Perisian hasad pada penghala, peranti rangkaian dan Internet Perkara semakin biasa. Kebanyakannya menjangkiti peranti yang terdedah dan tergolong dalam botnet yang sangat berkuasa. Penghala dan peranti Internet Perkara (IoT) sentiasa dikuasakan, sentiasa dalam talian dan menunggu arahan. Dan botnet mengambil kesempatan daripada itu untuk menyerang peranti ini.
Tetapi tidak semua perisian hasad ( malware ) adalah sama.
VPNFilter ialah perisian hasad yang merosakkan yang menyerang penghala, peranti IoT, dan juga beberapa peranti storan terpasang rangkaian (NAS). Bagaimanakah anda mengesan jika peranti anda dijangkiti dengan perisian hasad VPNFilter? Dan bagaimana anda boleh mengeluarkannya? Mari kita lihat lebih dekat VPNFilter melalui artikel berikut.
Apakah itu Malware VPNFilter? Bagaimana untuk mengeluarkannya?
VPNFilter ialah varian perisian hasad modular yang canggih yang menyasarkan peranti rangkaian daripada pelbagai pengeluar serta peranti NAS. VPNFilter pada mulanya ditemui pada peranti rangkaian Linksys , MikroTik, NETGEAR dan TP-Link , serta peranti QNAP NAS, dengan lebih kurang 500,000 jangkitan di 54 negara.
Pasukan penemuan VPNFilter, Cisco Talos, baru-baru ini mengemas kini butiran berkaitan perisian hasad ini, menunjukkan bahawa peranti rangkaian daripada pengeluar seperti ASUS, D-Link, Huawei, Ubiquiti, UPVEL dan ZTE sedang menunjukkan tanda-tanda dijangkiti VPNFilter. Walau bagaimanapun, pada masa penulisan, tiada peranti rangkaian Cisco terjejas.
Malware ini tidak seperti kebanyakan perisian hasad tertumpu IoT lain kerana ia berterusan selepas sistem but semula, menjadikannya lebih sukar untuk dialih keluar. Peranti yang menggunakan bukti kelayakan log masuk lalai mereka atau dengan kelemahan sifar hari (kelemahan perisian komputer tidak diketahui) yang tidak dikemas kini secara kerap dengan perisian tegar adalah sangat terdedah.
VPNFilter ialah "berbilang modul, platform silang" yang boleh merosakkan dan memusnahkan peranti. Tambahan pula, ia juga boleh menjadi ancaman yang membimbangkan, mengumpul data pengguna. VPNFilter berfungsi dalam beberapa peringkat.
Fasa 1 : VPNPenapis dalam fasa 1 mewujudkan tapak pendaratan pada peranti, menghubungi pelayan arahan dan kawalan (C&C) untuk memuat turun modul tambahan dan menunggu arahan. Fasa 1 juga mempunyai berbilang kontingensi terbina dalam untuk meletakkan C&C fasa 2, sekiranya berlaku perubahan infrastruktur semasa pelaksanaan. Peringkat 1 VPNFilter malware juga boleh bertahan daripada but semula, menjadikannya ancaman yang sangat berbahaya.
Peringkat 2 : VPNFilter dalam peringkat 2 tidak berterusan selepas but semula, tetapi ia mempunyai banyak keupayaan pada peringkat ini. Fasa 2 boleh mengumpul data peribadi, melaksanakan arahan dan mengganggu pengurusan peranti. Selain itu, terdapat versi fasa 2 yang berbeza dalam amalan. Sesetengah versi dilengkapi dengan modul pemusnah yang menimpa partition perisian tegar peranti , kemudian but semula untuk menjadikan peranti tidak boleh digunakan (pada asasnya, melumpuhkan perisian hasad). mengkonfigurasi penghala , peranti IoT atau NAS ).
