VPNFilter Kötü Amaçlı Yazılımı Şimdi Nasıl Tespit Edilir ve Onarılır (04.28.24)

Tüm kötü amaçlı yazılımlar eşit olarak oluşturulmaz. Bunun bir kanıtı, yıkıcı özelliklere sahip yeni bir yönlendirici kötü amaçlı yazılım türü olan VPNFilter kötü amaçlı yazılımının varlığıdır. Sahip olduğu belirgin bir özellik, diğer Nesnelerin İnterneti (IoT) tehdidinin aksine yeniden başlatmadan sağ çıkabilmesidir.

Bu makalenin VPNFilter kötü amaçlı yazılımını ve hedef listesini belirleme konusunda size rehberlik etmesine izin verin. Ayrıca, bunun sisteminizde hasara yol açmasını nasıl önleyeceğinizi de öğreteceğiz.

VPNFilter Kötü Amaçlı Yazılımı Nedir?

VPNFilter'ı yönlendiricileri, IoT cihazlarını ve hatta ağa bağlı cihazları tehdit eden yıkıcı kötü amaçlı yazılım olarak düşünün. depolama (NAS) cihazları. Esas olarak farklı üreticilerin ağ cihazlarını hedefleyen gelişmiş bir modüler kötü amaçlı yazılım türü olarak kabul edilir.

Başlangıçta, kötü amaçlı yazılım Linksys, NETGEAR, MikroTik ve TP-Link ağ cihazlarında algılandı. QNAP NAS cihazlarında da keşfedildi. Bugüne kadar, 54 ülkede yaklaşık 500.000 enfeksiyon var ve bu, büyük erişimini ve varlığını kanıtlıyor.

VPNFilter'ı ifşa eden ekip olan Cisco Talos, kötü amaçlı yazılım ve etrafındaki teknik ayrıntılar hakkında kapsamlı bir blog yazısı sağlıyor. Görünüşe göre ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti ve ZTE'nin ağ ekipmanlarında enfeksiyon belirtileri var.

Diğer IoT hedefli kötü amaçlı yazılımların çoğunun aksine, VPNFilter'ı ortadan kaldırmak zordur. sistem yeniden başlatıldıktan sonra bile devam eder. Saldırılara karşı savunmasız olanlar, varsayılan giriş kimlik bilgilerini kullanan veya sıfırıncı gün güvenlik açıkları olduğu bilinen ve henüz ürün yazılımı güncellemesi olmayan cihazlardır.

VPN Kötü Amaçlı Yazılım Filtresinden Etkilendiği Bilinen Cihazlar

Hem kurumsal hem de küçük ofis veya ev ofis yönlendiricilerinin bu kötü amaçlı yazılımın hedefi olduğu biliniyor. Aşağıdaki yönlendirici markalarını ve modellerini not edin:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
    • li>
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Upvel Devices -bilinmeyen modeller
  • ZTE Devices ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Diğer QNAP QTS yazılımı çalıştıran NAS cihazları

Hedeflenen cihazların çoğu arasındaki ortak payda, varsayılan kimlik bilgilerini kullanmalarıdır. Ayrıca, özellikle eski sürümler için bilinen açıkları vardır.

VPNFilter Kötü Amaçlı Yazılımı Etkilenen Cihazlara Ne Yapar?

VPNFilter, veri toplama yöntemi olarak hizmet etmenin yanı sıra, etkilenen cihazlarda zayıflatıcı hasara neden olmak için çalışır. Üç aşamada çalışır:

Aşama 1

Bu, kurulum ve hedef cihazda kalıcı bir varlığın sürdürülmesini belirtir. Kötü amaçlı yazılım, ek modüller indirmek ve talimatları beklemek için bir komut ve kontrol (C&C) sunucusuyla bağlantı kuracaktır. Bu aşamada, tehdit dağıtılırken bir altyapı değişikliği olması durumunda Aşama 2 C&C'leri bulmak için birden fazla yerleşik artıklık vardır. 1. Aşama VPNFilter, yeniden başlatmaya dayanabilir.

2. Aşama

Bu, ana yükü içerir. Yeniden başlatma yoluyla devam edemese de, daha fazla yeteneğe sahiptir. Dosyaları toplayabilir, komutları yürütebilir ve veri hırsızlığı ve cihaz yönetimi gerçekleştirebilir. Zararlı etkilerine devam eden kötü amaçlı yazılım, saldırganlardan bir komut aldığında cihazı "tuğla" yapabilir. Bu, aygıt belleniminin bir bölümünün üzerine yazılarak ve ardından yeniden başlatılarak gerçekleştirilir. Suç eylemleri cihazı kullanılamaz hale getirir.

