und kontaktiert seinen Befehls- und Steuerungsserver (C & C), um zusätzliche Module herunterzuladen und Anweisungen abzuwarten. Stufe 1 verfügt außerdem über mehrere integrierte Redundanzen, um C & Cs der Stufe 2 im Falle einer Änderung der Infrastruktur während der Bereitstellung zu lokalisieren. Die VPNFilter-Malware der Stufe 1 kann auch einen Neustart überstehen, was sie zu einer robusten Bedrohung macht.

Stufe 2: VPNFilter Stage 2 bleibt bei einem Neustart nicht erhalten, bietet jedoch eine größere Auswahl an Funktionen. Stufe 2 kann private Daten sammeln, Befehle ausführen und die Geräteverwaltung stören. Es gibt auch verschiedene Versionen von Stage 2 in freier Wildbahn. Einige Versionen sind mit einem zerstörerischen Modul ausgestattet, das eine Partition der Gerätefirmware überschreibt. Startet dann neu, um das Gerät unbrauchbar zu machen (die Malware blockiert den Router, das IoT oder das NAS-Gerät). Grundsätzlich).

Stufe 3: VPNFilter Stage 3-Module funktionieren wie Plugins für Stage 2 und erweitern die Funktionalität von VPNFilter. Ein Modul fungiert als Paket-Sniffer, der eingehenden Datenverkehr auf dem Gerät sammelt und Anmeldeinformationen stiehlt. Zum anderen kann die Malware der Stufe 2 mithilfe von Tor sicher kommunizieren. Cisco Talos hat außerdem ein Modul gefunden, das schädlichen Inhalt in den Datenverkehr über das Gerät einfügt. Dies bedeutet, dass der Hacker über einen Router, IoT oder NAS weitere Exploits für andere verbundene Geräte bereitstellen kann Gerät.

Darüber hinaus ermöglichen VPNFilter-Module den Diebstahl von Website-Anmeldeinformationen und die Überwachung von Modbus SCADA-Protokollen.

Foto-Sharing-Meta

Ein weiteres interessantes (aber nicht neu entdecktes) Merkmal der VPNFilter-Malware ist die Verwendung von Online-Foto-Sharing-Diensten, um die IP-Adresse des C & C-Servers zu ermitteln. Die Talos-Analyse ergab, dass die Malware auf eine Reihe von Photobucket-URLs verweist. Die Malware lädt die Im ersten Bild in der Galerie verweist die URL auf eine im Bild verborgene Server-IP-Adresse und extrahiert diese Metadaten.

Die IP-Adresse "wird aus sechs ganzzahligen Werten für GPS-Breiten- und Längengrad in den EXIF-Informationen extrahiert." Wenn dies fehlschlägt, wird die Malware der Stufe 1 greift auf eine reguläre Domain zurück (toknowall.com - mehr dazu weiter unten), um das Image herunterzuladen und dasselbe zu versuchen Prozess.

Gezieltes Paketschnüffeln

Der aktualisierte Talos-Bericht enthüllte einige interessante Einblicke in das VPNFilter-Paket-Sniffing-Modul. Anstatt nur alles aufzusaugen, gibt es ziemlich strenge Regeln, die auf bestimmte Arten von Verkehr abzielen. Insbesondere Datenverkehr von industriellen Steuerungssystemen (SCADA), die über TP-Link R600-VPNs eine Verbindung zu einer Liste von herstellen vordefinierte IP-Adressen (die auf fortgeschrittene Kenntnisse anderer Netzwerke und wünschenswerten Datenverkehr hinweisen) sowie Datenpakete von 150 Bytes oder größer.

Craig William, Senior Technology Leader und Global Outreach Manager bei Talos, sagte Ars"Sie suchen nach ganz bestimmten Dingen. Sie versuchen nicht, so viel Verkehr wie möglich zu sammeln. Sie suchen nach bestimmten sehr kleinen Dingen wie Anmeldeinformationen und Passwörtern. Wir haben nicht viel Informationen darüber, außer es scheint unglaublich zielgerichtet und unglaublich raffiniert zu sein. Wir versuchen immer noch herauszufinden, bei wem sie das verwendet haben. "

Woher kam VPNFilter?

VPNFilter wird angenommen die Arbeit einer staatlich geförderten Hacking-Gruppe. Dass der anfängliche Anstieg der VPNFilter-Infektion vorwiegend in der gesamten Ukraine zu spüren war, zeigten die ersten Finger auf von Russland unterstützte Fingerabdrücke und die Hacking-Gruppe Fancy Bear.