Fasa 3 : Modul VPNFilter dalam fasa 3 bertindak sebagai pemalam untuk fasa 2, memanjangkan fungsi VPNFilter. Modul yang bertindak sebagai penghidu paket , mengumpul trafik masuk pada peranti dan mencuri bukti kelayakan log masuk. Jenis lain membenarkan perisian hasad peringkat 2 untuk berkomunikasi dengan selamat menggunakan Tor . Cisco Talos juga menemui modul yang menyuntik kandungan berniat jahat ke dalam trafik yang melalui peranti itu, bermakna penggodam boleh mengeksploitasi lagi peranti lain yang disambungkan melalui penghala, peranti IoT atau NAS.
Selain itu, modul VPNFilter "membolehkan pencurian bukti kelayakan tapak web dan pemantauan protokol Modbus SCADA."
Satu lagi ciri menarik (tetapi bukan baru ditemui) bagi perisian hasad VPNFilter ialah penggunaan perkhidmatan perkongsian foto dalam talian untuk mencari alamat IP untuk pelayan C&Cnya. Analisis Talos mendapati bahawa perisian hasad menunjuk kepada satu siri URL Photobucket. Malware memuat turun imej pertama dalam galeri rujukan URL dan mengekstrak alamat IP pelayan yang tersembunyi dalam metadata imej.
Alamat IP "diekstrak daripada 6 nilai integer untuk latitud dan longitud GPS dalam maklumat EXIF ." Jika gagal, perisian hasad peringkat 1 akan kembali ke domain biasanya (toknowall.com - lebih lanjut mengenainya di bawah) untuk memuat turun imej dan mencuba proses yang sama.
Laporan kemas kini Talos menunjukkan beberapa butiran menarik tentang modul menghidu paket VPNFilter. Daripada mengganggu segala-galanya, ia mempunyai set peraturan yang ketat, menyasarkan jenis trafik tertentu. Khususnya, trafik daripada sistem kawalan industri (SCADA), menggunakan TP-Link R600 VPN, bersambung ke senarai alamat IP yang dipratentukan (menunjukkan pengetahuan lanjutan tentang rangkaian) dan trafik yang dikehendaki), serta paket data 150 bait atau lebih besar.
"VPNFilter sedang mencari perkara yang sangat spesifik," kata Craig William, ketua teknologi kanan dan pengurus capaian global di Talos, kepada Ars. Mereka tidak cuba mengumpul trafik sebanyak mungkin. Mereka hanya cuba mendapatkan beberapa perkara yang sangat kecil seperti maklumat log masuk dan kata laluan. Kami tidak mempunyai banyak maklumat tentang itu, selain mengetahui bahawa ia sangat disasarkan dan sangat canggih. Kami masih cuba untuk mengetahui kepada siapa mereka menggunakan kaedah ini."
VPNFilter dipercayai hasil kerja kumpulan penggodam tajaan kerajaan. Jangkitan VPNFilter pada mulanya ditemui di Ukraine, dan banyak sumber percaya ia adalah kerja kumpulan penggodam Fancy Bear yang disokong Rusia.
Walau bagaimanapun, tiada negara atau kumpulan penggodam telah mengaku bertanggungjawab terhadap perisian hasad ini. Memandangkan peraturan terperinci dan disasarkan perisian hasad untuk SCADA dan protokol sistem perindustrian lain, teori bahawa perisian itu disokong oleh negara bangsa nampaknya berkemungkinan besar.
Walau bagaimanapun, FBI percaya bahawa VPNFilter adalah produk Fancy Bear. Pada Mei 2018, FBI merampas domain - ToKnowAll.com - dipercayai telah digunakan untuk memasang dan mengawal perisian hasad VPNFilter peringkat 2 dan peringkat 3. Penyitaan domain ini berkemungkinan besar Ia pasti membantu menghentikan penyebaran VPNFilter serta-merta, tetapi ia tidak menyelesaikan masalah sepenuhnya. Perkhidmatan Keselamatan Ukraine (SBU) menghalang serangan VPNFilter pada kilang pemprosesan kimia pada Julai 2018.