Aşama 3

Bunun birkaç bilinen modülü mevcuttur ve 2. Aşama için eklenti görevi görür. Bunlar, cihaz üzerinden yönlendirilen trafiği gözetlemek için bir paket dinleyicisi içerir, bu da web sitesi kimlik bilgilerinin çalınmasına ve Modbus SCADA protokollerinin takibi. Başka bir modül, Aşama 2'nin Tor üzerinden güvenli bir şekilde iletişim kurmasını sağlar. Cisco Talos araştırmasına göre, bir modül, cihazdan geçen trafiğe kötü amaçlı içerik sağlar. Bu şekilde saldırganlar bağlı cihazları daha fazla etkileyebilir.

6 Haziran'da iki Aşama 3 modülü daha ortaya çıktı. İlki "ssler" olarak adlandırılır ve 80 numaralı bağlantı noktasını kullanarak cihazdan geçen tüm trafiği durdurabilir. Saldırganların web trafiğini görüntülemesine ve araya girerek ortadaki adam saldırılarını yürütmesine olanak tanır. Örneğin, HTTPS isteklerini HTTP isteklerine dönüştürebilir ve sözde şifrelenmiş verileri güvensiz bir şekilde gönderebilir. İkincisi, bu özelliğin bulunmadığı herhangi bir Aşama 2 modülüne bir öldürme komutu içeren “dstr” olarak adlandırılır. Yürütüldükten sonra, kötü amaçlı yazılımın tüm izlerini cihaza zarar vermeden ortadan kaldıracaktır.

26 Eylül'de açıklanan yedi Aşama 3 modülü daha:
  • htpx – Çalışıyor tıpkı ssler gibi, herhangi bir Windows yürütülebilir dosyasını belirlemek ve günlüğe kaydetmek için virüslü cihazdan geçen tüm HTTP trafiğini yeniden yönlendirir ve denetler. Saldırganların aynı ağa bağlı çeşitli makinelere kötü amaçlı yazılım yüklemesine izin veren virüslü yönlendiricilerden geçerken yürütülebilir dosyaları Truva atı haline getirebilir.
  • ndbr – Bu, çok işlevli bir SSH aracı olarak kabul edilir.
  • nm – Bu modül, yerel alt ağı taramak için bir ağ eşleme silahıdır. .
  • netfilter – Bu hizmet reddi yardımcı programı, bazı şifreli uygulamalara erişimi engelleyebilir.
  • portforwarding – Ağ trafiğini iletir saldırganlar tarafından belirlenen altyapıya.
  • socks5proxy – Güvenlik açığı bulunan cihazlarda bir SOCKS5 proxy'sinin kurulmasını sağlar.
VPNFilter'ın Kökenleri Açıklandı

Bu kötü amaçlı yazılım, büyük olasılıkla devlet destekli bir bilgisayar korsanlığı kuruluşunun işidir. İlk enfeksiyonlar öncelikle Ukrayna'da hissedildi ve bu durum kolayca bilgisayar korsanlığı grubu Fancy Bear ve Rus destekli gruplara bağlandı.

Ancak bu, VPNFilter'ın karmaşık yapısını gösterir. Açık bir kökenle ve belirli bir bilgisayar korsanlığı grubuyla ilişkilendirilemez ve birileri henüz bunun sorumluluğunu üstlenmek için bir adım öne çıkmadı. SCADA'nın diğer endüstriyel sistem protokollerinin yanı sıra kapsamlı kötü amaçlı yazılım kuralları ve hedeflemesi olduğu için bir ulus devlet sponsoru olduğu tahmin ediliyor.

Fakat FBI'a soracak olursanız VPNFilter, Fancy Bear'ın buluşudur. Mayıs 2018'de ajans, Aşama 2 ve 3 VPNFilter'ın kurulmasında ve yönetilmesinde etkili olduğu düşünülen ToKnowAll.com alan adını ele geçirdi. Ele geçirme, kötü amaçlı yazılımın yayılmasını durdurmaya yardımcı oldu, ancak ana görüntünün üstesinden gelemedi.