Dies ist jedoch die Raffinesse der Malware. Es gibt keine eindeutige Entstehung und keine Hacking-Gruppe, weder im Nationalstaat noch auf andere Weise, hat sich gemeldet, um die Malware zu beanspruchen. Angesichts der detaillierten Malware-Regeln und der Ausrichtung von SCADA und anderen Protokollen für industrielle Systeme scheint ein nationalstaatlicher Akteur am wahrscheinlichsten zu sein.

Unabhängig davon, was ich denke, glaubt das FBI, dass VPNFilter eine Kreation von Fancy Bear ist. Im Mai 2018 wurde das FBI eine Domain beschlagnahmt- ToKnowAll.com - wurde verwendet, um VPNFilter-Malware der Stufen 2 und 3 zu installieren und zu befehlen. Die Domain-Beschlagnahme hat sicherlich dazu beigetragen, die sofortige Verbreitung von VPNFilter zu stoppen, aber die Hauptarterie nicht durchtrennt. Zum einen hat die ukrainische SBU im Juli 2018 einen VPNFilter-Angriff auf eine chemische Verarbeitungsanlage abgebrochen.

VPNFilter weist auch Ähnlichkeiten mit der BlackEnergy-Malware auf, einem APT-Trojaner, der gegen eine Vielzahl ukrainischer Ziele eingesetzt wird. Auch wenn dies alles andere als vollständig belegt ist, beruht das systemische Targeting der Ukraine vorwiegend auf Hacking-Gruppen mit russischen Beziehungen.

Bin ich mit VPNFilter infiziert?

Möglicherweise enthält Ihr Router keine VPNFilter-Malware. Aber es ist immer besser, auf Nummer sicher zu gehen:

1. Überprüfen Sie diese Liste für Ihren Router. Wenn Sie nicht auf der Liste stehen, ist alles in Ordnung.
2. Sie können zum gehen Symantec VPNFilter Site überprüfen. Aktivieren Sie das Kontrollkästchen "Allgemeine Geschäftsbedingungen" und klicken Sie auf Führen Sie VPNFilter Check aus Knopf in der Mitte. Der Test ist innerhalb von Sekunden abgeschlossen.

Ich bin mit VPNFilter infiziert: Was mache ich?

Wenn der Symantec VPNFilter Check bestätigt, dass Ihr Router infiziert ist, haben Sie eine klare Vorgehensweise.

1. Setzen Sie Ihren Router zurück und führen Sie den VPNFilter Check erneut aus.
2. Setzen Sie Ihren Router auf die Werkseinstellungen zurück.
3. Laden Sie die neueste Firmware für Ihren Router herunter und führen Sie eine saubere Firmware-Installation durch, vorzugsweise ohne dass der Router während des Vorgangs eine Online-Verbindung herstellt.

Darüber hinaus müssen Sie auf jedem mit dem infizierten Router verbundenen Gerät vollständige System-Scans durchführen.

Sie sollten immer die Standardanmeldeinformationen Ihres Routers sowie aller IoT- oder NAS-Geräte ändern (IoT-Geräte machen diese Aufgabe nicht einfach Warum das Internet der Dinge der größte Sicherheitsalptraum istEines Tages kommen Sie von der Arbeit nach Hause und stellen fest, dass Ihr Cloud-fähiges Haussicherungssystem verletzt wurde. Wie konnte das passieren? Mit dem Internet der Dinge (Internet of Things, IoT) können Sie es auf die harte Tour herausfinden. Weiterlesen ) Wenn überhaupt möglich. Auch wenn es Beweise dafür gibt, dass VPNFilter einigen Firewalls ausweichen kann, mit einem installiert und richtig konfiguriert 7 einfache Tipps zum Sichern Ihres Routers und Ihres Wi-Fi-Netzwerks in wenigen MinutenSchnüffelt und belauscht jemand Ihren WLAN-Verkehr und stiehlt Ihre Passwörter und Kreditkartennummern? Würdest du überhaupt wissen, ob es jemand war? Wahrscheinlich nicht. Sichern Sie Ihr drahtloses Netzwerk mit diesen 7 einfachen Schritten. Weiterlesen wird helfen, viele andere böse Dinge aus Ihrem Netzwerk herauszuhalten.

Achten Sie auf Router-Malware!

Router-Malware wird immer häufiger. IoT-Malware und Schwachstellen sind überall und mit der Anzahl der Geräte, die online gehen, wird es nur noch schlimmer. Ihr Router ist der zentrale Punkt für Daten in Ihrem Zuhause. Es erhält jedoch nicht annähernd so viel Sicherheitsaufmerksamkeit wie andere Geräte.

Einfach gesagt, Ihr Router ist nicht sicher, wie Sie denken 10 Möglichkeiten, wie Ihr Router nicht so sicher ist, wie Sie denkenHier sind 10 Möglichkeiten, wie Ihr Router von Hackern und Drive-by-Wireless-Hijackern ausgenutzt werden kann. Weiterlesen .