VPNFilter juga mempunyai persamaan dengan perisian hasad BlackEnergy, trojan APT yang digunakan terhadap pelbagai sasaran di Ukraine. Sekali lagi, walaupun tiada bukti yang tepat, serangan yang menyasarkan sistem Ukraine kebanyakannya datang daripada kumpulan penggodam yang mempunyai hubungan rapat dengan Rusia.
Kemungkinan penghala anda tidak dijangkiti dengan perisian hasad VPNFilter. Tetapi adalah lebih baik untuk memastikan peranti anda selamat:
Semak penghala anda dengan pautan: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. Jika peranti anda tiada dalam senarai, semuanya baik-baik saja.
Anda boleh melawati halaman ujian VPNFilter Symantec: http://www.symantec.com/filtercheck/. Semak kotak terma dan syarat, kemudian tekan butang Run VPNFilter Check di tengah. Ujian akan selesai dalam beberapa saat.
Jika Symantec VPNFilter Check mengesahkan bahawa penghala anda dijangkiti VPNFilter, anda perlu mengambil tindakan berikut.
Tambahan pula, anda perlu melakukan imbasan sistem penuh pada setiap peranti yang disambungkan ke penghala yang dijangkiti VPNFilter.
Cara paling berkesan untuk mengalih keluar perisian hasad VPNFilter adalah dengan menggunakan perisian antivirus serta aplikasi penyingkiran perisian hasad. Kedua-dua alat boleh mengesan virus ini sebelum ia benar-benar menjangkiti komputer dan penghala anda.
Perisian antivirus mungkin mengambil masa beberapa jam untuk menyelesaikan proses, bergantung pada kelajuan komputer anda, tetapi ia juga memberikan anda kaedah terbaik untuk mengalih keluar fail berniat jahat.
Ia juga berbaloi untuk memasang alat penyingkiran perisian hasad, yang mengesan perisian hasad seperti VPNFilter dan membunuhnya sebelum ia menyebabkan sebarang masalah.
Seperti perisian antivirus, proses pengimbasan perisian hasad boleh mengambil masa berjam-jam bergantung pada saiz pemacu keras komputer anda, serta kelajuannya.
Seperti virus lain, anda juga perlu mengalih keluar perisian hasad VPNFilter daripada penghala anda. Untuk melakukan ini, anda perlu menetapkan semula penghala kepada tetapan lalai kilangnya.
Penghala tetapan semula keras memerlukan anda menetapkan semula penghala dari awal, termasuk membuat kata laluan pentadbir baharu dan menyediakan rangkaian wayarles untuk semua peranti. Ia akan mengambil sedikit masa untuk melakukannya dengan betul.
Anda harus sentiasa menukar bukti kelayakan lalai penghala anda, serta mana-mana peranti IoT atau NAS (melakukan tugas ini tidak mudah pada peranti IoT), jika boleh. Selain itu, walaupun terdapat bukti bahawa VPNFilter boleh memintas beberapa tembok api , memasang dan mengkonfigurasi tembok api dengan betul masih akan membantu menghalang banyak nasties lain daripada rangkaian anda.
Cara paling berkesan untuk mengalih keluar perisian hasad VPNFilter ialah menggunakan perisian antivirus
Terdapat beberapa cara utama anda boleh mengurangkan risiko anda dijangkiti semula dengan VPNFilter (atau mana-mana virus lain), termasuk petua khusus yang berkaitan secara langsung dengan VPNFilter.
Penghala yang dikemas kini dilindungi daripada perisian hasad VPNFilter serta ancaman keselamatan lain. Sentiasa ingat untuk mengemas kini secepat mungkin.
Jangan gunakan kata laluan lalai yang ditetapkan oleh pengeluar penghala. Cipta kata laluan anda sendiri yang lebih kuat dan kurang berkemungkinan diserang oleh pelakon yang berniat jahat.