25 Mayıs tarihli duyurusunda, FBI, büyük bir yabancı tabanlı kötü amaçlı yazılım saldırısını durdurmak için kullanıcıların Wi-Fi yönlendiricilerini evlerinde yeniden başlatmaları için acil bir talepte bulundu. O sırada ajans, küçük ofis ve ev Wi-Fi yönlendiricilerinin yanı sıra diğer ağ cihazlarını yüz bin kadar tehlikeye atan yabancı siber suçluları saptadı.

Ben Sadece Sıradan Bir Kullanıcıyım – VPNFilter Saldırısı Ne Anlama Gelir Ben mi?

İyi haber şu ki, yukarıda sağladığımız VPNFilter yönlendirici listesini kontrol ettiyseniz, yönlendiricinizin rahatsız edici kötü amaçlı yazılımı barındırması olası değildir. Ama her zaman dikkatli olmak en iyisidir. Birincisi, Symantec, etkilenip etkilenmediğinizi test edebilmeniz için VPNFilter Check'i çalıştırır. Kontrolün gerçekleştirilmesi yalnızca birkaç saniye sürer.

Şimdi olay şu. Ya gerçekten enfekte olduysanız? Şu adımları keşfedin:
  • Yönlendiricinizi sıfırlayın. Ardından, VPNFilter Check'i bir kez daha çalıştırın.
  • Yönlendiricinizi fabrika ayarlarına sıfırlayın.
  • Cihazınızda herhangi bir uzaktan yönetim ayarını devre dışı bırakmayı düşünün.
  • Yönlendiriciniz için en güncel donanım yazılımını indirin. İdeal olarak, işlem devam ederken yönlendirici çevrimiçi bir bağlantı kurmadan, temiz bir ürün yazılımı yüklemesini tamamlayın.
  • Bilgisayarınızda veya virüslü yönlendiriciye bağlı olan cihazınızda tam bir sistem taraması yapın. Güvenilir kötü amaçlı yazılım tarayıcınızla birlikte çalışmak için güvenilir bir bilgisayar iyileştirici aracı kullanmayı unutmayın.
  • Bağlantılarınızı güvenli hale getirin. Birinci sınıf çevrimiçi gizlilik ve güvenlik geçmişine sahip yüksek kaliteli ücretli bir VPN ile kendinizi koruyun.
  • Diğer IoT veya NAS cihazlarının yanı sıra yönlendiricinizin varsayılan giriş kimlik bilgilerini değiştirme alışkanlığı edinin. .
  • Kötü şeyleri ağınızdan uzak tutmak için bir güvenlik duvarı kurun ve uygun şekilde yapılandırın.
  • Cihazlarınızı güçlü, benzersiz şifrelerle koruyun.
  • Şifrelemeyi etkinleştirin. .

Yönlendiriciniz potansiyel olarak etkileniyorsa, yeni bilgiler ve cihazlarınızı korumak için atılacak adımlar için üreticinin web sitesine başvurmak iyi bir fikir olabilir. Tüm bilgileriniz yönlendiricinizden geçtiği için bu hemen atılması gereken bir adımdır. Bir yönlendiricinin güvenliği ihlal edildiğinde, cihazlarınızın gizliliği ve güvenliği tehlikeye girer.

Özet

VPNFilter kötü amaçlı yazılımı, son zamanlarda kurumsal ve küçük ofis veya ev yönlendiricilerine yönelik en güçlü ve en yok edilemez tehditlerden biri olabilir. Tarih. Başlangıçta Linksys, NETGEAR, MikroTik ve TP-Link ağ cihazlarında ve QNAP NAS cihazlarında tespit edildi. Etkilenen yönlendiricilerin listesini yukarıda bulabilirsiniz.

VPNFilter, 54 ülkede yaklaşık 500.000 enfeksiyon başlattıktan sonra göz ardı edilemez. Üç aşamada çalışır ve yönlendiricileri çalışmaz hale getirir, yönlendiricilerden geçen bilgileri toplar ve hatta ağ trafiğini engeller. Ağ etkinliğini saptamanın yanı sıra analiz etmek de zor bir girişim olmaya devam ediyor.

Bu makalede, kendinizi kötü amaçlı yazılımlardan korumanın yollarını ve yönlendiricinizin güvenliği ihlal edilmişse atabileceğiniz adımları özetledik. Sonuçları vahimdir, bu nedenle asla önemli bir görev olan cihazlarınızı kontrol etmemelisiniz.

Youtube videosu: VPNFilter Kötü Amaçlı Yazılımı Şimdi Nasıl Tespit Edilir ve Onarılır

04, 2024