So erkennen Sie VPNFilter-Malware, bevor es Ihren Router

So erkennen Sie VPNFilter-Malware, bevor es Ihren Router

zerstört

Router, Netzwerkgeräte und das Internet der Dinge Malware wird immer häufiger verwendet. Die meisten konzentrieren sich darauf, anfällige Geräte zu infizieren und sie zu leistungsstarken Botnets hinzuzufügen. Router und IoT-Geräte (Internet of Things) sind immer eingeschaltet, immer online und warten auf Anweisungen. Perfektes Botnet-Futter also.

Aber nicht alle Malware ist gleich.

VPNFilter ist eine destruktive Malware-Bedrohung für Router, IoT-Geräte und sogar für einige NAS-Geräte (Network Attached Storage). Wie überprüfen Sie eine VPNFilter-Malware-Infektion? Und wie kannst du es aufräumen? Schauen wir uns VPNFilter genauer an.

Was ist VPNFilter?

VPNFilter ist eine hochentwickelte, modulare Malware-Variante, die hauptsächlich auf Netzwerkgeräte einer Vielzahl von Herstellern sowie auf NAS-Geräte abzielt. VPNFilter wurde ursprünglich auf Linksys-, MikroTik-, NETGEAR- und TP-Link-Netzwerkgeräten sowie auf QNAP NAS-Geräten mit rund 500.000 Infektionen in 54 Ländern gefunden.

Das Team, das VPNFilter, Cisco Talos, kürzlich aktualisierte Details über die Malware entdeckt hat, zeigt, dass Netzwerkgeräte von Herstellern wie ASUS, D-Link, Huawei, Ubiquiti, UPVEL und ZTE jetzt VPNFilter-Infektionen zeigen . Zum Zeitpunkt des Schreibens sind jedoch keine Cisco-Netzwerkgeräte betroffen.

Die Malware unterscheidet sich von den meisten anderen IoT-basierten Malware-Programmen, da sie nach einem Systemneustart weiterhin besteht und daher schwer auszurotten ist. Geräte, die ihre Standardanmeldeinformationen oder bekannte Zero-Day-Schwachstellen verwenden, die keine Firmware-Updates erhalten haben, sind besonders anfällig.

Was macht VPNFilter?

VPNFilter ist also eine mehrstufige, modulare Plattform ” Dies kann zu zerstörerischen Schäden an Geräten führen. Darüber hinaus kann es auch als Bedrohung für die Datenerfassung dienen. VPNFilter funktioniert in mehreren Stufen.

Phase 1: VPNFilter Phase 1: richtet einen Brückenkopf auf dem Gerät ein und kontaktiert seinen Befehls- und Steuerungsserver (C & C), um weitere Module herunterzuladen und Anweisungen abzufragen. Stufe 1 hat auch mehrere eingebaute Redundanzen, um Phase 2 C & Cs im Falle von Infrastrukturänderungen während der Bereitstellung zu lokalisieren. Die Stage 1 VPNFilter-Malware kann auch einen Neustart überleben und ist damit eine robuste Bedrohung.

Schritt 2: VPNFilter Stage 2 bleibt nicht durch einen Neustart bestehen, aber es verfügt über eine größere Bandbreite an Funktionen. Phase 2 kann private Daten sammeln, Befehle ausführen und die Geräteverwaltung beeinträchtigen. Außerdem gibt es verschiedene Versionen von Stage 2 in freier Wildbahn. Einige Versionen sind mit einem destruktiven Modul ausgestattet, das eine Partition der Gerätefirmware überschreibt und dann neu startet, um das Gerät unbrauchbar zu machen (die Malware zerbricht im Prinzip den Router, das IoT oder das NAS-Gerät).

Schritt 3: VPNFilter Stage 3-Module funktionieren wie Plug-Ins für Stage 2 und erweitern die Funktionalität von VPNFilter. Ein Modul fungiert als Paket-Sniffer, der eingehenden Datenverkehr auf dem Gerät erfasst und Anmeldeinformationen stiehlt. Ein anderer ermöglicht Stage 2-Malware die sichere Kommunikation mit Tor. Cisco Talos fand auch ein Modul, das bösartigen Inhalt in den Datenverkehr einschleust, der durch das Gerät geleitet wird, was bedeutet, dass der Hacker weitere Exploits über einen Router, ein IoT oder ein NAS-Gerät an andere verbundene Geräte weitergeben kann.