Pastikan program anti-virus dan anti-malware anda dikemas kini. Takrifan virus baharu dikeluarkan secara tetap, dan ini memastikan PC anda dimaklumkan tentang ancaman virus dan perisian hasad baharu yang perlu dicari.
Adalah penting untuk mengetahui dengan jelas sumber program dan aplikasi yang telah anda muat turun. Tapak yang kurang bereputasi mempunyai banyak alat tambah yang anda tidak perlukan, seperti VPNFilter.
Apabila sepanduk muncul semasa anda menyemak imbas tapak web, jangan klik padanya. Biasanya, cara paling selamat adalah dengan melawati tapak web lain dan bukan pada tapak web yang dipenuhi dengan iklan pop timbul.
Perisian hasad pada penghala semakin popular. Kerentanan perisian hasad dan IoT ada di mana-mana, dan dengan bilangan peranti dalam talian yang semakin meningkat, keadaan akan menjadi lebih teruk. Penghala ialah titik fokus untuk data di rumah anda. Walau bagaimanapun, ia tidak menerima perhatian keselamatan sebanyak peranti lain. Ringkasnya, penghala tidak selamat seperti yang anda fikirkan.
Lihat lagi:
Adakah anda melihat pemberitahuan pengaktifan Windows 10 di sudut kanan skrin? Artikel ini akan membimbing anda cara memadamkan notis permintaan hak cipta pada Windows 10.
Baru-baru ini Microsoft mengeluarkan kemas kini kumulatif terkini untuk pengguna PC Windows 10 yang dipanggil Build 14393.222. Kemas kini yang dikeluarkan untuk Windows 10 ini terutamanya membetulkan pepijat berdasarkan maklum balas pengguna dan meningkatkan pengalaman prestasi sistem pengendalian.
Adakah anda mempunyai komputer pada rangkaian tempatan anda yang memerlukan akses luaran? Menggunakan hos benteng sebagai penjaga pintu untuk rangkaian anda boleh menjadi penyelesaian yang baik.
Kadangkala anda mungkin perlu memadamkan log peristiwa lama sekaligus. Dalam panduan ini, Quantrimang.com akan menunjukkan kepada anda 3 cara untuk memadam semua log peristiwa dalam Windows 10 Event Viewer dengan cepat.
Jika anda lebih suka menggunakan papan kekunci klasik lama, seperti IBM Model M, yang tidak termasuk kekunci Windows fizikal, terdapat kaedah mudah untuk menambah lagi, dengan meminjam kunci yang anda jarang gunakan. .
WindowTop ialah alat yang mempunyai keupayaan untuk meredupkan semua tetingkap aplikasi dan program yang dijalankan pada komputer Windows 10. Atau anda boleh menggunakan antara muka latar belakang gelap pada tingkap.
Dalam banyak artikel sebelumnya, kami telah menyebut bahawa kekal tanpa nama dalam talian adalah sangat penting. Maklumat peribadi dibocorkan setiap tahun, menjadikan keselamatan dalam talian semakin diperlukan. Itulah juga sebab kita harus menggunakan alamat IP maya. Di bawah, kita akan belajar tentang kaedah untuk mencipta IP palsu!
Bar Bahasa pada Windows 8 ialah bar alat bahasa kecil yang direka untuk dipaparkan secara automatik pada skrin Desktop. Walau bagaimanapun, ramai orang ingin menyembunyikan bar bahasa ini pada Bar Tugas.
Memaksimumkan kelajuan Internet adalah penting untuk mengoptimumkan sambungan rangkaian anda. Anda boleh menikmati hiburan dan pengalaman kerja yang optimum menggunakan komputer, TV sedia Internet, konsol permainan, dsb.
Kesambungan wayarles adalah satu keperluan hari ini dan kerana itu, keselamatan wayarles adalah penting untuk memastikan keselamatan dalam rangkaian dalaman anda.