Darüber hinaus ermöglichen VPNFilter-Module den Diebstahl von Anmeldeinformationen der Website und die Überwachung von Modbus-SCADA-Protokollen.

Foto-Sharing-Meta

Ein weiterer interessanter Aspekt (aber nicht neu entdeckt) Merkmal der VPNFilter-Malware ist die Nutzung von Online-Foto-Sharing-Diensten, um die IP-Adresse seines C & C-Servers zu finden. Die Talos-Analyse ergab, dass die Malware auf eine Reihe von Photobucket-URLs verweist. Die Malware lädt das erste Bild in der Galerie herunter, auf das die URL verweist, und extrahiert eine Server-IP-Adresse, die in den Bildmetadaten verborgen ist.

Die IP-Adresse < wird aus sechs ganzzahligen Werten für die GPS-Breite und -Länge in den EXIF-Informationen extrahiert. ” Wenn dies fehlschlägt, fällt die Stufe-1-Malware auf eine normale Domäne (toknowall.com — mehr dazu weiter unten), um das Image herunterzuladen und den gleichen Prozess zu versuchen.

So erkennen Sie VPNFilter-Malware, bevor es Ihren Router

Targeted Packet Sniffing

Der aktualisierte Talos-Bericht enthüllte einige interessante Einblicke in das VPNFilter Packet Sniffing Modul. Anstatt nur alles abzusaugen, gibt es ein ziemlich strenges Regelwerk, das auf bestimmte Arten von Datenverkehr abzielt. Genauer gesagt, Datenverkehr von industriellen Steuerungssystemen (SCADA), die mit TP-Link R600 VPNs verbunden sind, Verbindungen zu einer Liste vordefinierter IP-Adressen (die erweiterte Kenntnisse über andere Netzwerke und gewünschten Datenverkehr anzeigen) sowie Datenpakete von 150 Byte oder größer.

Craig William, leitender Technologieführer und Global Outreach Manager bei Talos, sagte Ars: „Sie suchen nach ganz bestimmten Dingen. Sie versuchen nicht, so viel Verkehr zu sammelnc wie sie können. Sie sind nach bestimmten sehr kleinen Dingen wie Anmeldeinformationen und Passwörter. Wir haben nicht viele Informationen darüber, als dass es unglaublich zielgerichtet und unglaublich anspruchsvoll erscheint. Wir versuchen immer noch herauszufinden, von wem sie das verwenden. „

Woher kam VPNFilter?

VPNFilter ist vermutlich die Arbeit eines staatlich geförderten Hackens Gruppe. Dass der anfängliche Ansturm der VPNFilter-Infektion vor allem in der gesamten Ukraine spürbar war, deuteten anfängliche Finger auf russische Fingerabdrücke und die Hackergruppe Fancy Bear.

Allerdings ist die Raffinesse der Malware so groß, dass es keine eindeutige Genese gibt und keine Hacking-Gruppe, Nationalstaaten oder andere, sich gemeldet hat, um die Malware zu beanspruchen. Angesichts der detaillierten Malware-Regeln und Targeting von SCADA und anderen industriellen Systemprotokollen scheint ein Nationalstaat-Akteur am wahrscheinlichsten zu sein.

Ungeachtet dessen, was ich denke, glaubt das FBI, dass VPNFilter eine Fancy Bear-Kreation ist. Im Mai 2018 beschlagnahmte das FBI eine Domain – ToKnowAll.com –, von der angenommen wurde, dass sie zum Installieren und Befehlen von Stage 2 und Stage 3 VPNFilter-Malware verwendet wurde. Die Domänenbelegung half sicherlich, die sofortige Verbreitung von VPNFilter zu stoppen, aber die Hauptarterie nicht zu durchtrennen; Die ukrainische SBU nahm im Juli 2018 zum ersten Mal einen VPNFilter-Angriff auf eine chemische Verarbeitungsanlage auf.

VPNFilter weist auch Ähnlichkeiten mit der BlackEnergy-Malware auf, einem APT-Trojaner, der gegen eine Vielzahl ukrainischer Ziele eingesetzt wird. Auch wenn dies alles andere als ein vollständiger Beweis ist, stammt die systemische Ausrichtung der Ukraine überwiegend aus Hackergruppen mit russischer Bindung.

Bin ich mit VPNFilter infiziert?

Es besteht die Möglichkeit, dass Ihr Router keine VPNFilter-Malware enthält. Aber es ist immer besser als Nachsicht:

  • Überprüfen Sie diese Liste für Ihren Router. Wenn Sie nicht auf der Liste sind, ist alles in Ordnung.
  • Sie können zur Symantec VPNFilter Check-Website wechseln. Aktivieren Sie das Kontrollkästchen Allgemeine Geschäftsbedingungen, und klicken Sie anschließend in der Mitte auf die Schaltfläche VPNFilter-Überprüfung ausführen . Der Test ist innerhalb von Sekunden abgeschlossen.
  • So erkennen Sie VPNFilter-Malware, bevor es Ihren Router

    Ich bin mit VPNFilter infiziert: Was kann ich tun?

    Wenn der Symantec VPNFilter Check diesen Router bestätigt Ist infiziert, haben Sie eine klare Vorgehensweise.

  • Setzen Sie Ihren Router zurück und führen Sie den VPNFilter Check erneut aus.
  • Setzen Sie Ihren Router auf die Werkseinstellungen zurück.
  • Laden Sie die neueste Firmware für Ihren Router herunter und führen Sie eine saubere Firmware-Installation durch, vorzugsweise ohne dass der Router während des Vorgangs eine Online-Verbindung herstellt.
  • Darüber hinaus müssen Sie auf jedem Gerät, das mit dem infizierten Router verbunden ist, vollständige Systemscans durchführen.

    Sie sollten immer die Standardanmeldeinformationen Ihres Routers sowie aller IoT- oder NAS-Geräte ändern (IoT-Geräte erleichtern diese Aufgabe nicht) Warum das Internet der Dinge der größte Sicherheitsnightmare ist Warum das Internet? Der größte Sicherheitsalarm Eines Tages kommen Sie von der Arbeit nach Hause, um zu entdecken, dass Ihr Cloud-fähiges Sicherheitssystem durchbrochen wurde. Wie konnte das passieren? Mit Internet of Things (IoT) konnten Sie den Weg finden. Lesen Sie mehr) wenn möglich. Auch wenn es Beweise gibt, dass VPNFilter einige Firewalls umgehen kann, eine installiert und richtig konfiguriert ist 7 Einfache Tipps zum Sichern Ihres Routers und WLAN-Netzwerks in Minuten 7 Einfache Tipps zum Sichern Ihres Routers und Wi-Fi-Netzwerks in Minuten Schnüffelt und belauscht Ihr Wi-Fi-Verkehr Ihre Passwörter und Kreditkartennummern? Würdest du überhaupt wissen, ob jemand ist? Wahrscheinlich nicht, also sichern Sie Ihr drahtloses Netzwerk mit diesen 7 einfachen Schritten. Read More wird dazu beitragen, eine Menge anderer unangenehmer Dinge aus Ihrem Netzwerk fernzuhalten.

    Achten Sie auf Router-Malware!

    Router-Malware wird immer häufiger verwendet. IoT-Malware und Sicherheitslücken gibt es überall, und die Anzahl der Geräte, die online gehen, wird nur noch schlimmer werden. Ihr Router ist der zentrale Punkt für Daten in Ihrem Zuhause. Es wird jedoch nicht so viel Sicherheits-Aufmerksamkeit wie andere Geräte erhalten.

    Einfach gesagt, Ihr Router ist nicht sicher, wie Sie denken 10 Wege, wie Ihr Router nicht so sicher ist wie Sie denken 10 Möglichkeiten, wie Ihr Router nicht so sicher ist, wie Sie denken Hier sind 10 Möglichkeiten, wie Ihr Router könnte von Hackern und Drive-by-Wireless-Hijackern ausgenutzt werden. Weiterlesen .

    q , quelle

    Zusammenhängende Posts:

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.